GDPR: nel 2022 2,9 miliardi di euro di sanzioni in UE

I garanti della privacy in Europa nel 2022 hanno comminato sanzioni alle imprese operanti in UE per quasi 3 miliardi di euro, 2,92 miliardi, per essere precisi. È quanto emerge dall'indagine annuale dello studio legale DLA Piper, che rilevato un aumento del 168% rispetto al 2021. 

L'azienda più "indisciplinata"? Meta, che ha ricevuto una sanzione di ben 405 milioni di euro per numerose mancanze nella protezione dei dati personali dei minori su Instagram.

Meno data breach, ma sanzioni più pesanti per le profilazioni massicce

Il report di DLA Piper indica come nel 2022 si siano verificate meno fughe di dati (data breach) rispetto al precedente anno: il numero medio di incidenti notificati quotidianamente è passato da 328 a 300. Significa che le imprese sono state più attente nel proteggere i propri sistemi? Potrebbe, ma non è una certezza: secondo gli autori dello studio, non è da escludere che "i soggetti coinvolti stiano diventando più cauti nel notificare i data breach alle autorità della privacy per paura di indagini, sanzioni e richieste di risarcimento".

Buona parte delle sanzioni comminate, però, non sono relative a dati trafugati, quanto a pratiche di profilazione considerate scorrette, fra cui la pesante multa nei confronti di Instagram. Secondo DLP Piper, però, c'è da aspettarsi un'ondata di ricorsi. Questo perché il DPC irlandese aveva inizialmente dato il via libera alla profilazione comportamentale, ma successivamente la European Data Protection Board ha preso una decisione differente. 

Intelligenza artificiale e dati personali

Un aspetto che i garanti della privacy europei hanno approfondito è quello dei dati personali utilizzati dalle imprese per addestrare gli algoritmi delle IA. A seguito di una serie di denunce partite da organizzazioni per i diritti digitali, sono state effettuate diverse indagini nei confronti di Clearview AI, società che sviluppa soluzioni per il riconoscimento facciale. 

Trasferimento internazionale di dati personali

Un ulteriore aspetto che è stato analizzato nel report è relativo al trasferimento internazionale dei dati personali. I garanti della privacy hanno sostenuto che non è possibile adottare un approccio basato sul rischio quando si valutano i trasferimenti di dati personali verso paesi non UE, sostenendo che i trasferimenti sono vietati se la possibilità di accesso da parte di governi stranieri dà luogo a un qualsiasi rischio di danno (per quanto banale e improbabile).

"Un approccio proporzionato e basato sul rischio agli obblighi previsti dal GDPR sui trasferimenti di dati personali al di fuori dello SEE non è solo consentito ma, a nostro avviso, legalmente richiesto", spiega Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology dello studio legale DLA Piper in Italia. "L’adozione di un approccio “assolutista” alle restrizioni sui trasferimenti e l’effettiva messa al bando di qualsiasi trasferimento di dati personali, per quanto ridotto sia il rischio di danno, rischia di arrecare un danno reale e duraturo ai consumatori. In quest’ottica si pone la metodologia e il tool di legal tech “Transfer” realizzato da DLA Piper e ad oggi utilizzato da oltre 250 clienti dello studio".