calo del 33% per le sanzioni in Europa. Multe per 237 milioni in 7 anni in Italia

Scritto da  Redazione  il  04 Febbraio 2025

Calo a doppia cifra per le sanzioni al GDPR in Europa.

Con 1,2 miliardi di multe imposte nel 2024, le sanzioni sono diminuite del 33% rispetto all’anno precedente, in controtendenza rispetto agli aumenti annuali degli anni precedenti secondo il Report di DLA Piper.

Sanzioni in Italia

In Italia, dall’entrata in vigore del GDPR nel maggio del 2018, sono state emesse sanzioni sulla privacy per 237,3 milioni di euro.

A primeggiare la classifica per sanzioni è l’Irlanda, con un valore totale aggregato di 3,5 miliardi di euro da maggio 2018: oltre quattro volte l’importo delle multe imposte dal Lussemburgo, secondo in classifica con 746,4 milioni di euro.

Seguono Francia (597,4 milioni di euro), Paesi Bassi (344,6 milioni) e appunto Italia (237,3 milioni).

Notifiche di violazione dei dati

Il numero medio di notifiche di violazione dei dati è aumentato leggermente da 335 a 363 al giorno, segnalando una stabilizzazione rispetto agli anni precedenti.

Questo potrebbe riflettere una maggiore cautela da parte delle aziende, preoccupate dal rischio di indagini, sanzioni e richieste di risarcimento.

Come nei report precedenti, i paesi con il maggior numero di notifiche di violazione dei dati dal 25 maggio 2018 rimangono Paesi Bassi, Germania e Polonia, con rispettivamente 33.471, 27.829 e 14.286 notifiche nell’ultimo anno (dal 28 gennaio 2024 al 27 gennaio 2025).

La multa più salata a Meta

La sanzione più alta mai imposta nell’ambito del GDPR resta la multa record da 1,2 miliardi di euro inflitta nel 2023 dal Garante irlandese della protezione dei dati alla Meta Platforms Ireland Limited.

Questo provvedimento aveva influenzato significativamente i dati dell’anno scorso, spiegando in gran parte la riduzione dell’ammontare delle sanzioni nel 2024.

Le grandi aziende tecnologiche e i giganti dei social media continuano a essere i principali obiettivi delle sanzioni più elevate.

Quasi tutte le dieci sanzioni più alte dal 2018 hanno interessato questo settore.

Solo quest’anno, il Garante irlandese ha inflitto multe per 310 milioni di euro a LinkedIn e per 251 milioni di euro a Meta.

Nell’agosto 2024, l’Autorità olandese per la protezione dei dati ha inflitto una multa di 290 milioni di euro a una nota app di ride-hailing per il trasferimento di dati personali a un paese terzo.

Anche le banche nelle sanzioni del GDPR

L’applicazione del GDPR nel 2024 si è estesa anche ad altri settori, tra cui i servizi finanziari e l’energia.

Ad esempio, l’Autorità spagnola per la protezione dei dati ha inflitto due multe per un totale di 6,2 milioni di euro a una grande banca per misure di sicurezza inadeguate, mentre l’Autorità italiana per la protezione dei dati ha multato un fornitore di servizi energetici per 5 milioni di euro per l’uso di dati obsoleti dei clienti.

Le sanzioni sono uno strumento efficace?

Il Regno Unito, invece, ha rappresentato un’eccezione nel 2024, con pochissime sanzioni. A novembre 2024, il Commissario per l’Informazione britannico, John Edwards, ha dichiarato alla stampa che non considera le multe lo strumento più efficace, poiché potrebbero trascinare l’ufficio in anni di contenziosi.

Giulio Coraggio, Partner Responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia, ha dichiarato: «Per la prima volta, i dati di quest’anno non hanno segnato nuovi record, e qualcuno potrebbe pensare che ci sia un rallentamento nell’applicazione del GDPR. Nulla di più lontano dalla realtà. Dall’aumento delle sanzioni in settori al di fuori del bigtech e dei social media, all’uso del GDPR come strumento di regolamentazione dell’IA, alle significative sanzioni in Germania, Italia e Paesi Bassi, fino all’allontanamento del Regno Unito da un approccio basato sulle multe – il GDPR rimane un panorama dinamico e in continua evoluzione. Personalmente, ricorderò il 2024 come l’anno in cui l’applicazione del GDPR è diventata personale. Con l’Autorità olandese che promuove la responsabilità individuale per la gestione di Clearview AI, il 2025 potrebbe essere l’anno in cui i regolatori si concentreranno maggiormente sul “naming and shaming” e sulla responsabilità personale per migliorare la conformità alla protezione dei dati».