Multe GDPR: avrete sicuramente sentito parlare di aziende che sono state multate per milioni perché non erano conformi al GDPR. Infatti, queste sanzioni possono comportare gravi conseguenze per le imprese di tutte le dimensioni.
Non si tratta solo del valore monetario della sanzione, ma anche del danno reputazionale che ne deriva.
In questo post, esamineremo le maggiori sanzioni GDPR emesse finora, per aiutarti a capire quali sono i criteri che le autorità Europee per la protezione dei Dati prendono in considerazione quando valutano le violazioni GDPR.
Ma prima, ricapitoliamo velocemente…
Le multe per inadempienza possono arrivare fino a 20 milioni di euro, o al 4% del fatturato mondiale annuo (a seconda di quale sia il maggiore).
Gli Utenti hanno il diritto di presentare un reclamo a un’autorità di controllo se ritengono che il trattamento dei loro Dati non sia stato conforme al GDPR e chiedere il risarcimento di eventuali danni.
Inoltre, queste sanzioni possono includere anche rimproveri ufficiali (per le prime violazioni), controlli periodici sulla protezione dei Dati e danni da responsabilità.
Esaminiamo le più grandi multe GDPR emesse finora.
La più grande multa GDPR è stata emessa dal DPA lussemburghese il 16 luglio 2021. Il Garante ha multato Amazon Europe per 746 milioni di euro, dopo una serie di 10.000 denunce presentate dal gruppo francese La Quadrature du Net.
L’Autorità ha riscontrato che Amazon mostrava Pubblicità mirata senza il ConS adeguato degli Utenti.
Il 5 settembre 2022, la Data Protection Commission ha emesso una multa di 405 milioni di euro a Meta Platforms, Inc.
Il DPC ha indagato sul trattamento dei Dati Personali dei minori e ha rilevato che la società divulgava pubblicamente indirizzi e-mail e/o numeri di telefono di minori utilizzando la funzione dell’account aziendale Instagram.
👉 Vuoi maggiori dettagli su questa storia? Controlla il nostro blog!
Il 4 gennaio 2023, l’Ireland’s Data Protection Commission (DPC) ha emesso un’altra multa da 390 milioni contro Meta Ireland Limited.
Dopo che NOYB ha presentato tre diversi reclami, il DPC ha concluso che il trattamento sulla base di un contratto per annunci personalizzati non è conforme al GDPR. Meta faceva affidamento su una clausola di ConS nei propri Termini di Servizio per mostrare ai propri Utenti annunci personalizzati.
👉 Questa storia è molto più complicata di questa. Abbiamo cercato di fare luce nel nostro articolo qui.
Il 25 novembre 2022, il DPC irlandese ha multato Meta per 265 milioni di euro.
La DPA ha avviato un’indagine nell’aprile 2021, dopo che i rapporti dei media hanno scoperto che i Dati di Facebook erano stati resi disponibili su Internet. Questa violazione dei Dati ha colpito le informazioni personali di 533 milioni di Utenti.
Meta è stata multata perché non rispettava i principi di Privacy by Design e Privacy by Default indicati nel GDPR.
Il 2 settembre 2021, la Data Protection Commission ha emesso una multa di 225 milioni di euro contro WhatsApp Ireland, a conclusione di un’indagine avviata nel 2018.
WhatsApp non rispettava il principio di trasparenza del GDPR, non fornendo agli Utenti informazioni sufficienti sulle sue attività di trattamento e sulla base giuridica che utilizzava.
Il 19 gennaio 2023 il DPC ha emesso un’ulteriore multa da 5,5 milioni di euro.
Scopri di più qui.
Il 31 dicembre 2021, la CNIL ha emesso una multa di 90 milioni di euro a GOOGLE LLC, perché non rispettava la legge francese sulla protezione dei Dati.
In particolare, la CNIL ha rilevato che gli Utenti YouTube non potevano Rifiutare i Cookie con la stessa facilità con cui potevano Accettarli. Oltre alla multa, Google LLC ha avuto tre mesi di tempo per modificare l’aspetto e il funzionamento del suo Cookie banner.
Una multa minore di 60 milioni di euro è stata emessa dal CNIL a Google Ireland Ltd.
Il motivo era sempre lo stesso di cui sopra, ma si riferiva al sito google.fr.
Lo stesso giorno, 31 dicembre 2021, la CNIL ha anche multato Facebook Ireland per 60 milioni di euro.
Il motivo era lo stesso: Gli Utenti Facebook non potevano Rifiutare i Cookie così facilmente come potevano Accettarli.
Il 19 gennaio 2019, CNIL ha multato Google LLC di 50 milioni di euro dopo una serie di denunce da parte di NOYB e La Quadrature du Net.
La ragione principale di questa multa era la mancanza di trasparenza, informazioni insoddisfacenti e mancanza di ConS valido. Gli Utenti non avevano informazioni sufficienti sul trattamento dei loro Dati Personali.
Questa è stata una delle prime grandi multe emesse sotto GDPR.
Il primo ottobre 2020, il Commissario di Amburgo ha emesso una multa di 35,2 milioni di euro a H&M.
Almeno dal 2014, parti dei dipendenti erano interessate a un’ampia registrazione di dettagli sulla loro vita privata. Questi dettagli – come Esperienze di vacanza, ma anche sintomi di malattia e diagnosi – sono stati poi registrati, archiviati e utilizzati per prendere decisioni sul loro impiego.
Il Garante è venuto a conoscenza di questa violazione solo perché, a causa di un errore tecnico, i Dati erano accessibili a tutti in azienda per alcune ore.
Mentre queste sanzioni sono enormi, ci sono anche multe più piccole che vengono emesse ogni giorno. Le DPA Europee sono molto attive nel monitoraggio della conformità GDPR.
Ecco i primi 10 paesi UE con il maggior numero di multe GDPR emesse finora:
Sì, può succedere. Naturalmente, la tua piccola impresa probabilmente non riceverà una multa così grande come quelle di cui sopra, ma anche un importo inferiore può davvero avere un impatto sui tuoi processi.
Inoltre, non dimenticare che una sanzione monetaria non è l’unica conseguenza della mancata conformità: rimproveri ufficiali, controlli periodici sulla protezione dei Dati e danni alla responsabilità possono essere spaventosi come una multa. Per non parlare del danno reputazionale che una sanzione GDPR può causare.
Ma non preoccuparti! La conformità GDPR non deve essere difficile.
Scopri come 👉 5 minuti di conformità per il tuo sito web