Dall’entrata in vigore del Gdpr nel maggio 2018, molte sono state le denunce presentate ma poche le sanzioni applicate. La multa, infatti, è l’esito solo del 1,3% dei casi. La situazione è uniforme in tutta Europa, con prevalenza di numero di denunce in Germania, Francia, Spagna e Italia
Sette anni dopo l’entrata in vigore del Gdpr, il bilancio sull’applicazione delle norme europee sulla protezione dei dati personali appare tutt’altro che soddisfacente. L’introduzione del regolamento nel 2018 aveva come obiettivo la tutela della privacy dei consumatori, offrendo strumenti concreti per contrastare gli abusi da parte dei colossi tecnologici, imponendo sanzioni severe nei casi più gravi, fino a 20 milioni di euro o al 4% del fatturato annuo globale. Tuttavia, l’impatto effettivo delle sanzioni è stato ben al di sotto delle aspettative.
Secondo un’indagine condotta dall’Ong austriaca Noyb, ogni anno vengono presentate oltre 100 mila denunce alle autorità nazionali per la protezione dei dati, con numeri particolarmente elevati in Germania (28 mila denunce in media), Francia e Spagna (13 mila ciascuna) e Italia (circa 10 mila). Eppure, solo l’1,3% di questi casi porta all’emissione di una multa, mentre il restante 98,7% si conclude senza sanzioni o con patteggiamenti.
Le differenze tra i vari Stati Ue sono significative, come già evidenziato dalla richiesta di un’interpretazione armonica della normativa. Se la Slovacchia guida la classifica con multe comminate nel 6,8% dei casi, seguita da Bulgaria (4,2%) e Cipro (3,1%), la situazione è ben diversa in nazioni come Francia (0,1%) e Olanda, dove la percentuale scende addirittura allo 0,03%.
Tra le peggiori in termini di azione sanzionatoria si trovano anche Irlanda, Svezia, Finlandia e Polonia (tutte intorno allo 0,2%). Un dato paradossale, considerando che l’Irlanda ospita le sedi europee di molti giganti del tech.
Gdpr: alla base, un problema politico
La bassa percentuale di multe non è riconducibile a denunce infondate, poiché molte di esse riguardano violazioni evidenti, come richieste di accesso ignorate o banner pubblicitari non conformi. Il problema, dunque, sembra essere di natura politica e non tecnica. “Sono soltanto le autorità per la protezione dei dati che non sembrano abbastanza motivate a far valere la legge – afferma Max Schrems, fondatore di Noyb – Le autorità sembrano agire più nell’interesse delle aziende che delle persone”.
Un caso emblematico è quello di un cittadino austriaco che, dopo aver presentato 77 denunce in meno di due anni, si è visto respingere l’ennesima richiesta con la motivazione che la sua attività fosse “eccessiva”. La Corte di Giustizia dell’Unione europea ha poi stabilito che il numero di denunce non può costituire un motivo valido per il rifiuto.
Sebbene le autorità nazionali lamentino una carenza di risorse, negli ultimi cinque anni i budget dedicati alla protezione dei dati sono cresciuti a doppia cifra. In Olanda, per esempio, si è passati da 23 a 37 milioni di euro. Secondo Schrems, “l’impressione è che manchi più la volontà politica di agire contro i giganti tech che la possibilità di farlo”.
Il problema si autoalimenta: meno sanzioni vengono inflitte, meno le aziende rispettano le regole, con un conseguente aumento delle denunce. Eppure, le multe sono lo strumento principale per garantire la conformità al Gdpr.
Le sanzioni: strumento per fare rispettare le regole
Un sondaggio condotto da Noyb tra i professionisti della protezione dei dati ha evidenziato che il 67,4% ritiene le sanzioni pecuniarie la misura più efficace per spingere le aziende al rispetto della normativa, mentre il 61,5% afferma che anche le multe imposte ad altre imprese hanno un effetto deterrente.
L’entità delle sanzioni è spesso inadeguata rispetto alla portata delle violazioni. In Irlanda, dove risiedono le sedi europee di Meta e Google, l’importo medio annuo delle multe è di 475 mila euro, mentre in Lussemburgo, dove ha sede Amazon, la cifra scende a 124 mila euro. Dati in forte discrepanza rispetto ai profitti miliardari delle aziende coinvolte e che indicano una mancata applicazione rigorosa del Gdpr.
Un’azione sanzionatoria più efficace potrebbe portare a un maggiore rispetto della normativa, garantendo una tutela più solida per i cittadini europei e maggiori entrate per gli Stati membri.
