Violazioni del Gdpr: oltre 600 le sanzioni inflitte nell'Ue dall'inizio del 2021

ROMA - Sono superiori ai 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. Sono state, secondo Privacy Affairs, 661 in tutta l'Unione, di cui 73 in Italia, che è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222). Leggermente diverse sono le cifre fornite da Enforcement Tracker, che fino a maggio 2021 conta un totale di 283 milioni di euro spalmati in 638 sanzioni. Per questa seconda fonte viene confermata la graduatoria per nazioni per numero di sanzioni e si mette in evidenza però che l'Italia è prima per importi delle sanzioni irrogate (oltre 76 milioni).

Sempre secondo www.enforcementtracker.com le violazioni maggiormente punite (euro166 milioni e 245 sanzioni) sono la mancanza di una base giuridica del trattamento (ad esempio mancanza di consenso) e il mancato rispetto delle misure di sicurezza (oltre 66 milioni e 146 sanzioni). Nella parte bassa di questa classifica ci sono anche 5 sanzioni per mancata nomina del responsabile della protezione dei dati o Dpo (euro 186 mila e 5 sanzioni). Tra l'altro, a riguardo dei Dpo, in Italia al Garante della privacy sono pervenute quasi 60 mila comunicazioni di designazioni di questi esperti privacy.

I Data breach

Questi dati, da un lato, testimoniano l'attività, sanzionatoria e non, delle autorità di controllo, ma, dall'altro lato, non sono in grado di far capire se sia o meno aumentata la protezione della privacy. Per questo profilo, gli indicatori potrebbero essere il numero di violazioni della sicurezza cioè dei cosiddetti data breach. Il Garante della privacy, nel primo trimestre del 2021, ha ricevuto 413 notificazioni di data breach e questo dopo le 421 del trimestre precedente. Ciò significa che in Italia ci sono al giorno oltre 4 segnalazioni ufficiali di sicurezza violata.

Prendendo un altro indicatore e cioè i reclami presentati al Garante, essi sono stati 2839 nel primo trimestre del 2021 e cioè quasi 30 al giorno. Anche dinanzi a queste cifre, però, al di là della dimostrazione del volume di attività gestita dall'autorità di controllo, non si ha esatta consapevolezza se questi numeri depongano a favore della aumentata o diminuita effettività della tutela della protezione dei dati e della privacy individuale.

Se il livello di effettività non è assicurato, allora bisogna passare da un approccio basato sul rischio a un approccio basato sulla tranquillità: l'impresa, le pubbliche amministrazioni, clienti e cittadini hanno diritto alla effettiva sicurezza del traffico dei dati personali e non solo allo sforzo per raggiungerla.