Violazioni della privacy in aumento del 22%

Lo scorso anno si sono registrate in Europa una media di 443 violazioni dei dati personali al giorno, in aumento del 22% rispetto alle 363 del 2024. L’incremento dimostra da un lato la costante attenzione delle autorità di vigilanza, dall’altro indica che i data breach continuano a essere una minaccia quotidiana per privati, enti e imprese. Secondo quanto osservato da Dla Piper a commento del suo Gdpr fines and data breach survey, la crescita degli eventi è da attribuire a un insieme di fattori che determinano un contesto propedeutico alle violazioni, tra cui l’apporto dell’IA alle minacce, gli attacchi informatici che hanno causato interruzioni di operatività su scala globale e la polarizzazione geopolitica. 

Nel periodo osservato dalla rilevazione (fine gennaio ’25 – fine gennaio ’26) le autorità europee deputate alla vigilanza hanno comminato sanzioni per violazioni alla normativa Gdpr per 1,2 miliardi di euro, in linea con quanto applicato nei 12 mesi precedenti, indice secondo lo studio legale della “stabilità di un enforcement particolarmente rigoroso”, immune dalle divergenze sul tema privacy che portano alcune realtà extra europee a essere molto critiche, se non avverse.  

Al centro dell’attenzione sono ancora in prevalenza le Big Tech e i social media (destinatari nell’insieme di 9 delle 10 sanzioni più elevate di sempre) anche se la vigilanza sta aumentando l’attenzione soprattutto verso i player dei settori Tlc, utility, servizi finanziari e tecnologici. 

Da notare che quest’anno è stata comminata per la prima volta una multa (530 milioni di euro) per trasferimento internazionale di dati personali senza adeguate garanzie di protezione a una società cinese di social media, quando finora i destinatari erano state solo organizzazioni statunitensi (il record è rappresentato dalla sanzione di 1,2 miliardi di euro comminata nel 2023 a Meta).

Dall’entrata in vigore della norma (maggio 2018) sono state comminate complessivamente sanzioni per 7,1 miliardi di euro: a fare la parte del leone l’autorità irlandese Dpc (4,04 miliardi di euro) mentre l’Italia è al quinto posto in Europa con 277 milioni di euro. 

Restando sulla specificità italiana, Giulio Coraggio, partner responsabile del dipartimento Intellectual property and technology di Dla Piper in Italia, rileva che “il Garante, da un lato, ha intensificato i controlli sulla sicurezza dei trattamenti e sulla gestione degli incidenti, intervenendo anche con provvedimenti correttivi e prescrittivi; dall’altro, ha utilizzato in modo crescente misure come limitazioni o blocchi dei trattamenti, soprattutto nei casi di carenze strutturali in termini di liceità, trasparenza e governance”. Coraggio osserva inoltre che l’autorità di vigilanza italiana è stata tra le prime della Ue a richiamare l’attenzione sui temi della riservatezza dei dati in riferimento all’applicazione dell’IA generativa.