Il gruppo CMS ha pubblicato la 5° edizione del GDPR Enforcement Tracker Report. Il Gruppo riunisce avvocati e consulenti legali che operano, in ambiti diversi, in oltre 40 paesi in tutto il mondo.
Dall’analisi di CMS emerge un giudizio positivo: il potente meccanismo sanzionatorio messo in campo dal GDPR ha contribuito a sensibilizzare e incoraggiare gli sforzi di conformità, obiettivo del legislatore europeo. Vedremo, sul punto, anche le conclusioni della Commissione europea come riportate nella sua seconda Relazione sull’applicazione del GDPR.
GDPR Enforcement Tracker: 2.225 multe e gettito di 4 miliardi
Dai dati appare un incremento rispetto al Report 2023, di 510 casi che determina un totale annuo complessivo di 2.225 sanzioni che hanno generato circa 4 miliardi e mezzo di euro di gettito: circa 1,70 miliardi di euro l’aumento registrato rispetto al Report 2022.[1]
La Spagna è ancora una volta prima nella “classifica” per numero di multe per paese, sempre seguita da Italia e Romania.
Irlanda, Lussemburgo e Francia guidano la classifica per l’importo medio e complessivo delle multe inflitte, risultato determinato dalle sanzioni record inflitte alle big tech dal 2021.
Tipologia delle violazioni
Ma è dall’esame della tipologia delle violazioni, che arrivano le prime rilevanti evidenze: al primo posto troviamo ancora una volta le carenze sull’individuazione della “base giuridica del trattamento dei dati” (612 multe, media di 2,7 milioni di euro) e la “non conformità ai principi generali del trattamento” (561 multe, media di 3,7 milioni di euro). Seguono le insufficienti “misure tecniche e organizzative per garantire la sicurezza delle informazioni” (357 multe, in media 1,1 milioni di euro).
Tali evidenze che determinano una scarsa attenzione ai fondamentali della compliance alla protezione dei dati e alla connessa tutela dei diritti degli interessati, (che si posizionano al quarto posto della classifica) ci dovrebbero far riflettere: occorre mettere maggiore enfasi sui rischi organizzativi e soprattutto sull’esigenza di puntare ancor di più sui processi, “sulle politiche in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale”.
A tale proposito occorre ricordare come l’azione di applicazione coordinata avviata dall’EDPB a gennaio 2024, la terza, ha ad oggetto proprio le modalità con cui titolari e responsabili del trattamento stanno dando attuazione all’art. 15 del GDPR. Ne vedremo i risultati e le azioni che le autorità nazionali vorranno adottare.
Attenzione resa ancor più necessaria di fronte alle nuove sfide, che vedono proprio i diritti dei soggetti interessati divenire sempre più vulnerabili, in un sistema di crescente sviluppo di nuove tecnologie e di penetrazione sempre più diffusa dell’intelligenza artificiale. Questi sistemi possono comportare trattamenti diffusi, complessi e su larga scala di dati personali e aumentare, così, la probabilità di trattamenti “a rischio elevato” e di potenziali violazioni della protezione dei dati.
Big Tech sotto tiro: record di sanzioni GDPR
La distribuzione delle sanzioni, a partire da maggio 2018, mostra che le autorità di vigilanza europee hanno inizialmente adottato un approccio cauto nel primo anno di applicazione del GDPR: la prima multa viene registrata in Portogallo nel luglio 2018 (400.000 euro contro un ospedale pubblico), seguita da un numero di sanzioni relativamente consistente e in costante aumento a fine 2018 e in accelerazione tra il 2019 e la metà del 2021. Le sanzioni contro “Big Tech” nel 2022 e la prima multa miliardaria nel 2023 hanno catapultato l’importo totale delle multe, come abbiamo visto, ben oltre i 4 miliardi di euro.
Verso un incremento degli interventi della Corte di Giustizia Europea
Occorre, d’ora in avanti, prestare maggiore attenzione al ruolo rilevate che andranno ad assumere gli interventi della magistratura nelle cui aule arriveranno le questioni chiave sull’interpretazione delle disposizioni del GDPR. Assisteremo sicuramente anche ad un incremento degli interventi della Corte di Giustizia Europea.
Per evitare il rischio di una incertezza giuridica nell’interpretazione del GDPR, che potrebbe essere alimentata da differenze interpretative e applicative tra le autorità dei diversi Stati membri forte è l’impegno dell’EDPB con tutti gli strumenti a sua disposizione. Da un lato le Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR vers. 2.1 adottate il 24 maggio 2023, la cui finalità è proprio quella di fornire una base chiara e trasparente per la determinazione delle sanzioni connesse alle violazioni del GDPR e dall’altro l’attivazione del meccanismo di coerenza[2] previsto dall’art 63 del GDPR.
La situazione in Italia
Anche in Italia l’attenzione della nostra autorità nazionale è stata posta su violazioni per non conformità con la normativa sulla protezione dei dati: le principali sanzioni sono state inflitte per motivi legati all’insufficienza della base giuridica per il trattamento dei dati, nonché al mancato rispetto dei principi generali in materia di trattamento dei dati. Finora l’attenzione si è concentrata sulle attività di telemarketing, soprattutto nei settori delle telecomunicazioni e dell’elettricità.
Le cinque multe più elevate
Le cinque multe più elevate hanno toccato il settore dei servizi con energia e telecomunicazioni:
- Enel Energia SpA – 79,1 milioni di euro con provvedimento del 29 febbraio 2024 per la mancata osservanza delle misure tecniche e organizzative volte a limitare i potenziali abusi da parte di agenzie che svolgevano illecitamente attività di telemarketing;
- Tim SpA – 27,8 milioni di euro con provvedimento del 1° febbraio 2020, per l’insufficiente base giuridica del trattamento dei dati in operazioni di trattamento dei dati relative ad attività di marketing;
- Areti s.p.a. – 1 milione di euro con provvedimento del 24 novembre 2022 per aver erroneamente classificato migliaia di utenti come “debitore inadempiente“, impedendo in tal modo il passaggio a un altro fornitore di energia elettrica e la perdita dei risparmi potenziali derivanti dal cambiamento del fornitore;
- Clearview AI (società con sede negli Stati Uniti) – 20 milioni di euro con provvedimento del 10 febbraio 2022, per aver illegittimamente utilizzato oltre 10 miliardi di immagini facciali provenienti da tutto il mondo, estratte da fonti pubbliche del web (media, social media, video online) mediante scraping;
- Douglas talia Spa – 1,4 milioni di euro con provvedimento del 20 ottobre 2022 per non aver rispettato la normativa italiana ed europea riguardante in particolare i periodi di conservazione dei dati e il trattamento a fini di marketing e profilazione.
Occorre rilevare come, anche nel nostro paese, sono in aumento le controversie presso i tribunali ordinari per violazioni della protezione dei dati; la tendenza proseguirà sicuramente nei prossimi anni con l’arrivo delle richieste di risarcimento dei danni.
Il programma delle ispezioni del Garante per il secondo semestre
Anche nel programma delle ispezioni per il secondo semestre del 2024 emerge come l’attenzione del Garante continua ad essere rivolta alle medesime tipologie di attività. In particolare:
- i trattamenti svolti dalle società specializzate in informazioni commerciali e nelle indagini sull’affidabilità creditizia;
- i trattamenti di dati effettuati a fini di telemarketing;
- l’attivazione di contratti non richiesti nel settore energetico
- l’utilizzo dei cookie;
- i trattamenti dei dati svolto attraverso le “piattaforme di registro elettronico e suite digitali” dagli istituti scolastici.
Ovviamente saranno utili le valutazioni che emergeranno dalla prossima Relazione al Parlamento
I settori più colpiti
Dall’analisi emerge come i settori più colpiti continuano ed essere i media, le telecomunicazioni, il settore radiotelevisivo e il commercio.
Finanza, assicurazioni e commercio
Continua anche l’aumento delle sanzioni nel settore della finanza, delle assicurazioni e della consulenza: in questo settore le sanzioni più elevate sono connesse alla mancanza di misure di conformità interne adeguate a garantire una base giuridica sufficiente per l’elaborazione dei dati dei clienti, in particolare, sotto accusa è la mancanza di un consenso effettivo per l’elaborazione dei dati.
Assistenza sanitaria
Delicato il settore dell’assistenza sanitaria: i casi che emergono indicano che il rischio di conformità può essere correlato alla (in-)disponibilità dei dati (oltre alla riservatezza individuata come la preoccupazione di sicurezza più diffusa), alla migrazione dei dati sanitari tra sistemi e alla divulgazione involontaria di dati sanitari (ad esempio, dall’indicazione del mittente sulle buste).
Il settore dell’industria e del commercio
Il settore dell’industria e del commercio ha dovuto far fronte a sanzioni pecuniarie significative per non aver rispettato i principi generali di protezione dei dati e, soprattutto, per la non corretta individuazione della base giuridica idonea a quel trattamento dei dati oltre alla scarsa attenzione all’effettiva necessità del trattamento e alla durata dei periodi di conservazione. Il caso italiano di Clearview AI ne è la dimostrazione; sul tema si rivela molto attenta l’autorità spagnola, con oltre il 40% delle sue sanzioni.
Nel settore dei media, delle telecomunicazioni e della radiodiffusione la maggior parte delle multe sono connesse a trattamenti di dati privi di una base giuridica sufficiente.
Il caso di Meta
Il caso di Meta è sicuramente, ad oggi, il più eclatante che, se non da solo, ha determinato un aumento del 94% rispetto all’anno precedente.
Negli ultimi anni il numero di casi nel settore dei trasporti e dell’energia è notevolmente aumentato, anche se appare diminuito l’importo medio delle sanzioni.
La base giuridica insufficiente per il trattamento dei dati e l’inosservanza dei principi generali di trattamento dei dati detengono il primato tra le motivazioni delle sanzioni.
Settore pubblico e istruzione
Le autorità pubbliche, comprese le istituzioni educative per la particolare vulnerabilità dei dati che gestiscono, hanno una particolare posizione e un rapporto di fiducia con i loro utenti: occorre assicurare un rigoroso rispetto delle leggi sulla protezione dei dati e, quindi, un livello eccezionalmente elevato della sicurezza dei dati che vengono loro affidati.
Le Autorità nazionali attenzionano il settore pubblico e l’istruzione, proprio in relazione all’uso della tecnologia (il registro elettronico e le suite digitali). Sono in crescita le sanzioni relativamente alla non corretta elaborazione dei dati sensibili, la profilazione e il tracciamento o la sorveglianza.
Il settore del lavoro
Nel settore del lavoro si riscontra un aumento significativo dell’importo totale delle sanzioni irrogate: i dipendenti sono considerati soggetti particolarmente vulnerabili. I tribunali del lavoro considerano le prove presentate dai datori di lavoro nei procedimenti dei tribunali del lavoro come non ammissibili se raccolte in violazione delle leggi sulla protezione dei dati.
Rileva anche che innanzi ai tribunali del lavoro sono state portate anche richieste di risarcimento per violazioni della protezione dei dati.
Sicuramente questo è uno dei settori più complessi dove però il trattamento di dati personali è strettamente connesso al quadro giuridico nazionale che disciplina il rapporto di lavoro, e l’interpretazione stabilita di tali leggi nazionali sul lavoro influenza generalmente la portata consentita del trattamento dei dati dei dipendenti. Questa è sicuramente un altro campo di sfida per le organizzazioni internazionali con una richiesta di maggiori sforzi di conformità.
Sicuramente l’analisi del Gruppo CMS, anche con le difficoltà da loro stessi evidenziate, rappresenta uno grosso impegno e offre notevoli spazi di riflessione. La loro raccolta sistematica dei provvedimenti sanzionatori delle autorità nazionali UE costituisce un utile strumento di analisi, di approfondimento e confronto.
La relazione della Commissione europea
Interessanti, sul tema, alcuni dati che emergono dalla Seconda Relazione della Commissione europea sull’applicazione del GDPR.
Viene riconosciuto un generale, notevole, miglioramento dell’attività di applicazione delle norme da parte delle autorità di protezione dei dati dove spicca l’imposizione di sanzioni pecuniarie significative nei confronti di grandi imprese tecnologiche multinazionali nell’ambito di casi di rilevanza storica. Eventi questi che hanno indotto le imprese private a prendere sul serio la protezione dei dati e hanno contribuito a creare attenzione e una propensione al rispetto delle norme all’interno delle organizzazioni.
La Commissione sottolinea positivamente sia l’uso efficace, fatto da molte autorità nazionali (in testa Austria, Ungheria, Lussemburgo e Irlanda), di procedure di “composizione amichevole” delle controversie, con l’obiettivo di risolvere reclami in modo rapido e soddisfacente per il reclamante sia l’ampio ricorso ai poteri correttivi con avvertimenti, ammonimenti e ordini di rispettare il GDPR (anche se con notevoli differenze tra le autorità) dove al primo posto troviamo la Germania, seguita dalle autorità spagnole, lituane ed estoni.
Sicuramente un contribuito positivo a tale andamento viene proprio dalle Linee guida 4/2022 adottate dall’EDPB dopo un lungo periodo di consultazione ma anche dall’applicazione rigorosa e fattuale del meccanismo di coerenza. È il segnale che questa è la strada giusta, occorre uno sforzo comune verso una sempre maggiore cooperazione e coerenza.
Note
Cfr. Decisione vincolante EDPB 1/2023 in merito alla controversia presentata dall’autorità di controllo irlandese sui trasferimenti di dati da parte di Meta Platforms Ireland Limited per il servizio offerto da Facebook. ↑
Occorre comunque segnalare, come evidenziato dallo stesso CMS, che un diverso approccio nei criteri di pubblicazione delle multe/decisioni tra i diversi paesi, determina nell’Enforcement Tracker, una registrazione di casi inferiori alle sanzioni effettivamente comminate. ↑
