GDPR Privacy: le sanzioni più severe del 2022
Le sanzioni pecuniarie per la violazione del GDPR possono essere ingenti, arrivando a centinaia di milioni di euro.
Il Regolamento generale sulla protezione dei dati europeo (GDPR) contiene centinaia di pagine di requisiti ed è considerato una delle leggi sulla privacy e sulla sicurezza più severe a livello globale. In vigore dal 25 maggio 2018, il regolamento impone obblighi alle organizzazioni in qualsiasi parte del mondo, purché prendano di mira o raccolgano dati relativi a persone nell’Unione Europea.
La portata e la complessità del GDPR l’hanno trasformato in una prospettiva scoraggiante per i dipartimenti di compliance, sebbene la disponibilità di soluzioni software innovative abbia contribuito ad alleggerirne l’onere.
Tuttavia, le violazioni sono gravi e le sanzioni pecuniarie possono ammontare a centinaia di milioni di euro. Questo articolo esamina le sanzioni più ingenti in questo ambito nel 2022.
1. Meta – €405 milioni (Irlanda)
La più alta sanzione GDPR del 2022 è stata imposta contro Instagram, piattaforma di social network di proprietà di Meta, dalla Commissione irlandese per la protezione dei dati. La somma di 405 milioni di euro è anche la seconda sanzione più alta ai sensi del GDPR dopo la sanzione di 746 milioni di euro di Amazon nel 2021. Il provvedimento ha lo scopo di punire Meta per la violazione della privacy dei bambini da parte di Instagram attraverso la pubblicazione di indirizzi e-mail e numeri di telefono. La piattaforma consentiva ai ragazzi di età compresa tra i 13 ei 17 anni di utilizzare account aziendali in cui era possibile accedere sia agli indirizzi e-mail che ai numeri di telefono. Inoltre, gli account non erano impostati come privati per impostazione predefinita e in alcuni casi potevano essere visualizzati dal pubblico.
2. Meta – €265 milioni (Irlanda)
La commissione irlandese per la protezione dei dati ha anche sanzionato Meta con la seconda sanzione più alta del 2022, quando la società è stata multata di 265 milioni di euro. L’anno scorso è stata aperta un’indagine quando è stato riferito che i dati di oltre 533 milioni di utenti sono stati scaricati online contenenti nomi, ID di Facebook, indirizzi e-mail e numeri di telefono di persone in più di 100 Paesi diversi. La società ha dichiarato di aver collaborato pienamente all’indagine e di aver apportato modifiche ai propri sistemi per prevenire lo scraping non autorizzato dei dati in futuro.
3. Clearview AI Inc. – €20 milioni (Italia)
La società americana di riconoscimento facciale Clearview AI è stata multata di 20 milioni di euro dal Garante per la Protezione dei Dati Personali italiano. L’azienda raccoglie selfie su Internet e li aggiunge al suo database di circa 10 miliardi di volti per creare servizi di corrispondenza dell’identità che vende in settori come le forze dell’ordine. Insieme alla sanzione, le autorità italiane hanno ordinato alla società di cancellare tutti i dati in suo possesso sugli italiani e le hanno vietato di elaborare altri dati biometrici facciali.
4. Clearview AI Inc. – €20 milioni (Grecia)
Nel luglio 2022, anche l’autorità ellenica per la protezione dei dati (HDPA) ha multato Clearview AI di 20 milioni di euro per aver violato molteplici disposizioni del GDPR. L’organizzazione civile senza scopo di lucro Homo Digitalis ha presentato un reclamo per conto di un interessato in cui si affermava che Clearview AI non avesse rispettato il suo diritto di accedere ai dati personali elaborati. La sanzione rappresenta la più grande multa che l’HDPA abbia imposto nel corso della sua storia di attività. Come in Italia, anche a Clearview AI è stato ordinato di cancellare tutti i dati sui soggetti in Grecia ed è stato vietato l’elaborazione di dati biometrici facciali aggiuntivi.
5. Clearview AI Inc. – €20 milioni (Francia)
Clearview AI ha aggiunto al suo conteggio di gravi violazioni del GDPR nel 2022 una multa di 20 milioni di euro in Francia. Un anno dopo che la società non ha risposto a un ordine della CNIL (l’autorità francese per la protezione dei dati) di interrompere l’elaborazione illegale delle informazioni dei cittadini francesi e di cancellare tutti i dati esistenti, è stata colpita dalla sanzione. Finora, Clearview ha gestito tutte queste sanzioni allo stesso modo, rifiutandosi di cooperare con le autorità di regolamentazione al di fuori degli Stati Uniti. Finora, la società ha negato tutte le accuse e ha affermato che le autorità di regolamentazione straniere non hanno giurisdizione sulla sua attività.
6. Meta – €17 milioni (Irlanda)
Dopo un’indagine su 12 notifiche di violazione dei dati ricevute in un periodo di sei mesi nel 2018, la Commissione irlandese per la protezione dei dati ha multato Meta di 17 milioni di euro per aver violato gli articoli 5 (2) e 24 (1) del GDPR. Ha riscontrato che la società non disponeva di misure tecniche e organizzative adeguate per consentirle di dimostrare prontamente le misure di sicurezza che ha implementato nella pratica per proteggere i dati degli utenti dell’UE nel contesto delle violazioni. La decisione ha segnato la prima volta che l’articolo 60 del GDPR che richiede a tutte le autorità di vigilanza europee di agire come co-decisori è stato utilizzato per risolvere un caso di protezione dei dati.
7. Google – €10 milioni (Spagna)
L’AEDP, l’agenzia spagnola per la protezione dei dati, ha inflitto a Google la multa più alta finora per aver divulgato illegalmente dati personali a un progetto di ricerca di terze parti indipendente. La sanzione di 10 milioni di euro è stata imposta dopo che il colosso dei motori di ricerca ha passato i dati personali di cittadini dell’UE che chiedevano la cancellazione dei propri dati al progetto Lumen. L’AEDP ha ritenuto che il modulo di rimozione dei contenuti fornito da Google agli interessati per esercitare il loro diritto all’oblio fosse fonte di confusione. Agli utenti che richiedevano la cancellazione non è stata quindi offerta la possibilità di trasmettere le loro informazioni al Lumen Project, con Google che vanificava il loro “diritto all’oblio” ai sensi dell’articolo 17 del GDPR.
8. Clearview AI Inc. – €8 milioni (UK)
Un’altra voce familiare nell’elenco dei primi 10 del 2022, Clearview AI è anche caduta in fallo con il cane da guardia per la protezione dei dati del Regno Unito, sebbene la sanzione fosse inferiore alla somma imposta dalle autorità in Italia, Grecia e Francia. Dopo una serie di violazioni delle leggi locali sulla privacy, Clearview AI è stata multata di circa 8 milioni di euro dall’Ufficio del Commissario per le informazioni e gli è stato ordinato di interrompere l’ottenimento e l’elaborazione dei dati personali dei residenti nel Regno Unito pubblicamente disponibili online. È stato inoltre ordinato di eliminare qualsiasi informazione esistente dai suoi sistemi.
9. Rewe – €8 milioni (Austria)
All’inizio del 2022, l’autorità austriaca per la protezione dei dati ha imposto una multa di 8 milioni di euro alla catena di supermercati Rewe per aver violato il GDPR. Si riferisce a violazioni della protezione dei dati nel programma di fidelizzazione dei clienti austriaco dell’azienda, il Jö Bonus Club. Lo stesso programma è stato già colpito da una multa di 2 milioni di euro nel 2021, quando 2 milioni di clienti non sarebbero stati adeguatamente informati sull’ulteriore utilizzo dei loro dati. Rewe ha annunciato che presenterà ricorso contro l’ultima multa.
10. Cosmote Mobile Telecommunications – €6 milioni (Grecia)
Il 31 gennaio 2022, l’autorità ellenica per la protezione dei dati ha inflitto una multa di 6 milioni di euro a Cosmote Mobile Telecommunications, il più grande operatore di telefonia mobile in Grecia, dopo una segnalazione di violazione dei dati. Dopo che gli aggressori sono riusciti a rubare i dati personali dei clienti Cosmote nel 2020, l’HDPA ha indagato sulle circostanze dell’incidente, concludendo che non erano state implementate adeguate misure di protezione dei dati, che la gravità della violazione non era stata spiegata alle persone colpite e che la società madre, l’Organizzazione ellenica per le telecomunicazioni (Gruppo OTE), non era stata inclusa nell’inchiesta. A causa di molteplici violazioni del GDPR, l’HDPA ha emesso la sanzione di 6 milioni di euro per Cosmote, insieme a un’ulteriore sanzione di 3,2 milioni di euro per il gruppo OTE.
Conclusioni
Le multe GDPR sono progettate per rendere la non conformità in materia di sicurezza dei dati un errore costoso e possono essere suddivise in due livelli. Infrazioni meno gravi possono comportare una sanzione di 10 milioni di euro o il 2% del fatturato annuo di un’impresa dell’esercizio precedente, a seconda di quale importo è superiore. Violazioni più gravi possono comportare una multa fino a 20 milioni di euro o il 4% del fatturato annuo di un’azienda rispetto all’anno precedente, a seconda di quanto è più alto.
Sia l’aumento delle violazioni che le sanzioni ingenti imposte negli ultimi anni evidenziano una crescente mancanza di consenso e trasparenza. Nonostante questo trend preoccupante, è stato rassicurante vedere i regolatori europei applicare attivamente la legge e imporre sanzioni a un ritmo mai visto prima. Prima del 2021, la multa più alta mai registrata è stata imposta nel 2019, quando Google è stata penalizzata di 50 milioni di euro per il modo in cui ha comunicato la privacy ai propri utenti e per vari reati di elaborazione dei dati. Quella somma è stata sminuita dalla multa record di 746 milioni di euro di Amazon nel luglio 2021 e da allora anche le sanzioni multiple sono arrivate a centinaia di milioni di euro. Sarà interessante vedere quanto saranno alte le multe nel 2023.
Principi chiave per stabilire un programma anticorruzione (ABC program) efficace