Come gli stati Ue implementano il Gdpr Europa

Dall’entrata in vigore del Gdpr a oggi, sono state fatte più di 900 multe per violazione dei dati personali. Segno di una estesa applicazione del regolamento. Ci sono però disparità tra i vari paesi membri in quanto a numero di sanzioni e anche rispetto agli investimenti nel settore.

|

A tre anni e mezzo dall’introduzione del Gdpr, il regolamento europeo sulla protezione dei dati personali, i paesi dell’Unione nel complesso hanno imposto numerose sanzioni alle aziende che violavano la privacy degli utenti. Sussistono tuttavia delle disparità in quanto ad applicazione e investimenti ed è necessario un impegno maggiore da parte di vari stati membri.

Il Gdpr e il sistema di sanzioni

Il General data protection regulation (Gdpr), ovvero il regolamento europeo 2016/679 sulla protezione dei dati personali, è stato adottato dai paesi Ue nel 2016 e implementato nel 2018. Soprattutto a partire dal 2020, il numero di multe inflitte a livello nazionale è andato aumentando, risultando cumulativamente in 1,3 miliardi di euro, secondo il monitoraggio condotto da Privacy affairs.

908 le sanzioni imposte dai paesi Ue secondo il regolamento Gdpr, da maggio 2018 a novembre 2021.

Il contributo maggiore per quanto riguarda il numero di sentenze proviene dalla Spagna, ma i due episodi di maggiore portata in termini di singole ammende sono state quelle contro Amazon e Whatsapp di Lussembugo e Irlanda. Entrambe ammontano al 75% della punizione massima prevista, per aver violato uno dei diritti fondamentali riguardo alla protezione dei dati.

Irlanda e Lussemburgo sono due nazioni chiave nell’implementazione del regolamento, in quanto sedi di alcune delle principali aziende tech del continente. Fino a poco tempo fa questi due paesi si erano dimostrati piuttosto riluttanti ad agire su questo fronte, ma negli ultimi tempi stanno assumendo un modo di fare più assertivo.

Le multe non sono un principio guida, ma danno un’idea della frequenza con cui il Gdpr è applicato.

Di per sé, l’imposizione di sanzioni non è considerata un principio guida del Gdpr, ma dà un’idea della frequenza con cui il regolamento viene effettivamente applicato. Il Gdpr conferisce agli stati membri la facoltà di lanciare moniti e, nei casi più seri, infliggere multe laddove un articolo del regolamento sia violato. In questi casi, a pesare sono la gravità dell’episodio e il grado di intenzionalità e cooperazione all’interno dell’impresa, e l’importo può arrivare fino ai 20 milioni di euro o al 4% del reddito annuale dell’azienda in questione.

Non è quindi tanto la presenza di sanzioni a indicare una corretta applicazione del regolamento. Piuttosto, una loro totale assenza costituisce una spia di malfunzionamento.

Le multe imposte dagli stati membri

La Spagna è il paese Ue che ha imposto il maggior numero di ammende relativamente alla protezione della privacy digitale (320). È seguita da questo punto di vista da Italia (95) e Romania (63).

35,2% di tutte le sanzioni per violazione della privacy online in Ue sono state imposte dalla Spagna.

A pesare però non è soltanto il numero di multe, ma anche il loro effettivo ammontare. Gli incassi maggiori infatti sono avvenuti in Irlanda e Lussemburgo, che pure hanno registrato rispettivamente solo 12 e 10 sanzioni. Si tratta comunque delle più elevate nella storia del Gdpr.

Sono inclusi tutti i paesi Ue più i paesi fuori dall’Ue che però hanno implementato il Gdpr (Liechtenstein, Regno Unito, Norvegia e Islanda). I dati del Regno Unito includono anche la multa inflitta dall’Isola di Man. I dati riguardano il periodo dall’implementazione del Gdpr (maggio 2018) a oggi e sono aggiornati al 3 novembre 2021.

FONTE: elaborazione openpolis su dati En orden mundial e Privacy affairs
(ultimo aggiornamento: lunedì 29 Novembre 2021)

Lussemburgo e Irlanda hanno imposto le due sanzioni più importanti contro Amazon e Whatsapp.

In particolare, la commissione nazionale per la protezione dei dati in Lussemburgo ha inflitto una multa di 746 milioni di euro ai danni di Amazon per aver usato i dati personali, illegalmente, ai fini di una maggiore personalizzazione delle pubblicità. Mentre il comitato irlandese per la protezione dei dati ha emesso un'ammenda di 226 milioni contro Whatsapp per non aver informato correttamente gli utenti sulle modalità di condivisione dei loro dati con Facebook. Queste due sentenze hanno costituito un vero e proprio spartiacque nei rapporti con i giganti tech, che fino a quel momento avevano più o meno eluso le normative vigenti in fatto di privacy online. Oltre a rappresentare un traguardo per i due paesi in questione, che precedentemente avevano ostacolato il regolamento.

Il One stop shop, un'arma a doppio taglio

Per evitare sovrapposizioni, il Gdpr prevede che l'implementazione debba avvenire a livello nazionale, nel paese in cui l'azienda responsabile ha sede. Tale meccanismo è conosciuto come "One stop shop" e ha privilegiato le aziende con sede in stati come Irlanda e Lussemburgo, caratterizzati da aliquote fiscali particolarmente basse per le multinazionali.

Questo è risultato in critiche da parte delle istituzioni europee, che hanno denunciato la condizione ai limiti del paradiso fiscale di questi paesi, fino a una serie di procedure per infrazione ai danni dell'Irlanda per il suo fallimento nell'implementazione del regolamento.

Infatti, le due storiche sentenze sono state accolte con grande entusiasmo a Bruxelles. Tuttavia, si tratta di un ottimismo piuttosto cauto, considerato che il 98% dei casi transnazionali irlandesi risultano a oggi irrisolti.

Verso una cultura europea della protezione dei dati

Il recente decollo del Gdpr è anche un risultato dell'aumento dei finanziamenti alle agenzie statali per la protezione dei dati personali. Quella irlandese, ad esempio, era stata sottofinanziata per due decenni.

Mentre nel 2016 il costo cumulativo di tutte le agenzie di questo tipo in Ue ammontava a 162 milioni di euro, questa cifra è salita, nel 2021, a 295 milioni.

+82,1% l'aumento dei finanziamenti alle agenzie nazionali per la protezione dei dati personali in Ue, tra 2016 e 2021.

Esistono comunque notevoli disparità, sotto questo aspetto, tra i vari paesi membri. La Germania ad esempio, dotata di un'agenzia federale e di 16 regionali, da sola costituisce il 32% della spesa europea in questo settore. Mentre 9 paesi spendono meno di 2 milioni di euro.

I dati si riferiscono ai paesi membri dell’Ue. Per quanto riguarda la Germania, sono inclusi i dati sulle autorità nazionali e federali (a esclusione della Baviera).

FONTE: elaborazione openpolis su dati El orden mundial e Irish council for civil liberties
(ultimo aggiornamento: lunedì 29 Novembre 2021)

In questo senso il comitato europeo per la protezione dei dati (Edpb), l'istituzione incaricata di facilitare un'applicazione uniforme per la protezione dei dati personali tra i vari stati membri e una collaborazione a livello europeo, ha sottolineato l'importanza di tempo e risorse e quindi dei finanziamenti a livello nazionale.

A oggi, l'applicazione del Gdpr risulta ancora asimmetrica e poco coordinata, ma per creare le basi di azione ci vuole tempo. Pian piano, i vari legislatori nazionali stanno armonizzando i loro criteri e stanno creando precedenti che permetteranno loro di implementare alcune delle più ambiziose leggi esistenti sulla tutela dei dati.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. La versione originale di questo articolo è di El orden mundial, un giornale europeo, ed è partner di Edjnet. I dati relativi al numero di sanzioni imposte dai vari paesi membri (e i loro importi) sono disponibili qui. Mentre i dati sugli investimenti nelle agenzie per la protezione dei dati personali nei vari paesi Ue sono consultabili qui.

 

Foto credit: Sergey Zolkin - licenza

PROSSIMO POST