Report DLA Piper: nel 2024 in Europa sanzioni ai sensi del GDPR per 1.2 miliardi di euro
La settima edizione annuale del GDPR Fines and Data Breach Survey dello studio legale DLA Piper evidenzia un altro anno di intesa attività nella tutela della privacy dei dati, con 1,2 miliardi di euro di sanzioni imposte in Europa nel 2024.
Report DLA Piper: nel 2024 in Europa sanzioni ai sensi del GDPR per 1.2 miliardi di euro
- Il totale rappresenta una riduzione del 33% rispetto al 2023, in controtendenza rispetto agli aumenti annuali per la prima volta dall’applicazione del GDPR nel maggio 2018.
- Dall’entrata in vigore del GDPR, in Italia sono state emesse sanzioni privacy aggregate per 237,3 milioni di euro;
- L’Irlanda si conferma al primo posto per sanzioni emesse, con un valore totale aggregato di 3,5 miliardi di euro da maggio 2018.
La settima edizione annuale del GDPR Fines and Data Breach Survey dello studio legale DLA Piper evidenzia un altro anno di intesa attività nella tutela della privacy dei dati, con 1,2 miliardi di euro di sanzioni imposte in Europa nel 2024.
Il dato segna un calo del 33% rispetto all’anno precedente, interrompendo una tendenza di crescita ininterrotta durata sette anni. Tuttavia, questa flessione non indica un allentamento dei controlli: il trend di lungo periodo continua a essere in aumento.
L’Irlanda si conferma ancora una volta il paese con il più elevato livello di sanzioni, con un totale aggregato di 3,5 miliardi di euro dal maggio 2018, oltre quattro volte l’importo delle multe imposte dal Lussemburgo, secondo in classifica con 746,4 milioni di euro. Seguono Francia (597,4 milioni di euro), Paesi Bassi (344,6 milioni) e Italia (237,3 milioni). Dal 2018, l’ammontare complessivo delle sanzioni legate al GDPR ha raggiunto i 5,88 miliardi di euro.
Tendenze e approfondimenti
La sanzione più alta mai imposta nell’ambito del GDPR resta la multa record da 1,2 miliardi di euro inflitta nel 2023 dal Garante irlandese della protezione dei dati alla Meta Platforms Ireland Limited. Questo provvedimento aveva influenzato significativamente i dati dell’anno scorso, spiegando in gran parte la riduzione dell’ammontare delle sanzioni nel 2024.
Le grandi aziende tecnologiche e i giganti dei social media continuano ad essere i principali obiettivi delle sanzioni più elevate. Quasi tutte le dieci sanzioni più alte dal 2018 hanno interessato questo settore. Solo quest’anno, il Garante irlandese ha inflitto multe per 310 milioni di euro a LinkedIn e per 251 milioni di euro a Meta.
Nell’agosto 2024, l’Autorità olandese per la protezione dei dati ha inflitto una multa di 290 milioni di euro a una nota app di ride-hailing per il trasferimento di dati personali a un paese terzo.
L’applicazione del GDPR nel 2024 si è estesa anche ad altri settori, tra cui i servizi finanziari e l’energia. Ad esempio, l’Autorità spagnola per la protezione dei dati ha inflitto due multe per un totale di 6,2 milioni di euro a una grande banca per misure di sicurezza inadeguate, mentre l’Autorità italiana per la protezione dei dati ha multato un fornitore di servizi energetici per 5 milioni di euro per l’uso di dati obsoleti dei clienti.
Il Regno Unito, invece, ha rappresentato un’eccezione nel 2024, con pochissime sanzioni. A novembre 2024, il Commissario per l’Informazione britannico, John Edwards, ha dichiarato alla stampa che non considera le multe lo strumento più efficace, poiché potrebbero trascinare l’ufficio in anni di contenziosi.
L’alba della responsabilità personale
Uno degli sviluppi più significativi del 2024 è stato il crescente focus sulla governance e la vigilanza, con diverse decisioni che hanno evidenziato gravi carenze gestionali e hanno chiamato in causa direttamente i dirigenti aziendali.
In particolare, l’Autorità olandese per la protezione dei dati ha annunciato un’indagine per valutare se sia possibile ritenere i dirigenti di Clearview AI personalmente responsabili per ripetute violazioni del GDPR, in seguito a una sanzione di 30,5 milioni di euro inflitta all’azienda.
Questa inchiesta senza precedenti sulla responsabilità individuale dei manager potrebbe segnare un cambiamento radicale nell’approccio delle autorità, che iniziano a considerare la responsabilità personale come un potente strumento per rafforzare la conformità alla normativa in materia di protezione dei dati.
Notifiche di violazione dei dati
Il numero medio di notifiche di violazione dei dati è aumentato leggermente da 335 a 363 al giorno, segnalando una stabilizzazione rispetto agli anni precedenti. Questo potrebbe riflettere una maggiore cautela da parte delle aziende, preoccupate dal rischio di indagini, sanzioni e richieste di risarcimento.
Come nei report precedenti, i paesi con il maggior numero di notifiche di violazione dei dati dal 25 maggio 2018 rimangono Paesi Bassi, Germania e Polonia, con rispettivamente 33.471, 27.829 e 14.286 notifiche nell’ultimo anno (dal 28 gennaio 2024 al 27 gennaio 2025).
Conclusioni
Commentando l’indagine, Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia, ha dichiarato: “Per la prima volta, i dati di quest’anno non hanno segnato nuovi record, e qualcuno potrebbe pensare che ci sia un rallentamento nell’applicazione del GDPR. Nulla di più lontano dalla realtà. Dall’aumento delle sanzioni in settori al di fuori del big tech e dei social media, all’uso del GDPR come strumento di regolamentazione dell’IA, alle significative sanzioni in Germania, Italia e Paesi Bassi, fino all’allontanamento del Regno Unito da un approccio basato sulle multe – il GDPR rimane un panorama dinamico ed in continua evoluzione”. “Personalmente, ricorderò il 2024 come l’anno in cui l’applicazione del GDPR è diventata personale. Con l’Autorità olandese che promuove la responsabilità individuale per la gestione di Clearview AI, il 2025 potrebbe essere l’anno in cui i regolatori si concentreranno maggiormente sul ’naming and shaming’ e sulla responsabilità personale per migliorare la conformità alla protezione dei dati.”
