L’emergenza sanitaria da Covid19 non ha fermato le autorità europee di controllo del GDPR, vale infatti 307 milioni di euro il totale delle sanzioni inflitte ai 30 Stati dello spazio economico europeo (SEE) nel corso del 2020.
A evidenziarlo, è il “Rapporto statistico 2020, sanzioni privacy in Europa”, rilevando complessivamente 341 procedimenti sanzionatori per irregolarità legate al GDPR (erano stati 190 nel 2019, per un importo complessivo superiore, un totale di 410 milioni di euro, a causa di multe pesanti ad alcuni Big Tech del web). Nella classifica delle autorità più attive, quella che ha primeggiato è stata quella spagnola (AEPD) con ben 133 sanzioni (ad un ritmo medio di quasi una multa ogni tre giorni) per un valore complessivo di 8 milioni di euro.
Al secondo posto il Garante per la privacy italiano con 35 provvedimenti amministrativi, mentre 26 sono stati quelli dell’autorità rumena (ANSPDCP).
Cambia però la prospettiva se invece di contare il numero delle sanzioni applicate se ne considera il valore economico totale, con l’autorità francese (CNIL) che – con soli 8 procedimenti – ha erogato multe GDPR pari a quasi la metà del totale (44,9%) per un ammontare di 138,3 milioni di euro.
L’Italia, oltre ad avere il secondo posto per numero di provvedimenti, è anche al secondo posto dopo la Francia per il valore totale economico di sanzioni inflitte, e al quarto posto, dopo Francia, Germania e Regno Unito, per l’importo medio delle sanzioni (oltre 1,6 milioni di euro).
Quello che emerge nitidamente sono poi le motivazioni che originano i procedimenti sanzionatori, come ha osservato Nicola Bernardi, presidente della principale associazione italiana dei professionisti della protezione dei dati: “Nella 59% dei casi le sanzioni riguardano trattamenti illeciti di dati personali, come quelli effettuati in modo non trasparente per l’utente o senza il suo consenso. Molte imprese sostengono di avere un legittimo interesse e pensano superficialmente di essere in regola con il GDPR, ma senza una valida base giuridica sbattono sempre più spesso sotto la scure delle autorità, specialmente quando queste ricevono molteplici reclami dagli interessati”.
Oltre alle violazioni dovute a trattamenti illeciti e conseguenti violazioni GDPR, una volta su cinque (20%) a causare le multe sono l’insufficienza delle misure di sicurezza, che spesso emergono a seguito di data breach, il mancato rispetto dei diritti dell’interessato (9%), e nel 3,8% dei casi è l’informativa sulla privacy la causa dell’infrazione.
Il settore più bersagliato per numero di sanzioni GDPR è quello delle telecomunicazioni con 69 procedimenti, mentre in termini di valore economico il più colpito in assoluto è di quello di internet e dell’e-commerce (con 144,9 milioni di euro di sanzioni amministrative). Segnale del fatto che effettivamente le autorità nazionali stanno confrontandosi soprattutto con l’uso illecito dei dati nel mondo delle piattaforme digitali. A seguire le telecomunicazioni, con 62,4 milioni di euro di sanzioni totali, e il commercio e le attività produttive, con 38,1 milioni.
Accedi al Report Federprivacy “Rapporto statistico 2020, sanzioni privacy in Europa”,
