Dall’entrata in vigore del GDPR il 25 maggio 2018, ci sono state più di 160.000 notifiche di data breach nei 28 Stati membri dell’Unione Europea, oltre a Norvegia, Islanda e Liechtenstein.
Secondo l’ultima indagine svolta da DLA Piper – disponibile qui – i Garanti per la protezione dei dati personali hanno emesso sanzioni per un valore complessivo di 114 milioni di euro (pari a circa US $ 126 milioni / £ 97 milioni) per un diverse tipologie di violazioni del regolamento e non solo per data breach.
Sono 1.886 i data breach notificati al Garante italiano, il che classifica il nostro Paese all’undicesimo posto nell’Unione europea per numero di notifiche, mentre sanzioni pari a € 11,55 milioni sono state emesse che classificano l’Italia al quarto posto. Francia, Germania e Austria sono in cima alla classifica per il valore totale delle sanzioni inflitte ai sensi del GDPR con rispettivamente poco più di € 51 milioni, € 24,5 milioni e € 18 milioni. L’Olanda, la Germania e il Regno Unito sono in cima alla tabella per il numero di notifiche di data breach con 40.647, 37.636 e 22.181 notifiche ciascuna.
Anche il tasso giornaliero di notifiche di data breach è aumentato del 12,6% da 247 notifiche al giorno per i primi otto mesi di GDPR dal 25 maggio 2018 al 27 gennaio 2019, a 278 notifiche di data breach al giorno per l’anno in corso.
Valutando i risultati in confronto alla popolazione dei paesi, l’Italia ha segnalato 2,05 data breach per 100.000 persone, rispetto a 0,9 per 100.000 persone l’anno scorso: un dato che classifica il paese al 25esimo posto rispetto alla penultima posizione dell’anno scorso.
L’Olanda torna in vetta con 147,2 notifiche di data breach per 100.000 persone, in aumento rispetto all’89,8 per 100.000 persone dell’anno scorso, seguiti da Irlanda e Danimarca. Italia, Romania e Grecia hanno registrato il minor numero di violazioni pro capite. L’Italia, un paese con una popolazione di oltre 62 milioni di persone, ha registrato solo 1886 notifiche di data breach che illustrano le differenze culturali nell’approccio alla notifica delle violazioni di dati personali.
La sanzione più alta finora è stata di 50 milioni di euro imposta dal Garante privacy francese, il CNIL, ai danni di Google, per presunte violazioni del principio di trasparenza e mancanza di un valido consenso. A seguito di due data breach rilevanti, l’ICO del Regno Unito ha pubblicato due avvisi di intenzione di imporre sanzioni a luglio 2019 per un totale di £ 282 milioni (circa € 329 milioni / US $ 366 milioni), sebbene nessuno di questi sia stato finalizzato alla data della presente relazione.
L’importo totale delle sanzioni di 114 milioni di euro finora imposte è relativamente basso rispetto alle potenziali sanzioni massime che possono essere imposte ai sensi del GDPR, il che indica che siamo ancora agli inizi. Ci aspettiamo di vedere uno sviluppo con ulteriori sanzioni multimilionarie nel corso del prossimo anno, quando i regolatori intensificheranno la loro attività di controllo.