Si è chiuso un 2022 da record per i garanti della privacy degli Stati europei. Un anno in cui l’importo complessivo delle sanzioni inflitte per violazioni del Gdpr (il regolamento europeo che protegge i dati personali) ai big del tech (e non solo) dal 28 gennaio a oggi è stato pari alla cifra record di 1,64 miliardi di euro, con un aumento del 50% rispetto all’anno precedente, che portano le multe Gdpr fatte a partire dal 25 maggio 2018 al totale complessivo di 2,92 miliardi di euro.
In Italia il totale è di poco più di 63 milioni di euro di multe, con la singola sanzione più elevata di 27,8 milioni di euro, numeri che mettono il nostro paese in sesta posizione dopo Irlanda, Lussemburgo, Francia, Spagna e Germania.
Lo studio, che somma tutte le sanzioni erogate sotto l’ombrello della normativa del Gdpr, è stato stilato Dla Piper, uno studio legale internazionale, che si occupa anche di cybersicurezza e protezione dei dati. Proprio Dla Piper sta registrando anno dopo anno l’andamento crescente delle sanzioni. I numeri sono molto grandi, anche se poi vengono fatti ricorsi contro le varie sanzioni e non tutte devono essere pagate.
Tuttavia, la sanzione più alta di quest’anno è comunque una multa da poco meno di mezzo miliardo di euro: 405 milioni per la precisione, inflitta dal garante irlandese nei confronti di Meta, la holding di Facebook, per via di Instagram. L’oggetto sono varie presunte mancanze nella protezione dei dati personali dei minori. Per la cronaca, la multa più alta di sempre è stata data nel 2021 dall’Autorità del Lussemburgo, che ha comminato una sanzione di 746 milioni di euro contro una società che fa vendite online: non ne conosciamo il nome però perché il dossier non è stato ancora reso pubblico e c’è un appello pendente.
Invece, sull’altro fronte, ovverosia quello della responsabilità per furto di dati, il numero medio giornaliero di data breach notificati è leggermente diminuito, passando da 328 a 300, suggerendo secondo i legali di Dla Piper che le aziende potrebbero essere più caute nel notificare le violazioni per timore di indagini, sanzioni e richieste di risarcimento. In generale in Europa Paesi Bassi rimangono in testa alla classifica per il numero di notifiche di violazione effettuate ogni 100 mila abitanti.
I nuovi fronti
Le violazioni della privacy e del trattamento dei dati, sotto il cappello della normativa europea del Gdpr, nel 2022 mostrano che si stanno aprendo due nuovi fronti. Il primo è con gli Stati Uniti. Dopo che si è creato un vuoto normativo a luglio 2020, dopo la sentenza “Schrems II” della Corte di giustizia dell’Unione europea che ha invalidato il Privacy Shield in vigore tra Stati Uniti e Unione europea, l’amministrazione Biden sta cercando di creare una normativa sostitutiva per il trasferimento dei dati personali attraverso l’Atlantico. L’Unione sta procedendo su una strada simile ed è stato raggiunto un primo accordo ma nel lungo periodo secondo i legali non è chiaro se le nuove decisioni operative prese da Stati Uniti e Unione europea saranno sufficienti o ci sarà il rischio di una nuova sentenza che azzeri la validità degli accordi.
In particolare, l’organizzazione Noyb e altri gruppi simili hanno presentato vari esposti ai garanti di Italia, Grecia, Regno Unito, Francia e Austria contro Clearview Ai, azienda che si occupa di riconoscimento facciale e che è stata indagata e multata più volte (in Italia per 20 milioni di euro).
La normativa europea sull’intelligenza artificiale
A parte il problema della normativa, che porta a citare e poi multare più volte la stessa azienda per lo stesso problema nei vari paesi europei per mancanza di una normativa procedurale comune, il vero nodo è comunque la relazione piuttosto complessa tra Ai e dati personali, che nel futuro secondo lo studio legale è destinata a crescere.
Secondo i legali, tuttavia, con la normativa europea sull’Ai, che dovrebbe essere finalizzata nel 2023, dovrebbero arrivare maggiori indicazioni da parte delle autorità di vigilanza sulla protezione dei dati sull’interazione tra l’Ai e la legge sulla protezione dei dati e, nell’ambito di questa, sull’interazione tra l’Ai e l’etica dei dati.
Sempre secondo Dla Piper aumenteranno le indagini e l’applicazione delle norme sui sistemi e sulle soluzioni di Ai più invasive e ricche di dati personali. Nuove multe all’orizzonte anche su questo fronte, dunque.
Ma il tema più profondo è quello della crescente sensibilità da parte degli utenti (e di alcuni produttori di tecnologia, come Apple) per la tutela della privacy, che sta di fatto bloccando il funzionamento del modello di business delle grandi piattaforme basato su trattamento e pubblicità. Secondo lo studio legale le recenti decisioni contro Facebook e Instagram minano il patto implicito tra fornitori di servizi online e consumatori e sollevano la questione di come verranno pagati i servizi online se i fornitori di servizi online non possono raccogliere e monetizzare i dati dei consumatori.
Fonte: https://www.wired.it/article/privacy-multe-gdpr-europa/
