Ue contro Big Tech: la battaglia delle multe per le violazioni del Gdpr

Dal 2018 sono state emesse in Europa 880 multe per violazioni del Gdpr. [EDJNet]

Da maggio 2018, quando la legge è stata introdotta, gli Stati membri dell’Ue hanno emesso 880 sanzioni per violazioni del Gdpr, ma la battaglia contro le Big Tech è appena iniziata. Se l’Europa vuole vincerla, deve impegnarsi con maggiori investimenti e cooperazione tra Paesi.

La versione originale di questo articolo è stata pubblicata sul sito di El Orden Mundial in lingua spagnola. Una versione in lingua inglese e spagnola è disponibile sul sito di EDJNet.

Tre anni e mezzo dopo che è diventato legge, il Regolamento generale per la protezione dei dati (Gdpr) comincia finalmente ad avere effetto. Il numero delle multe è aumentato dal 2020, specialmente grazie alla Spagna, anche se sono state le storiche sanzioni contro Amazon e WhatsApp nell’estate a far sperare maggiormente in una rivoluzione nella protezione dei dati.

Entrambe le multe ammontano al 75% della massima punizione per aver violato uno dei diritti fondamentali sulla protezione dei dati nell’Unione europea, Regno Unito, Norvegia e Liechtenstein. Un totale di 1,3 miliardi di euro è stato raccolto con le 880 multe emesse da marzo 2018. In particolare, le autorità di Lussemburgo e Irlanda, che finora sono state più permissive in materia di regole Gdpr, hanno cominciato a emettere sanzioni a loro volta.

L’imposizione di multe non è esattamente un principio guida del Gdpr, ma fornisce un buon indicatore sulla quantità di volte in cui la legge viene applicata. Gli Stati membri hanno il potere di emettere avvertimenti e, nei casi più gravi, multe nei confronti di chi viola il regolamento. La multa viene decisa da ciascuna agenzia in base alla gravità della violazione, all’intenzione e al rapporto di collaborazione con l’azienda in questione, con un massimo di 20 milioni di euro o l’equivalente del 4% del reddito annuale, qualunque sia superiore. Una mancanza di multe significa più probabilmente la scarsa applicazione della legge, piuttosto che l’adesione completa.

Privacy e Gdpr: Lussemburgo primo Paese per sanzioni. Italia seconda

Il Lussemburgo è attualmente al primo posto in Europa per sanzioni comminate in seguito alla violazione del Gdpr, con un totale di 746 milioni di euro imposti, seguito dall’Italia (84 milioni di euro) e dalla Francia (57 milioni di euro), …

Spagna, il grande difensore degli utenti in rete

Al tempo in cui viene scritto questo articolo, la Spagna ha emesso il maggior numero di multe, con 303, seguita a distanza da Italia e Romania con 91. Secondo Juan Fernando López Aguilar, a capo della Commissione per le libertà civili, giustizia e affari interni, la Spagna “ha un alto livello di consapevolezza dei diritti digitali”.

L’eurodeputato socialista spiega che “molti casi sono stati portati all’attenzione della giustizia europea dalla Spagna, come il diritto all’oblio [riconosciuto per la prima volta dalla Spagna nel 2015 in una disputa con Google finita nelle corti europee]”.

Il buon lavoro dell’agenzia per la protezione dei dati spagnola non significa però che Madrid abbia incassato il maggior quantitativo di denaro dalle multe: sono Lussemburgo e Irlanda a collocarsi ai primi due posti, nonostante abbiano emesso soltanto, rispettivamente, undici e nove sanzioni.

Questo è dovuto al fatto che hanno emesso le multe più alte della storia del Gdpr: l’autorità nazionale lussemburghese a luglio ha comminato una sanzione da 746 milioni di euro ad Amazon per aver utilizzato illegalmente i dati degli utenti per personalizzare gli annunci. A settembre, invece, l’Irlanda ha multato WhatsApp per 226 milioni di euro per non aver informato correttamente i suoi utenti di come condivideva i dati con Facebook.

A parte queste cifre record, che probabilmente verranno ridotte in seguito alle battaglie legali scatenate dalle aziende multate, entrambi i casi hanno stabilito un punto di svolta nel rispetto del Gdpr, sia per le Big Tech, erano riuscite ad evitarne le conseguenze, che per Lussemburgo e Irlanda, che fino a quel momento avevano ostacolato la sua adozione.

One stop shop, un’arma a doppio taglio

Al fine di evitare sovrapposizioni, le regole del Gdpr dettano che debba essere il paese in cui ha sede una società colpevole a portare il caso davanti alla giustizia europea. Questo meccanismo, noto come “one stop shop”, ha privilegiato le aziende con sede in Irlanda – la base europea di Apple, Facebook, Google, Microsoft e Twitter tra gli altri – e Lussemburgo – sede di Amazon e Paypal. Le loro generose aliquote dell’imposta sulle società avevano già portato il Parlamento europeo a concludere nel 2019 che entrambe avevano le caratteristiche dei paradisi fiscali e questo li rendeva la base europea perfetta per le multinazionali statunitensi.

A poco a poco, le denunce alle agenzie di protezione dei dati sui due paesi da altri stati membri dell’Ue si sono accumulate, in particolare nel caso dell’Irlanda che ha ricevuto il 21% di tutte le denunce, secondo i dati del Consiglio irlandese per le libertà civili . A causa dell’inazione e della mancanza di decisioni da parte delle autorità irlandesi, il Parlamento europeo ha raccomandato alla Commissione europea di avviare una procedura di infrazione contro l’Irlanda per la sua mancata applicazione delle leggi del Gdpr.

Per questo motivo, le due multe inflitte a Dublino e Lussemburgo sono state accolte con favore a Bruxelles, perché mettono entrambi i paesi sulla strada necessaria per un’attuazione europea generalizzata delle norme sulla protezione dei dati. Si tratta però di un cauto ottimismo, visto che la Commissione irlandese per la protezione dei dati ha ancora il 98% dei casi transnazionali irrisolti.

Infatti, quando sono state contattate su questi temi, fonti della Commissione hanno menzionato “due decisioni importanti” che sono state prese da entrambi i paesi, anche se riconoscono che la collaborazione tra le autorità deve migliorare e che, perché il sistema funzioni, “è fondamentale sviluppare la fiducia e promuovere uno spirito europeo di cooperazione”.

Verso una cultura comune della protezione dei dati

Il recente successo del Gdpr è anche il risultato di un finanziamento molto maggiore per le agenzie nazionali di protezione dei dati. L’agenzia irlandese è stata sottofinanziata per due decenni, il che ha fornito agli amministratori una scusa per la sua lentezza.

Ma la realtà è che gli organismi costituenti di queste agenzie non hanno smesso di crescere negli ultimi anni: nel 2016, il costo combinato di tutte le agenzie di protezione dei dati dell’Ue era di 162 milioni di euro, mentre questa cifra è salita a 295 milioni di euro nel 2021. C’è ancora, tuttavia, una grande disparità di spesa tra gli stati membri: la Germania, che ha un’agenzia federale e sedici regionali, costituisce il 32% della spesa europea in questo settore, mentre nove paesi spendono rispettivamente meno di 2 milioni di euro all’anno.

A questo proposito, il Comitato europeo per la protezione dei dati, l’organismo incaricato di creare un’applicazione uniforme delle leggi sulla protezione dei dati e la cooperazione tra le autorità nazionali, afferma che “il perseguimento con successo di casi transnazionali richiede molto tempo e risorse”, ed è per questo che “è fondamentale che i governi nazionali finanzino adeguatamente i loro regolatori”.

La formula delle agenzie europee si è dimostrata più efficace. L’applicazione del Gdpr è ancora asimmetrica, scoordinata e spesso poco efficiente, ma le fondamenta di un sistema efficace di protezione dei dati richiederanno tempo per essere costruite. A poco a poco, gli amministratori stanno armonizzando i loro criteri, creando dei precedenti che permettono loro di attuare con successo alcune delle leggi sulla protezione dei dati più ambiziose e ampie del mondo.

Di seguito si possono vedere tutte le 880 multe pubbliche per il Gdpr emesse in Europa.