Ammontano a 1,64 miliardi di euro le multe le sanzioni legate al GDPR e alle notifiche di data breach emesse in Europa nell’ultimo anno.
Una crescita del 50%, secondo il report report “DLA Piper GDPR fines and data breach survey: January 2023”.
Inoltre, dal 25 maggio 2018 al 10 gennaio 2023 sono state segnalate multe per 2,92 miliardi per violazioni al GDPR.
Alla ex Facebook la multa più alta
Tra i provvedimenti più elevati troviamo quelli destinati a Meta Platform Ireland, cioè alla ex Facebook, e questo conferma che le autorità osservano con grande attenzione i social media.
In particolare, l’Autorità privacy irlandese è intervenuta su ambiti come la profilazione comportamentale degli utenti e la possibilità di appoggiarsi alla base giuridica della “necessità contrattuale” per legittimare la raccolta massiccia di dati personali.
Bocciata la necessità contrattuale
Su quest’ultimo tema è intervenuto lo European Data Protection Board, che ha ribaltato il verdetto del DPC irlandese concludendo che la necessità contrattuale non è una base giuridica legittima.
E la pubblicità personalizzata?
E questo apre una serie di interrogativi sul modello di finanziamento dei servizi online gratuiti che, come noto, puntano su una pubblicità fortemente personalizzata. Anche se, ovviamente, ci attendono anni di controversie legali.
Scendono i data breach notificati
Leggero calo per il numero di data breach notificati ai garanti privacy in Europa. Si scende da un dato medio giornaliero di 328 a 300.
È possibile che la diminuzione sia dovuta al fatto che i soggetti colpiti si sono fatti più cauti nel notificare i data breach, temendo indagini, sanzioni e richieste di risarcimento.
Intelligenza Artificiale sotto i riflettori
Cresce anche l’attenzione all’AI e a come i dati personali sono utilizzati per addestrare l’intelligenza artificiale.
La società di riconoscimento facciale Clearview AI è stata oggetto di diverse indagini, dopo le denunce di organizzazioni per i diritti digitali, come My Privacy is None of your Business (NOYB) di Max Schrems, con l’emissione di diverse sanzioni.
Il report di DLA Piper prevede un aumento delle indagini in questo ambito e un inasprimento della normativa.
Il trasferimento verso Paesi Terzi
C’è poi un approfondimento sulla posizione sostenuta dai garanti in merito al trasferimento dei dati verso Paesi Terzi. Che restano vietati se la mera possibilità di accesso da parte di governi stranieri apre a qualsiasi rischio di danno, non importa quanto banale o improbabile.
«Un approccio proporzionato e basato sul rischio agli obblighi previsti dal GDPR sui trasferimenti di dati personali al di fuori dello SEE non è solo consentito ma, a nostro avviso, legalmente richiesto – commenta Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology dello studio legale DLA Piper in Italia. L’adozione di un approccio “assolutista” alle restrizioni sui trasferimenti e l’effettiva messa al bando di qualsiasi trasferimento di dati personali, per quanto ridotto sia il rischio di danno, rischia di arrecare un danno reale e duraturo ai consumatori».
