Il 2022 si è chiuso con il record delle sanzioni emesse ai sensi del Gdpr e delle notifiche di data breach. Dal 28 gennaio 2022 è stata raggiunta la cifra di 1,64 miliardi di euro, pari a un aumento del 50% rispetto ai 12 mesi precedenti.
Il dato viene rilevato dal rapporto “Dla Piper Gdpr fines and data breach survey: January 2023”, giunto alla sua quinta edizione.
Tra le sanzioni più elevate spicca quella inflitta a Meta Platforms Ireland, a dimostrazione del fatto che i social media, e la loro dipendenza da un ampio trattamento di dati personali, sono sotto i riflettori delle autorità di regolamentazione.
L’indagine rivela anche che il volume dei data breach notificati ai garanti privacy è diminuito leggermente rispetto al totale dell’anno precedente. Il totale medio giornaliero è sceso da 328 notifiche a 300. Questo potrebbe essere in parte il segno che i soggetti coinvolti stanno diventando più cauti nel notificare i data breach alle autorità privacy per paura di indagini, sanzioni e richieste di risarcimento.
Nonostante le questioni relative ai dati personali in relazione alla pubblicità e ai social media abbiano dominato le prime pagine dei giornali, c’è una crescente attenzione per l’Intelligenza Artificiale e il ruolo dei dati personali utilizzati per addestrare l’IA. Quest’anno, in particolare, sono state condotte diverse indagini sulla società di riconoscimento facciale Clearview AI a seguito di denunce da parte di organizzazioni per i diritti digitali, tra cui l’organizzazione My Privacy is None of your Business (NOYB) di Max Schrems, con l’emissione di diverse sanzioni. Poiché l’IA e le piattaforme di apprendimento automatico sono sempre più diffuse, il report prevede per l’anno a venire un aumento delle indagini e della normativa, con particolare attenzione sia ai fornitori che agli utenti dell’IA.
L’indagine riporta, infine, anche alcune decisioni degne di nota prese quest’anno dalle autorità privacy in merito all’applicazione dei requisiti del Gdpr Schrems II e del Capitolo V a specifici trasferimenti internazionali di dati personali. I garanti privacy hanno sostenuto che non è possibile adottare un approccio basato sul rischio quando si valutano i trasferimenti di dati personali verso "Paesi terzi", sostenendo in sostanza che i trasferimenti sono vietati se la mera possibilità di accesso da parte di governi stranieri dà luogo a un qualsiasi rischio di danno (per quanto banale e improbabile).