Cybertech 2019

GDPR: l'Italia in cima alle sanzioni

Dall'entrata in vigore del GDPR, il regolatore italiano ha comminato multe per oltre 69 milioni di euro. Il valore più alto della UE.

Autore: Redazione ImpresaCity


La misura concreta dell'efficacia del GDPR nei confronti delle imprese che gestiscono dati personali è, ovviamente, il numero di sanzioni comminate. E soprattutto l'esborso economico che le imprese colpite hanno dovuto affrontare per questo. Le cifre raccolte da DLA Piper indicano che dall'ormai lontano maggio 2018 i vari regolatori e garanti delle nazioni europee non sono certo restati con le mani in mano. Complessivamente, nei 27 Paesi della UE (più Regno Unito, Norvegia, Islanda, Liechtenstein) sono state comminate sanzioni per 272,5 milioni di euro. E l'Italia è la nazione più "esosa" con multe per 69,3 milioni di euro.

In realtà la cifra legata all'Italia non è una anomalia. Le nazioni UE che ci sono vicine per popolazione sono su livelli paragonabili. La Germania è seconda con sanzioni per 69,1 milioni di euro. Seguono la Francia (54,4 milioni), il Regno Unito (44,2) e, più indietro, la Spagna appaiata con la Svezia (11,5 milioni). Poi un "crollo" delle multe con la Bulgaria a 3,2 milioni e le altre nazioni ad ancora meno.

Quello che va sottolineato è che l'ammontare delle sanzioni non è proporzionale al loro numero. Le nazioni che sono in cima alla classifica per valore complessivo lo sono prevalentemente perché le loro Authority hanno comminato multe molto elevate. Il primato va ai 50 milioni di euro chiesti dalla Francia a Google. Seguiti dai 35 chiesti ad un retailer tedesco e dai 27,8 milioni che TIM si è vista chiedere dal Garante italiano.
multe gdprAl Garante nazionale italiano fanno capo anche altre tre sanzioni che rientrano nella "top ten" del GDPR. Dopo TIM, in ordine di esborso, le aziende colpite da maxi-multe sono state Wind per 17 milioni di euro, Vodafone per poco più di 12 ed Eni Gas e Luce per 11,5. Colpisce il fatto che queste mega-multe non sono legate ai problemi che più spesso i professionisti IT collegano al GDPR, come i data breach o la gestione "tecnica" scorretta dei dati. Sono invece dovute a una gestione impropria, in particolare all'uso sconsiderato dei dati personali per fianlità di marketing. Il classico telemarketing selvaggio, quando non proprio fraudolento.

Un trend molto chiaro è che nel 2020 c'è stata una netta accelerazione nella segnalazione di data breach. Un altro segno che l'attività dei criminali informatici si è intensificata con successo durante il lockdown e la conseguente digitalizzazione spesso forzata delle imprese. In Italia, tra la fine di gennaio 2020 e la fine di gennaio 2021 sono stati segnalati 1.574 data breach contro i 1.276 notificati nei dodici mesi precedenti. Molti Paesi hanno avuto evoluzioni simili. Spicca la Germania, dove da un anno all'altro i data breach sono passati da poco più di 25 mila a 40.111 (il massimo continentale). A livello aggregato europeo, la crescita media è del 19% anno su anno.

Sono molte notifiche di data breach, oppure poche? L'impressione è che tra le varie nazioni ci sia ancora una forte disomogeneità nelle notifiche dei data breach. In un certo senso il GDPR non è stato ancora ben "assimilato" ovunque nella stessa misura. Altrimenti non si spiegherebbe perché nazioni apparentemente simili hanno un tasso di notifiche per popolazione molto diverso. Ad esempio, dal "lancio" del GDPR ad oggi la Germania fa registrare in media 150 notifiche ogni 100 mila abitanti, quasi al pari della più piccola Danimarca (155), che ha meno di un decimo della sua popolazione. L'Italia si ferma a 2,5 notifiche ogni 100 mila abitanti, penultima in Europa - dietro c'è solo la Grecia (1,3) - ma quasi allo stesso livello della Francia (2,8).

contatori