I DATI IN UN’INDAGINE DLA PIPER SU SANZIONI E DATA BREACH NELL’UE AGGIORNATA A GENNAIO 2023
Antonio Ciccia Messina
Sull’applicazione della privacy gli stati dell’Unione europea vanno in ordine sparso. Da quando è diventato operativo il Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679), e cioè dal 25 maggio 2018, ci sono paesi con un’altissima sensibilità, dove le segnalazioni ufficiali delle violazioni sono tantissime (oltre 117 mila in Olanda), e paesi dove il numero è stato bassissimo (si consideri la Bulgaria con 434 notificazioni di data breach); ci sono nazioni con un cospicuo numero di sanzioni irrogate (567 la Spagna) e altre con un numero decisamente basso (per la Francia se ne contano 33).
È quanto emerge da una riclassificazione dei dati raccolti ed elaborati dalla indagine Dla Piper dedicata a sanzioni e data breach, aggiornata al gennaio 2023.
L’indagine, relativa ai 27 Stati membri dell’Unione europea più Regno Unito, Norvegia, Islanda e Liechtenstein, ha rivelato un altro anno record, con un importo totale delle sanzioni emesse dal 28 gennaio 2022 a gennaio 2023 pari a 1,64 miliardi di euro, con un aumento del 50% rispetto all’anno precedente.
Nel commentare i risultati, Dla Piper ritiene che l’aumento dimostri la volontà dei Garanti della privacy europei di imporre multe elevate per violazioni del Gdpr, in linea con gli orientamenti del Comitato europeo per la protezione dei dati, che ha ripetutamente richiesto aumenti significativi delle ammende proposte dai singoli Garanti.
D’altra parte l’apparato sanzionatorio è la principale novità del Gdpr rispetto alla legislazione precedente sulla privacy.
Peraltro, la severità, pur crescente e trasversale a tutti i settori economici, si manifesta in maniera molto diversa e disequilibrata nel territorio dell’Unione. Il Gdpr sulla carta è unico per tutti gli stati dell’Unione, ma lo stato della sua applicazione viaggia sull’ottovolante.
La semplice lettura e riclassificazione dei dati tabellati dal Dla Piper e il loro confronto interno dimostra che ci sono stati dove ci sono moltissime segnalazioni (Olanda, Polonia, Danimarca), in cui però il totale dell’importo delle sanzioni non sta nelle posizioni di alta classifica, e altri stati dove capita l’esatto contrario, e cioè numero limitato di violazioni denunciate ufficialmente e importo elevato di sanzioni irrogate (tra questi troviamo la Francia, la Grecia).
Prendendo in considerazione l’Italia abbiamo una posizione da media classifica (11ª) per il numero totale di data breach, che sprofonda nella bassissima classifica se si rapporta il numero delle violazioni alla popolazione (27ª), ma con un’impennata risale fino al secondo posto per numero di sanzioni irrogate e si adagia al sesto livello per ammontare delle stesse.
La situazione, presa in tutte le sue sfaccettature, non ha significati reconditi e dimostra solamente che si viaggia in ordine sparso e che non sono bastati 26 anni di privacy europea (prima la direttiva 95/46, poi il regolamento 2016/679) a fare del Vecchio Continente un’unione normativa sul fronte della tutela della riservatezza.
Anzi, sulle altalene dei numeri prendono posto garanti morbidissimi, altri draconiani e le sanzioni viaggiano sulle montagne russe, così che alcuni paesi rischiano di diventare “paradisi privacy”, con pochissime violazioni denunciate.
In ogni caso, i numeri crescenti delle violazioni e delle sanzioni sono univoci nel dimostrare che se ci sono data breach e sanzioni crescenti (per numero e importo) la normativa sulla privacy, per lo meno il Gdpr, è, allo stato, ancora, per dirla eufemisticamente, in rodaggio, anche se sono passati oltre cinque lustri dai primi passi.
Il quadro che emerge dai numeri messi in fila dalla ricerca Dla Piper non scongiura il rischio di nomadismo delle imprese teso a cercare di scegliere un’autorità di controllo più morbida o un territorio, in cui sia più ridotto il numero delle notificazioni di violazioni dei dati.
Quello stesso quadro, letta da altro profilo, non espone una situazione concreta di uguali o almeno comparabili livelli di tutela dei consumatori e degli interessati.
Constatare una ripida ascesa dell’importo delle sanzioni irrogate non dice nulla di significativo quanto ad una effettiva e aumentata tutela della riservatezza dei singoli o a un incremento della sicurezza nello scambio di dati nel mercato digitale. Non c’è, infatti, un rapporto di causa/effetto tra maggior numero di sanzioni di importo più elevato e più privacy per le persone. Tra l’altro non bisogna scordarsi che il vero risultato positivo finale è proprio questo: più tutela della privacy per i singoli.
La sensazione è che il legislatore non sia in grado da solo di arrivare a quest’obiettivo e che, anzi, abbia rinunciato alla stesura di leggi orientate, anche nella loro semantica, all’effettività. La palla, in conclusione, è passata definitivamente alle categorie produttive e ai consulenti.
Fonte:
