A qualche anno dalla sua entrata in vigore, il GDPR sembra essere diventato una normativa ampiamente applicata nelle nazioni europee. Oppure, a seconda dei punti di vista, troppo rischiosa per molte imprese. È l'impressione che dà l'edizione 2022 della consueta analisi che DLA Piper fa delle sanzioni comminate alle aziende da parte delle varie authority nazionali. Un'analisi che lo scorso anno vedeva l'Italia al primo posto tra le nazioni più "esose", in quanto a multe incassate. Quest'anno le sanzioni non sono certo state meno - anzi, sono state molte di più - ma l'Italia è stata superata da nazioni in cui il GDPR ha avuto un vero e proprio boom.

DLA Piper spiega che nel corso del 2021 - per la precisione dal 28 gennaio 2021 al 18 gennaio 2022 - in Europa sono state definite sanzioni per violazione del GDPR per complessivi 1,1 miliardi di euro. Una somma decisamente superiore ai 272 milioni del 2020, dovuta principalmente a una decisa accelerazione dell'attività sanzionatoria in generale. E in particolare da parte di nazioni molto meno attive nel panorama GDPR appunto del 2020.

Questo fenomeno è tra l'altro legato, spiega DLA Piper, a un aspetto del GDPR relativamente poco considerato dal pubblico come dalle imprese: la compliance nel trasferimento di dati verso terzi e soprattutto verso le aziende extra-UE. Una questione diventata molto spinosa dopo la sentenza cosiddetta Schrems II del 23 luglio 2020, che ha di fatto considerato nulle le garanzie - già dubbie - del Privacy Shield e reso quindi illegali i trasferimenti di dati verso società statunitensi, se non protetti da norme e garanzie diverse dal Privacy Shield stesso.Anche un'azienda ben organizzata oggi ha difficoltà nel muoversi in maniera corretta fra le norme e le clausole sul trasferimento di dati, sottolinea DLA Piper. E la compliance in questo senso va ben oltre le capacità delle piccole e medie imprese. Aumenta così il rischio di incorrere in sanzioni, ma anche quello di vedere la propria attività bloccata per l'impossibilità di trasferire informazioni Oltreoceano. Tanto che Ewa Kurowska-Tober, Global Co-Chair del Data Protection & Security Group di DLA Piper, ha definito "un impegno di compliance irrealistico" quello che oggi viene assegnato alle imprese, se le norme internazionali non verranno migliorate.

I circa 1.100 milioni di "multe" del 2021 lo dimostrano. Tra le nazioni considerate da DLA Piper - le 27 della UE più Islanda, Liechtenstein, Norvegia e Regno Unito - spicca stavolta il Lussemburgo, che ha comminato la sanzione largamente più cospicua dell'anno (e in assoluto dal varo del GDPR): 746 milioni di euro ai danni di un retailer online statunitense. La seconda sanzione per importo del 2021 è stata di 225 milioni di euro, comminata in Irlanda. Anche in questo caso, è una cifra talmente elevata da schizzare subito al secondo posto delle "top multe GDPR" di tutti i tempi.

Altro segno della maturità o "pericolosità" del GDPR è la crescita costante nel numero di data breach che le aziende europee segnalano, volenti o nolenti, alle Authority. Nel 2021 se ne sono contate mediamente 356 al giorno, un bel 8% in più rispetto al 2020. La nazione dove si sono segnalate più brecce, in rapporto alla popolazione, è l'Olanda: quasi 151 data breach ogni centomila abitanti.