Quando il Regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore nel 2018, ha inaugurato una nuova era della protezione dei dati nell'UE. Almeno sulla carta. Ai consumatori sono stati forniti gli strumenti per difendere i loro diritti fondamentali, mentre le autorità hanno ricevuto seri poteri investigativi e la possibilità di sanzionare le violazioni con multe salate. Quasi 7 anni dopo, la realtà è molto più cupa. In occasione della Giornata della protezione dei dati di quest'anno, il 28 gennaio, noyb ha analizzato le attuali statistiche dell'EDPB sulla (in)attività delle autorità nazionali per la protezione dei dati (DPA). I dati mostrano che, in media, solo l'1,3% dei casi sottoposti alle autorità di protezione dei dati si conclude con una multa. Tuttavia, i professionisti della protezione dei dati affermano che le multe sono il modo più efficace per garantire il rispetto della legge da parte delle aziende.
Applicazione rigorosa del GDPR solo sulla carta. Quando il Regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore nel maggio 2018, ha promesso un cambiamento verso un approccio serio alla protezione dei dati. Ai consumatori europei colpiti da violazioni della privacy sono stati forniti gli strumenti necessari per presentare reclamo alle autorità nazionali per la protezione dei dati (DPA), che sono state dotate dei poteri necessari per indagare su tutti i tipi di violazioni ed emettere multe amministrative per prevenire reati simili in futuro. Purtroppo, gli ultimi 7 anni hanno dimostrato che si è trattato per lo più di un'illusione. Lo conferma un nuovo noyb analisi delle Statistiche EDPB sull'attività delle autorità tra il 2018 e il 2023: In media, solo l'1,3% dei casi sottoposti alle DPA si conclude con una multa. Questo dato è in linea con la nostra esperienza pratica: La maggior parte dei casi si trascina per diversi anni, prima di essere chiusi con un accordo o completamente respinti.
Max Schrems: "Le autorità europee per la protezione dei dati hanno tutti i mezzi necessari per sanzionare adeguatamente le violazioni del GDPR ed emettere multe che impediscano violazioni simili in futuro. Invece, spesso trascinano le trattative per anni, per poi decidere troppo spesso contro gli interessi del ricorrente"
Nessun vero esempio positivo. Sebbene alcune autorità per la protezione dei dati sembrino imporre un numero di multe molto maggiore rispetto ad altre, le cifre si attestano tutte su percentuali a una cifra, o addirittura inferiori. Avendo imposto multe nel 6,84% di tutti i casi (contando sia i reclami che le indagini di propria iniziativa) tra il 2018 e il 2023, la DPA slovacca è in testa alle statistiche. Seguono Bulgaria (4,19%), Cipro (3,12%), Grecia (2,65%) e Croazia (2,54%). All'altra estremità dello spettro, l'autorità olandese ha emesso multe nello 0,03% (!) di tutti i casi, seguita da vicino da Francia (0,10%), Polonia (0,18%), Finlandia (0,21%), Svezia (0,25%) e naturalmente Irlanda (0,26%). I restanti Paesi si collocano in una posizione intermedia.
Cliccare qui per vedere la versione completamente interattiva della mappa.
Cliccare qui per vedere la versione completamente interattiva della mappa qui sopra.
Un fenomeno specifico della protezione dei dati. Questa apparente mancanza di gravi conseguenze per le violazioni della legge sembra essere molto specifica della protezione dei dati. Prendiamo ad esempio la Spagna: Nel 2022, la DPA spagnola ha ricevuto 15.128 reclamima ha emesso solo 378 multe. Ciò significa che, statisticamente, solo il 2,5% di tutti i reclami si è concluso con una multa. Questo dato comprende violazioni evidenti come richieste di accesso non evase o banner di cookie illegali, che in teoria potrebbero essere affrontate rapidamente e in modo standardizzato. Per fare un paragone: 3.7 milioni di multe per eccesso di velocità sono state emesse in Spagna nel 2022 (esclusi i Paesi Baschi e la Catalogna). Un paragone simile può essere fatto praticamente per tutti gli altri Stati membri dell'UE.
Max Schrems: "In qualche modo sono solo le autorità per la protezione dei dati a non essere motivate ad applicare effettivamente la legge che è loro affidata. In tutti gli altri settori, le violazioni della legge comportano regolarmente multe e sanzioni pecuniarie. Al momento, le DPA sembrano spesso agire nell'interesse delle aziende piuttosto che delle persone interessate"
I dati dimostrano: più multe = più conformità. Anche se questi numeri non sorprendono, sono comunque allarmanti. A noyb tra i professionisti della protezione dei dati dimostra che sono proprio le multe monetarie a motivare le aziende a rispettare la legge. Alla domanda su quali siano le misure di applicazione più efficaci, il 67,4% degli intervistati ha risposto che le decisioni dell'autorità per la protezione dei dati nei confronti della propria azienda che prevedono una multa influenzeranno i responsabili decisionali a optare per una maggiore conformità. È interessante notare che il 61,5% degli intervistati ha affermato che anche le multe inflitte dalla DPA ad altre organizzazioni influenzerebbero la conformità al GDPR della propria azienda.
Cliccare qui per vedere il grafico interattivo qui sopra.
Le multe comminate sono una barzelletta. Un'analisi più approfondita dell'importo delle multe inflitte ogni anno dalle autorità nazionali rende la questione ancora più chiara. L'Irlanda (475.902.000 euro di multa media all'anno) e il Lussemburgo (124.395.729 euro di multa media all'anno) sono di gran lunga in testa alle statistiche tra il 2018 e il 2023. A prima vista, potrebbe sembrare un sacco di soldi. Ma in realtà non lo è. Quasi tutte le principali aziende tecnologiche come Apple, Google, Meta e Microsoft hanno sede in Irlanda, il che rende il DPC irlandese l'autorità principale per alcuni dei casi più grandi in assoluto. Il Lussemburgo, invece, è responsabile di aziende come Amazon. In realtà, il DPC deve essere costretto alla propria fortuna. noybi due casi più grandi casi contro Meta hanno dovuto subire una deviazione verso l'EDPB prima che il DPC condannasse l'azienda a pagare una multa totale di quasi 1,6 miliardi di euro. Se si toglie questa somma, non rimane molto.
Più budget, più decisioni? Alcune autorità sostengono ripetutamente che basterebbero più budget e risorse per prendere decisioni più tempestive e ad alto impatto. Guardando le statistiche dell'EDPBil bilancio delle autorità è aumentato fino al 130% tra il 2020 e il 2024. L'autorità olandese, ad esempio, ha registrato un aumento del bilancio del 62% in quattro anni, senza un aumento significativo delle multe comminate. Per mettere questo dato in prospettiva: Nel 2023, la DPA olandese aveva un budget di quasi 37 milioni di euro, ma ha imposto solo 1,98 milioni di euro di multe. Si tratta di una differenza di quasi 35 milioni di euro, che lascerà un enorme buco nel bilancio statale. Tuttavia, questo ammanco potrebbe essere compensato da una forte applicazione della normativa. Le multe del GDPR vanno allo Stato dell'autorità capofila.
Clicca qui per vedere il grafico interattivo qui sopra.
Quasi il 40% di tutte le multe grazie a noyb. Questo schema è visibile in tutta l'UE: Tra il 2018 e il 2023, tutte le autorità di protezione dei dati dell'UE hanno imposto un totale combinato di 4,29 miliardi di euro di multe, di cui 1,69 miliardi di euro derivanti da noyb controversie. In altre parole: Quasi il 40% di tutte le multe previste dal GDPR sono riconducibili a noyb. Ciò significa che, in realtà, sembra mancare la volontà politica di opporsi ai giganti tecnologici piuttosto che la possibilità di agire.
