Il GDPR compie 5 anni: era infatti il 25 maggio 2018 quando il Regolamento Europeo per la Protezione dei Dati Personali, più precisamente Reg. Europeo 2016/679, divenne obbligatorio.
Ecco qualche dato interessante per ricordare cosa è successo in questi 5 anni e prospettive per il futuro.
Quando è entrato in vigore il GDPR?
Cominciamo dalle basi. È tecnicamente scorretto dire che il GDPR è entrato in vigore il 25 maggio 2018. Il Regolamento Europeo per la Protezione dei dati personali è infatti entrato in vigore il 24 maggio 2016, come indicato infatti anche dal nome “Reg. Europeo 2016/679”.
Le aziende però tendono a ricordarsi il 25 maggio 2018 perché questa la data in cui l’applicazione del Regolamento è diventata obbligatoria dopo i due anni di tempo (c.d. “periodo di tolleranza”) garantiti alle organizzazioni per adeguarsi.
In parole povere, dal 25 maggio 2018 le aziende potevano essere multate per inadempienza o errata applicazione del GDPR.
Quindi:
- 24 maggio 2016: entrata in vigore GDPR
- 24 maggio 2016 – 24 maggio 2018: periodo di tolleranza offerto per consentire alle organizzazioni di adeguarsi
- 25 maggio 2018: l’applicazione del GDPR diventa obbligatoria
Chiarito questo aspetto, ecco qualche dato interessante.
Numero e valore totale delle multe GDPR in 5 anni
- 5 miliardi: l’ammontare complessivo di sanzioni irrogate in questi 5 anni
- 1500+: numero di multe totali dal 2018 ad oggi
- Media, Telecoms and Broadcasting: il settore più sanzionato. Seguono “Industry and Commerce” e “Transportation and Energy”
Le prime multe GDPR
- 10/2018: prima multa GDPR. Il primato è Garante privacy Portoghese che ha sanzionato a un ospedale (Hospital de Barreiro) in quanto il personale, anche non sanitario, aveva accesso alle cartelle cliniche dei pazienti senza essere autorizzati e senza il consenso dei pazienti
- 4.800€: valore della prima sanzione GDPR comminata a una piccola impresa. Più precisamente, a essere multato è stato un imprenditore austriaco per aver installato, per motivi di video sorveglianza, delle telecamere al di fuori dal suo esercizio commerciale ma che riprendeva anche parte del marciapiede
- 330 mila: il numero di credenziali di caselle elettroniche rubate al social network tedesco Knuddles.de nel primo caso di data breach che ha portato a un’ispezione del Garante, nonché la conseguente multa di 20.000 €
Le multe GDPR con valore più alto in Europa
- 1,2 miliardi di euro a Meta, società proprietaria dei noti social network Facebook, Instagram e Whatsapp. Si tratta della multa più alta comminata in questi 5 anni, frutto di una causa durata 10 anni legata al fatto che Meta aveva trasferito dati degli utenti europei negli USA in modo illegale in quanto in violazione delle regole sulla privacy dell’UE. La multa è stata comminata dal Garante per la privacy dell’Irlanda, dove Meta ha la sua sede legale, il 23 maggio 2023, pochi giorni prima dell’anniversario del GDPR.
Si tratta però dell’ultima sanzione imposta a Meta, già detentore di altre multe da record rispettivamente di 405 milioni di euro (settembre 2022), 390 milioni di euro (gennaio 2023) e 265 milioni di euro (novembre 2022) - 746 milioni di euro ad Amazon, la famosa piattaforma di e-commerce, multata dal Garante privacy del Lussemburgo nell’estate del 2021
- 225 milioni di euro a WhatsApp, il servizio di messaggistica di proprietà di Meta, multata sempre dal Garante Irlandese nel 2021
Le multe GDPR con valore più alto in Italia
- 27,8 milioni di euro a TIM, colosso delle telecomunicazioni multato nel 2021
- 20 milioni di euro a Clearview Al Inc., società specializzata in sistemi di riconoscimento facciale
- 16,7 milioni di euro a Wind Tre, altro colosso delle telecomunicazioni, multato nel 2020.
- Fuori dal podio, altre società pesantemente multate in Italia sono Vodafone, Eni Gas e Luce, Edison Energia, Fastweb, Sky e Douglas.
La situazione in Italia
- 122 milioni di euro: totale di multe in Italia, comprendendo sia le multe imposte a grandi realtà internazionali (come indicato prima, il record in Italia è della società di telecomunicazioni TIM con una sanzione da 27,8 miliardi di euro) sia a piccole e medie imprese finite nel mirino delle autorità, incluse scuole e comuni
- 4° posto in Europa per valore totale delle multe erogate dal 2018, dietro a Irlanda, Lussemburgo e Francia
- 246: numero di multe erogate in Italia in totale dal 2018. Questo valore posiziona l’Italia al 2° posto, dopo la Spagna, per numero di sanzioni in Europa.
- 499.187 €: il valore medio della multa GDPR in Italia. Questo perché molte delle sanzioni sono state imposte a piccole e medie imprese (es. imprenditori che installano illegalmente telecamere di videosorveglianza) e con importo relativamente limitato, ma comunque impattante per la realtà sanzionata.
È possibile consultare i numeri indicati in questo articolo insieme a un elenco completo delle multe GDPR (gestito dal gruppo di ricerca UNIMI) a questo link.
Qualche spunto per le realtà italiane dopo questi 5 anni di GDPR
- Le sanzioni GDPR non sono solo un rischio teorico, ma una concreta possibilità di cui le realtà devono tenere conto prodigandosi nelle attività di adeguamento e di mantenimento
- Continua a crescere la consapevolezza degli utenti circa i diritti sui propri dati. Le aziende devono farsi trovare preparate a rispondere richieste e dimostrare di aver seguito scrupolosamente i principi alla base del GDPR
- Nel mirino delle attività ispettive non ci sono solo grandi imprese tecnologiche ma anche piccoli comuni, imprenditori e realtà locali
- Nel caso delle piccole realtà, i controlli sono spesso conseguenze di segnalazioni, sia di utenti che di lavoratori attenti alla propria privacy.
La tua azienda è compliance al GDRP? Scoprilo con questo test oppure contattaci per richiedere l’intervento dei nostri consulenti!