Gdpr: 2022 da record, sanzioni per 2,92 miliardi di euro

Lo scorso anno ha fatto registrare un nuovo record in merito alle sanzioni emesse ai sensi del Gdpr e delle notifiche di data breach: dal 28 gennaio 2022 hanno raggiunto complessivamente i 2,92 miliardi di euro, con un aumento del 168% rispetto ai 12 mesi precedenti. Emerge dal report “Dla Piper Gdpr fines and data breach survey: January 2023”, giunto quest’anno alla sua quinta edizione, evidenzia che tra le sanzioni più elevate vi sono quelle comminate a Meta Platforms Ireland Ltd., a dimostrazione del fatto che i social media, e la loro dipendenza da un ampio trattamento di dati personali, sono stati oggetto di particolare attenzione da parte delle autorità di regolamentazione.

Molte delle sanzioni inflitte dall’autorità privacy irlandese riguardano la profilazione comportamentale degli utenti e la possibilità di utilizzare la base giuridica della “necessità contrattuale” per legittimare la raccolta massiccia di dati personali. Mentre il DPC irlandese aveva inizialmente concluso che ciò era possibile, lo European Data Protection Board ha manifestato un orientamento diverso. Le sanzioni che ne derivano sollevano seri interrogativi sul grande accordo stipulato tra consumatori e fornitori di servizi e sul modo in cui i servizi online “gratuiti” saranno finanziati in futuro. Data la posta in gioco, Dla Piper si aspetta che queste decisioni vengano impugnate, con conseguenti prolungate controversie.

L’indagine rivela anche che il volume dei data breach notificati ai garanti privacy è diminuito leggermente rispetto al totale dell’anno precedente. Il totale medio giornaliero è sceso da 328 notifiche a 300. Questo potrebbe essere in parte il segno che i soggetti coinvolti stanno diventando più cauti nel notificare i data breach alle autorità privacy per paura di indagini, sanzioni e richieste di risarcimento.

Sebbene quest’anno le questioni relative ai dati personali in relazione alla pubblicità e ai social media abbiano dominato le prime pagine dei giornali, c’è una crescente attenzione per l’Intelligenza Artificiale e il ruolo dei dati personali utilizzati per addestrare l’IA. Quest’anno, in particolare, sono state condotte diverse indagini sulla società di riconoscimento facciale Clearview AI a seguito di denunce da parte di organizzazioni per i diritti digitali, tra cui l’organizzazione My Privacy is None of your Business (NOYB) di Max Schrems, con l’emissione di diverse sanzioni. Poiché l’IA e le piattaforme di apprendimento automatico sono sempre più diffuse, il report prevede per l’anno a venire un aumento delle indagini e della normativa, con particolare attenzione sia ai fornitori che agli utenti dell’IA.

L’indagine riporta, infine, anche alcune decisioni degne di nota prese quest’anno dalle autorità privacy in merito all’applicazione dei requisiti del Gdpr Schrems II e del Capitolo V a specifici trasferimenti internazionali di dati personali. I garanti privacy hanno sostenuto che non è possibile adottare un approccio basato sul rischio quando si valutano i trasferimenti di dati personali verso “Paesi terzi”, sostenendo in sostanza che i trasferimenti sono vietati se la mera possibilità di accesso da parte di governi stranieri dà luogo a un qualsiasi rischio di danno (per quanto banale e improbabile).

Image by rawpixel.com