Triplicano le sanzioni per violazione del GDPR: più di 9 milioni di euro riscossi nel 2022 in Italia

Sono cifre importanti quelle riguardanti il numero di sanzioni inflitte a livello europeo e nazionale per violazione del Regolamento generale sulla protezione dei dati personali (GDPR). Solo nel 2022, il totale per le infrazioni ha raggiunto gli 832 milioni di euro a livello europeo, di cui ben 390 milioni comminati alla sola Meta, erogati dalla Commissione.

Sebbene l’ammontare a livello UE sembri diminuire rispetto al 2021, sul piano nazionale si registra invece un netto incremento, con il triplicarsi degli importi rispetto allo scorso anno. Il dato è stato presentato nella relazione annuale delle attività svolte dal Garante per la Privacy nel corso del 2022 e mostra come i diversi aspetti legati al trattamento dei dati personali abbiano contribuito ad accrescere gli interventi dell’Autorità. In particolare, i procedimenti correttivi sono stati 317 ed hanno portato a sanzioni per un totale di 9,5 milioni di euro.

Anche il numero di ispezioni eseguite nel 2022 è triplicato e ha visto l’analisi di 140 enti diversi. I settori maggiormente interessati sono stati il telemarketing, i social media e la sanità. Lo scopo è stato quello di esaminare il rispetto, da parte dei Titolari analizzati, per i diritti fondamentali delle persone in un mondo sempre più digitale. In particolare, sono state considerate tematiche come le implicazioni della tecnologia nel trattamento dei dati, la tutela dei minori e l’intelligenza artificiale generativa. Inoltre, è stata posta specifica attenzione sull’uso dei dati biometrici, ovvero quelli riguardanti caratteristiche uniche e specifiche atte a identificare e autenticare in maniera univoca una persona, e ai sistemi di riconoscimento facciale. Sul tema, la società statunitense Clearview è stata sanzionata per 20 milioni di euro poiché monitorava profili di utenti italiani.

Considerando poi i data breach, definiti come una violazione di sicurezza che comporta la distruzione, perdita, modifica o divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati, le notifiche arrivate al Garante nel 2022 sono state 1351 tra settore pubblico e privato. Nello specifico, il 31,2% dei casi ha riguardato soggetti pubblici, come ad esempio comuni o strutture sanitarie, mentre nel 68,8% dei casi sono state coinvolte PMI o grandi società nell’ambito delle telecomunicazioni, banche o servizi. Ciò ha comportato, nei casi di maggior gravità, provvedimenti sanzionatori.

Il quadro sinora esposto dimostra come l’Autorità Garante sia chiamata ad un’attività ispettiva di controllo e sanzionatoria sempre più intensa. La tutela dei diritti nell’era digitale, infatti, non può prescindere da una costante vigilanza sulle implicazioni per i diritti dei soggetti interessanti coinvolti e necessita di un lavoro incessante volto a contrastare eventuali attività illecite. Proprio per questo, poche settimane fa il Comitato europeo per la protezione dei dati personali (EDPB) ha adottato le Linee Guida 4/2022 con lo scopo di fornire indicazioni chiare e trasparenti per la quantificazione degli importi sanzionatori in relazione alle violazioni del GDPR. Sono quindi stabiliti nuovi criteri, nel caso in cui l’Autorità del singolo Stato Membro decida di comminare una sanzione pecuniaria ad un soggetto reo di aver commesso una violazione della normativa. Le Linee Guida hanno anche l’utile scopo di prefigurare, ai Titolari del Trattamento dei dati, gli eventuali importi delle sanzioni a loro comminate, nel caso si rendessero responsabili di violazioni del Regolamento. Ciò può presentare un importante strumento anticipatorio e deterrente per parametrare i rischi connessi alle attività di trattamento dei dati nelle redazioni delle valutazioni d’impatto (DPIA).

Fonti: ATLAS VPN, Federprivacy