Secondo un’analisi condotta da Atlas VPN sui dati statistici di Enforcement Tracker le Autorità europee, nel 2022, hanno erogato oltre 830 milioni di euro di sanzioni per violazioni accertate del GDPR.
Le sanzioni, inoltre, si concentrano prevalentemente nel terzo trimestre del 2022 (al pari di quanto accaduto nel 2021), con multe per oltre 430 milioni di euro, e nel quarto trimestre, con oltre 303 milioni di euro.
Si tratta di una somma certamente rilevante, ma al tempo stesso del 36% inferiore all’importo complessivo corrisposto nel 2021, sempre per violazioni della normativa sulla privacy, pari a 1,3 miliardi di euro. La riduzione complessiva delle sanzioni potrebbe costituire un segnale di come l’attività sin qui svolta abbia contribuito ad incrementare l’attenzione dei titolari sul tema della protezione dei dati personali, andando conseguentemente a ridurre l’importo medio delle violazioni accertate (si pensi, inoltre, come spesso nelle more della conclusione di un’indagine le società provvedano a porre rimedio anticipatamente alle contestazioni sollevate dalle autorità, secondo una logica di piena cooperazione e collaborazione con quest’ultime).
Appare opportuno rilevare come la panoramica resa da Enforcement Tracker si basi sui dati resi pubblici: motivo per il quale gli importi indicati risultano certamente inferiori al reale ammontare delle sanzioni erogate dalle autorità europee. Ciononostante, detti dati appaiono comunque interessanti al fine di comprendere in che direzione si sta muovendo l’operato delle autorità e l’efficacia del GDPR a ormai 4 anni di distanza dalla sua entrata in vigore.
È interessante osservare, inoltre, dallo studio condotto da Atlas VPN, come l’applicazione della normativa sulla tutela dei dati personali non sia limitata al solo GDPR: a livello globale, infatti, si registra un totale di 2,83 miliardi di euro corrisposti a fronte di 1.401 casi resi pubblici per violazione delle leggi sulla protezione dei dati.
Peraltro, degli 830 milioni riscontrati, ben oltre 670 milioni sono riferibili alla sola Meta: dato, questo, non solo nuovo rispetto agli anni precedenti, ma che certamente rende un’idea chiara di come le autorità abbiano focalizzato le proprie attenzioni e risorse sulle grandi società del web e, in particolare, su Meta, che da anni si trova al centro di un complicato dibattito inerente alle modalità di trattamento dei dati dei propri utenti.
L’intreccio tra i diritti degli utenti e le regole del mercato digitale
Indice degli argomenti
GDPR: Meta al centro dell’attenzione
Come anticipato, nel corso del 2022 assoluta protagonista, nell’attività di accertamento delle violazioni del GDPR da parte delle autorità europee, è stata Meta. La società fondata da Mark Zuckerberg, infatti, nel corso del 2022 si è vista sanzionare per oltre 630 milioni di euro, di cui 405 riconducibili ad una singola multa irrogata dalla Data Protection Commission (DPC) irlandese il 5 settembre 2022.
L’indagine che ha portato all’irrogazione della pesante sanzione, durata 2 anni, aveva ad oggetto la verifica della conformità dei trattamenti dei dati personali degli utenti minori di età sulla piattaforma e, in particolare, si focalizzava su:
- base giuridica prescelta per il trattamento continuativo dei dati personali di detti utenti minorenni;
- misure di sicurezza applicate alla piattaforma e/o restrizioni previste per i contenuti in base all’età dell’utente;
- rispetto del principio di trasparenza applicato agli utenti minorenni;
- rispetto del principio di privacy by design e by default.
A seguito dell’indagine, veniva riscontrato come le funzionalità della piattaforma – quando applicate ai minori di età – non garantivano la corretta tutela dei loro dati: a titolo esemplificativo, si consentiva di passare in modo piuttosto semplice da un profilo privato ad un profilo business, rendendo così pubblici e maggiormente esposti gli indirizzi e-mail ed i numeri di telefono anche degli utenti minorenni.
Ancora, a marzo del 2022, Meta si era nuovamente vista multare per 18,6 milioni di dollari per non aver correttamente registrato una serie di violazioni di dati intercorse nel 2018 e che portarono alla diffusione di circa 30 milioni di utenti di Facebook.
Nel novembre del 2022, inoltre, l’Autorità garante irlandese aveva sanzionato nuovamente Meta per circa 265 milioni di euro, in virtù della riscontrata violazione dei principi di privacy by design e by default negli strumenti di Facebook Search, Facebook Messenger Contact Importer e Instagram Contact Importer. Alla sanzione pecuniaria erano stati affiancati anche un rimprovero e un ordine, che imponevano a Meta di rendere conforme il trattamento dei dati personali mediante l’attuazione di una serie di attività correttive specifiche entro una scadenza determinata.
Appare opportuno rilevare, ad ogni buon conto, come l’attività ispettiva delle Autorità Garanti abbia poi sempre stimolato una crescita delle grandi piattaforme social, che hanno provveduto, di volta in volta, a adeguare i propri processi di trattamento alle prescrizioni imposte dalle Autorità medesime.
Tutela dei dati personali e altri diritti: ecco perché servono contemperamento ed equilibrio
Il trend per il 2023
Alla luce dei dati sin qui esposti, può evincersi come anche per il 2023 gli sforzi delle autorità – in particolare dell’Autorità Garante irlandese – saranno ancora accentrati sulle grandi aziende tecnologiche, come Meta, Google, Amazon, Microsoft ed Apple, sotto vari fronti, sia legati al trattamento dei dati personali che alla corretta regolamentazione dei mercati digitali.
Nei giorni scorsi, peraltro, CNIL, autorità garante francese, ha annunciato di aver sanzionato Microsoft per la rilevante somma di 60 milioni di euro, a seguito di un reclamo che aveva ad oggetto l’utilizzo dei cookies su Bing, motore di ricerca proprietario di Microsoft.
Sulla scorta di quanto rilevato da CNIL nel corso del 2020 e del 2021, “quando gli utenti visitavano questo sito, i cookie venivano depositati sul loro terminale senza il loro consenso, mentre questi cookie venivano utilizzati, tra gli altri, per scopi pubblicitari”.
CNIL ha inoltre “osservato che non vi era alcun pulsante che consentisse di rifiutare il deposito di cookie con la stessa facilità con cui lo si accetta”.
Unitamente alla sanzione amministrativa, il comitato ristretto della CNIL ha anche emesso un’ingiunzione con penalità di mora, che impone alla società di raccogliere, sul sito “bing.com”, il consenso dei residenti in Francia entro il termine di 3 mesi, prima di poter depositare cookies e traccianti con finalità pubblicitarie sul terminale di questi ultimi, pena l’irrogazione di una penale moratoria ulteriore pari a 60.000 euro al giorno, per ogni giorno entro il quale non sarà dato corretto adempimento all’ordine avanzato.
Anche oltreoceano l’attenzione verso i temi di antitrust e privacy è sempre maggiore: in USA, Google ha da poco raggiunto un accordo transattivo per 29,5 milioni relativo alla raccolta dei dati di posizione degli utenti, che prevede, nel corso dei prossimi mesi, il perfezionamento delle impostazioni dell’account degli utenti, anche tramite la previsione di obblighi specifici posti in capo alla società.
Secondo quanto emerso dalle indagini avviate dai Procuratori Generali, infatti, Google continuerebbe a tracciare la posizione geografica degli utenti anche nell’ipotesi in cui vengono disattivate le impostazioni relativa alla cronologia delle posizioni all’interno del proprio profilo personale. Ciò rendeva di fatto impossibile disattivare la raccolta dei dati di geolocalizzazione, con beneficio per la società, che ne faceva uso per migliorare il proprio servizio di advertising. Google, in particolare, avrebbe fatto uso dei c.d. dark pattern, ossia delle pratiche (anche di interfaccia) volte ad “ingannare” l’utente.
Anche dette impostazioni sarebbero state comunque aggiornate dalla società nel corso delle indagini, al fine di venire incontro alle contestazioni sollevate dalle autorità.
Sulla scorta di quanto sin qui esposto, dunque, ben può affermarsi che anche nel 2023 l’attività delle autorità – non solo europee – sarà incentrata sulla verifica del rispetto dei principi generali del trattamento dei dati personali da parte delle grandi aziende del web, anche alla luce del crescente fermento normativo che sta caratterizzando il mercato digitale: a seguito dell’introduzione del GDPR, infatti, sempre più stati hanno adeguato la propria normativa ai principi europei, e congiuntamente è stata attivata un’azione legislativa volta anche a regolamentare il corretto funzionamento dei mercati (tra cui il DSA e il DMA).
