Se, fino a pochi anni fa, la privacy sul web era solo una questione dibattuta ma non garantita se non a parole, con l’approvazione del Regolamento per la protezione dei dati (il General Data Protection Regulation, abbreviato con GDPR) per le multinazionali della tecnologia sono arrivati i primi provvedimenti sanzionatori.
Un rapporto stilato dallo studio legale internazionale DLA Piper ha calcolato sia il valore delle sanzioni comminate dalle Autorità garanti sia il numero di denunce. Secondo l’analisi, l’importo complessivo delle multe per la violazione dei dai personali ammonta a 114 milioni di euro.
La nazione che ha sanzionato di più è stata la Francia (51 milioni di euro), seguita dalla Germania (24,5 milioni), Austria (18 milioni) e Italia (11,55 milioni di euro). I destinatari delle multe sono state soprattutto le multinazionali sia di servizi informatici che di altro genere. È il caso di British Airways, compagnia aerea britannica, che ha ricevuto una richiesta di pagamento per 183 milioni di sterline da parte del Garante inglese per la protezione dei dati per non aver vigilato abbastanza sulle informazioni dei propri passeggeri, rubate in un cyber attacco nel 2018. Sempre il Garante inglese ha sanzionato aziende che operano nel settore della sicurezza o della ricettività.
Tuttaviala sanzione più alta in Europa è stata quella che l’Autorità francese ha inflitto a Google per aver violato il principio di trasparenza nella raccolta di informazioni personali sensibili, lasciando gli utenti privi delle garanzie essenziali nel trattamento dei loro dati che, quindi, possono rivelare parti importanti della loro vita privata. Così, nel gennaio del 2019, il colosso di Mountain View ha dovuto sborsare ben 50 milioni di euro.
Oltre alle sanzioni, DLA Piper ha preso in esame anche i casi di denuncia di data brech, cioè quando i dati personali vengono esposti al pubblico.
Ebbene nei 28 Stati membri dell’Unione Europea, oltre a Norvegia, Islanda e Liechtenstein, negli ultimi due anni ci sono state più di 116 mila denunce alle Autorità competenti. Anche il tasso giornaliero di notifiche di data breach è aumentato del 12,6%. Da 247 notifiche al giorno, per i primi otto mesi di GDPR (dal 25 maggio 2018 al 27 gennaio 2019), a 278 notifiche di data breach al giorno per l’anno in corso, segno che da parte degli utenti si è presa coscienza delle garanzie dei propri diritti.
L’approvazione del GDPR rappresenta, in Europa, la prima pietra per una totale attuazione della protezione dei dati sensibili. In vigore dal dicembre del 2018, prevede per i trasgressori multe fino a un importo pari al 2% del fatturato. Oltre al web, la norma tutela il diritto alla protezione dei dati personali anche su altri mezzi di comunicazione.
Questa settimana l’Autorità garante italiana ha infatti multato Eni per delle attività di telemarketing indesiderato e attivazione di contratti non richiesti.
Ad oggi, però, rimangono ancora diverse incertezze, a cominciare dall’interpretazione del contenuto normativo. «Se dovessimo chiedere a due diversi regolatori come devono essere calcolate le multe otterremo due risposte diverse. Siamo ancora lontani dalla certezza del diritto su questa questione cruciale», ha detto Patrick Van Eecke, responsabile internazionale di DLA Piper.