Continua a crescere il peso delle sanzioni ai sensi del GDPR imposte dalle autorità della privacy europee. Nel 2022 il loro valore ammontava a 2,92 miliardi di euro, in crescita del 168% rispetto all’anno scorso.
È quanto è emerso dal report “DLA Piper GDPR fines and data breach survey: January 2023” pubblicato dallo studio legale internazionale DLA Piper, giunto alla sua quinta edizione. Si tratta di un’indagine svolta dal team di sicurezza informatica e protezione dei dati che ha coinvolto tutti i 27 Stati membri dell’Unione europea, più Regno Unito, Norvegia, Islanda e Liechtenstein.
Uno sguardo ai numeri rivela che la sanzione più alta, che ammonta a 405 milioni di euro, quest’anno è stata inflitta dal garante irlandese nei confronti di Meta Platforms Ireland Limited, a causa di presunte mancanze nella protezione dei dati personali dei minori.
Una simile azione conferma l’impegno da parte delle autorità di regolamentazione a monitorare e regolamentare l’uso che i Social Media – Instagram e Facebook in particolare – fanno dei dati personali dei consumatori, che possono essere utilizzati per creare profili pubblicitari redditizi.
In generale, l’Irlanda insieme al Lussemburgo, continuano a mantenere le loro posizioni ben salde in cima alla classifica.
Fonte: DLA Piper GDPR fines and data breach survey (Gennaio 2023)
Report DLA Piper, in calo il volume dei data breach notificati
Emerge, inoltre, che dopo ben quattro anni consecutivi di crescita, il volume dei data breach notificati ai garanti privacy ha registrato per la prima volta un calo. Dal gennaio 2022 sono state, infatti, notificate alle autorità di regolamentazione circa 109.000 violazioni dei dati personali contro le 120.000 del 2021.
Un simile trend potrebbe lasciare intendere che, in generale, le organizzazioni si starebbero muovendo con maggiore cautela nel segnalare eventuali violazioni per evitare ulteriori indagini, multe e richieste di risarcimento che ne potrebbero derivare. I Paesi Bassi rimangono in testa alla classifica per il numero di notifiche di violazione effettuate ogni 100.000 abitanti.
AI e dati personali, maggiore controllo e attenzione
Poiché l’applicazione dell’Intelligenza Artificiale continua a diffondersi a macchia d’olio nei settori più svariati – dalla process automation al Machine Learning, dai chat bot alla realtà virtuale – e riconoscendo un effettivo legame tra i sistemi di AI e i dati personali, le autorità prevedono per l’anno a venire un aumento delle indagini e delle verifiche.
Ne è esempio Clearview AI – una società di riconoscimento facciale – a cui sono state imposte numerose sanzioni a seguito di denunce da parte di organizzazioni per i diritti digitali, tra cui l’organizzazione My Privacy is None of your Business (NOYB).
Report DLA Piper, i trasferimenti internazionali dei dati personali
Infine, il rapporto fa riferimento ad alcune importanti decisioni prese dalle autorità privacy riguardo specifici trasferimenti internazionali di dati personali e alla conseguente all’applicazione dei requisiti del GDPR Schrems II e del Capitolo V.
Come dichiarato da Giulio Coraggio, Partner responsabile del dipartimento Intellectual Property and Technology dello studio legale DLA Piper in Italia: “Un approccio proporzionato e basato sul rischio agli obblighi previsti dal GDPR sui trasferimenti di dati personali non è solo consentito ma, a nostro avviso, legalmente richiesto. L’adozione di un approccio assolutista alle restrizioni sui trasferimenti e l’effettiva messa al bando di qualsiasi trasferimento di dati personali, per quanto ridotto sia il rischio, potrebbe arrecare un danno reale e duraturo ai consumatori”.
Who's Who
Giulio Coraggio
Partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper