Si parla molto del Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR) e di cosa significhi per i siti web. La legge prevede requisiti rigorosi su come le organizzazioni possono raccogliere e utilizzare i dati e su cosa devono comunicare ai visitatori.
Si può essere tentati di ignorare tutte queste regole - dopo tutto, le conseguenze della non conformità al GDPR non possono essere così gravi, giusto?
Sbagliato.
Negli ultimi cinque anni dall'entrata in vigore del GDPR , le aziende hanno dovuto affrontare multe a otto, nove e persino dieci cifre per non aver rispettato il GDPR o per aver gestito male le violazioni dei dati.
Utilizzate l'indice qui sotto per passare alle multe più salate inflitte GDPR in un anno specifico, oppure continuate a leggere per conoscere le 10 multe più salate mai comminate ai sensi del GDPR.
- Le 10 multe più alte mai comminate per GDPR
- Come evitare le multe GDPR con Termly
- Le più grandi multe GDPR nel 2023
- Le più grandi multe GDPR nel 2022
- Le più grandi multe GDPR nel 2021
- Le più grandi multe GDPR nel 2020
- Le più grandi multe GDPR nel 2019
- Le più grandi multe per GDPR nel 2018
- Aumento delle multe e degli importi del GDPR anno su anno
- La conformità al GDPR è essenziale
Le 10 multe più alte mai comminate per GDPR
Il GDPR struttura ed emette multe in base al fatturato internazionale di un'azienda. Ecco perché vedrete alcuni nomi familiari nell'elenco che segue.
Queste dieci aziende sono state scoperte a violare le norme del GDPRe costrette a pagare multe per decine o centinaia di milioni di euro.
1. Meta - 1,2 miliardi di euro (1,3 miliardi di dollari)
Anno di emissione: 2023
Meta, la società madre di Facebook, ha ora in mano la più grande multa mai comminata per GDPR .
Il 22 maggio 2023, l'autorità di vigilanza irlandese ha inflitto al conglomerato di social media Meta una multa record di 1,2 miliardi di euro per aver trasferito negli Stati Uniti i dati raccolti dagli utenti di Facebook nell'UE/SEE, violando le linee guida GDPR sul trasferimento internazionale.
Secondo le autorità di regolamentazione della privacy, Meta non si è conformata alla decisione Schrems II della Corte Suprema dell'UE del 2020, che ha invalidato il quadro dello scudo per la privacy tra l'uE e l'europa.
Oltre all'ingente multa, a Meta è stato imposto di interrompere i trasferimenti internazionali e ha cinque mesi di tempo per adeguarsi alle correzioni. Meta ha annunciato l'intenzione di appellarsi alla decisione, che probabilmente porterà a un lungo processo legale. Tornate a trovarci per i prossimi aggiornamenti.
2. Amazon - 746 milioni di euro (780,9 milioni di dollari)
Anno di emissione: 2021
È stato riscontrato che la sede lussemburghese del rivenditore online nell'UE tracciava i dati degli utenti senza acquisire un consenso adeguato da parte degli utenti o fornire i mezzi per rinunciare a tale tracciamento, con il risultato che Amazon è stata colpita da quella che all'epoca era la più grande multa per GDPR .
3. Meta Platforms Limited (Instagram) - 405 milioni di euro (442 milioni di dollari)
Anno di emissione: 2022
Il conglomerato di social media è stato multato dall'autorità irlandese per la protezione dei dati nel 2022 per aver trattato indebitamente i dati personali dei bambini.
Nello specifico, la violazione riguardava la divulgazione pubblica degli indirizzi e-mail e dei numeri di telefono dei bambini che accedono alla funzione di account business di Instagram e che rendono gli account dei bambini pubblici per impostazione predefinita.
4. Meta Platforms Ireland Limited (Facebook e Instagram) - 390 milioni di euro (425 milioni di dollari)
Anno di emissione: 2023
Facebook e Instagram, entrambi parte di Meta, sono stati multati dalla Commissione irlandese per la protezione dei dati per aver utilizzato come base giuridica per la maggior parte dei trattamenti dei dati l'affidamento a un contatto, in modo poco chiaro per gli utenti.
Le violazioni di Facebook hanno rappresentato 210 milioni di euro della multa, mentre le violazioni di Instagram hanno comportato ulteriori 180 milioni di euro.
5. TikTok Limited - 345 milioni di euro (377 milioni di dollari)
Anno di emissione: 2023
TikTok è stato multato dal DPO irlandese per aver raccolto ed elaborato indebitamente i dati personali di bambini di età inferiore ai 13 anni e per aver impostato i loro account come pubblici per impostazione predefinita.
6. Meta Platforms Ireland Limited (Facebook) - 265 milioni di euro (289 milioni di dollari)
Anno di emissione: 2022
La Commissione per la protezione dei dati (DPC) ha multato Meta, il responsabile del trattamento dei dati di Facebook, dopo aver scoperto che un set di dati di Facebook di informazioni personali rese disponibili a Internet, violava la protezione dei dati per progettazione e per impostazione predefinita.
7. WhatsApp - 225 milioni di euro (247 milioni di dollari)
Anno di emissione: 2021
La Commissione irlandese per la protezione dei dati ha multato WhatsApp per politiche sulla privacy poco chiare e per la mancanza di trasparenza nell'utilizzo dei dati degli utenti.
8. Google LLC - 90 milioni di euro (99 milioni di dollari)
Anno di emissione: 2021
La CNIL francese ha multato Google per non aver fornito agli utenti un modo semplice per rifiutare i cookie ai sensi del GDPR e della direttiva ePrivacy.
9. Google Ireland Ltd. - 60 milioni di euro (66 milioni di dollari)
Anno di emissione: 2021
La CNIL ha inoltre multato Google Ireland Ltd. per non aver fornito agli utenti modalità adeguatamente semplici per rifiutare i cookie su YouTube.
10. Facebook Ireland Ltd. - 60 milioni di euro (66 milioni di dollari)
Anno di emissione: 2021
Ricevendo la terza multa della CNIL nel 2021, Facebook è stato anche sanzionato per non aver fornito agli utenti metodi semplici per rifiutare i cookie quando utilizzano il sito web.
Come evitare le multe GDPR con Termly
Queste multe dimostrano quanto sia importante per le aziende conformarsi al GDPR , indipendentemente dalla loro sede.
Termly può aiutare la vostra organizzazione a implementare politiche GDPR e a gestire le vostre esigenze di consenso dei dati.
Con Termly è possibile:
- Generare un'informativa sulla privacy che si aggiorna automaticamente quando le leggi cambiano
- Implementare una gestione deiconsenso ai cookie conforme al GDPR, al CCPA e alla direttiva ePrivacy.
- Tracciare il consenso dell'utente per mantenere la conformità ai cookie
- Bloccare automaticamente i cookie per tutti gli utenti che scelgono di non accettarli.
Lavorando con Termly potete assicurarvi di essere sempre in regola con le attuali leggi internazionali sulla protezione dei dati.
Invece, potete concentrarvi sulla gestione della vostra attività e lasciare che Termly gestisca per voi la privacy e la conformità ai cookie GDPR .
Le più grandi multe GDPR nel 2023
1. Meta - 1,2 miliardi di euro (1,3 miliardi di dollari)
Il 22 maggio 2023, l'autorità di vigilanza irlandese ha inflitto al conglomerato di social media Meta una multa record di 1,2 miliardi di euro.
Perché sono stati multati
Secondo le autorità di regolamentazione della privacy, Meta è stata multata per aver trasferito negli Stati Uniti i dati raccolti dagli utenti di Facebook nell'UE/SEE, violando le linee guida GDPR sul trasferimento internazionale.
l'azienda non si è conformata alla decisione Schrems II della Corte Suprema dell'UE del 2020, che ha invalidato il quadro dello scudo per la privacy UE-S.
Oltre all'ingente multa, a Meta è stato imposto di interrompere i trasferimenti internazionali e ha cinque mesi di tempo per adeguarsi alle correzioni.
Come hanno risposto
Meta ha annunciato l'intenzione di ricorrere in appello contro la decisione, che probabilmente porterà a un lungo processo legale.
Per il momento, i servizi di Facebook non dovrebbero essere interrotti, ma informazioni come foto, connessioni di amici, dati pubblicitari e messaggi diretti potrebbero subire un impatto.
Tornate a trovarci per gli aggiornamenti futuri.
2. Meta Platforms Ireland Limited - 390 milioni di euro (426 milioni di dollari)
Il 2 gennaio 2023, l'autorità di vigilanza irlandese ha comminato a Meta Platform Ireland Limited, il responsabile del trattamento dei dati nella regione, una multa di 390 milioni di euro.
Perché sono stati multati
Meta aveva chiesto agli utenti di acconsentire a nuovi termini e condizioni che modificavano la base giuridica del trattamento dei dati dal consenso all'adempimento di un contratto.
Il rifiuto del consenso ha bloccato l'accesso degli utenti ai loro account.
Il DPC ha riscontrato una violazione da parte di Meta delle linee guida sulla trasparenza descritte dal GDPR.
Inoltre, hanno riscontrato che l'azienda non ha fornito sufficiente chiarezza sui motivi per cui il trattamento dei dati personali è necessario e su quale base giuridica, come indicato nei loro termini e condizioni.
Alcune autorità di regolamentazione dell'UE hanno inoltre affermato che non è ragionevole citare l'adempimento di un contratto come base giuridica per l'utilizzo dei servizi di Meta, e la questione è stata inviata all'EDPB.
l'eDPB ha accolto questa critica e ha multato Meta per 390 milioni di euro.
Come hanno risposto
Meta intende fare ricorso contro la multa e la decisione delle autorità di regolamentazione.
In una dichiarazione, Meta fa riferimento alla mancanza di un accordo sull'applicazione pratica della base giuridica per la condivisione delle informazioni personali.
3. TikTok Limited - 345 milioni di euro (378 milioni di dollari)
Il 1° settembre 2023, il popolare servizio di condivisione video e la piattaforma di social media TikTok hanno ricevuto dall'autorità irlandese per la protezione dei dati una multa di 345 milioni di euro per violazione del GDPR .
Perché sono stati multati
l'autorità di vigilanza irlandese ha multato TikTok Limited per aver violato i principi generali di trattamento dei dati delineati dal GDPR.
Il DPC ha svolto l'indagine per determinare come TikTok gestisse le informazioni personali dei minori di 13 anni.
In particolare, hanno citato il fatto che TikTok imposta automaticamente i profili dei bambini come pubblici.
Come hanno risposto
Inizialmente si sono verificate alcune obiezioni alla multa.
l'autorità di vigilanza di Berlino ha chiesto una violazione del principio di correttezza a causa del presunto uso di modelli oscuri da parte di TikTok.
Dall'altra parte, l'autorità italiana per la protezione dei dati ha affermato che TikTok ha effettivamente rispettato i requisiti di verifica dell'età.
La questione è stata sottoposta al Comitato europeo per la protezione dei dati (EDPB) che, dopo aver indagato, ha deciso di aggiungere l'ulteriore violazione al principio di correttezza.
4. CRITEO - 40 milioni di euro (44 milioni di dollari)
Il 15 giugno 2023, una società di pubblicità online chiamata CRITEO è stata multata dall'autorità francese per la protezione dei dati, il CNIL, per 40 milioni di euro.
Perché sono stati multati
La CNIL ha inflitto un'ammenda a CRITEO dopo aver stabilito che la società pubblicitaria non ha garantito che gli interessati fornissero il consenso al trattamento dei loro dati.
l'azienda è stata anche multata per non aver informato gli interessati sui loro diritti e per non aver fornito un modo per agire correttamente su tali diritti.
Come hanno risposto
Il CRITEO ha criticato la multa della CNIL e ha negato l'accusa di non aver informato gli interessati sulle proprie attività di trattamento dei dati.
Hanno inoltre sostenuto che la multa iniziale di 60 milioni di euro era eccessiva rispetto alle sanzioni emesse dalla CNIL nei confronti di altre società per violazioni simili.
Di conseguenza, la multa è stata ridotta a 40 milioni di euro.
5. TikTok - 14,5 milioni di euro (15,8 milioni di dollari)
Il 4 aprile 2023, la piattaforma di social media e servizio di condivisione video TikTok ha ricevuto una multa di 14,5 milioni di euro dall'autorità britannica per la protezione dei dati, l'information Commissioners Office (ICO), per aver violato il GDPR del Regno Unito.
Perché sono stati multati
L'ICO ha multato TikTok per aver raccolto dati personali di bambini senza ottenere il consenso dei genitori.
Secondo l'indagine, nel 2020 TikTok ha raccolto i dati di oltre un milione di bambini britannici di età inferiore, contraddicendo l'accordo sui termini e le condizioni.
È stato stabilito che l'azienda non ha fatto abbastanza per verificare chi utilizzava la sua piattaforma e per rimuovere sufficientemente i minorenni che avevano creato un account.
Come hanno risposto
Inizialmente l'iCO aveva imposto una multa più alta, pari a 31,3 milioni di euro, ma l'ha abbassata dopo aver deciso di non perseguire un'ulteriore violazione legata al presunto utilizzo da parte di TikTok di categorie speciali di dati.
La decisione ha dimezzato la multa e TikTok ha investito nell'aggiornamento delle misure di sicurezza e dei sistemi di elaborazione interni.
6. Axpo Italia S.p.A. - 10 milioni di euro (10,9 milioni di dollari)
Il 9 settembre 2023, l'autorità italiana per la protezione dei dati, il Garante per la Protezione dei Dati Personali, ha multato l'azienda di soluzioni energetiche sostenibili Axpo Italia Spa per 10 milioni di euro per aver violato alcune parti del GDPR.
Perché sono stati multati
Il Garante ha indagato dopo aver ricevuto diverse denunce secondo le quali Axpo Italia S.p.A. stava elaborando dati inesatti dei clienti per stabilire contratti non richiesti.
In particolare, i venditori dell'azienda acquisivano nuovi contratti di elettricità e gas utilizzando un database di informazioni obsolete. Non esisteva alcun processo o salvaguardia per verificare che i dati fossero accurati e collegati a clienti reali.
Il Garante ha stabilito che sono stati colpiti più di 5.000 interessati e ha ritenuto che la società abbia violato l'articolo 5, paragrafi 1, a) e d), l'articolo 5, paragrafo 2, e l'articolo 24 del GDPR.
Come hanno risposto
Axpo Italia S.p.A. si è conformata ai rilievi e le è stato ordinato di implementare misure correttive, tra cui l'utilizzo di un sistema di blocco per verificare l'accuratezza dei dati dei suoi team di vendita e un sistema di allerta per rilevare i comportamenti fraudolenti.
È stato inoltre ordinato loro di interrompere qualsiasi ulteriore attività di trattamento dei clienti che hanno rescisso il contratto a causa di attivazioni di servizi non richieste.
7. TIM S.p.A. - 7,6 milioni di euro (8,3 milioni di dollari)
l'autorità di vigilanza italiana, il Garante, ha ritenuto che la società di telecomunicazioni TIM S.p.A. abbia violato alcuni aspetti del GDPR.
Perché sono stati multati
TIM S.p.A. è stata multata per aver risposto in modo inadeguato alle richieste degli interessati e per aver supervisionato call center illegali.
l'azienda avrebbe anche rilasciato dati personali a elenchi telefonici pubblici senza ottenere il consenso degli interessati.
Come hanno risposto
Si prevede che TIM S.p.A. pagherà la multa, poiché non è la prima volta che riceve sanzioni per violazione del GDPR.
8. WhatsApp Ireland Ltd. - 5,5 milioni di euro (6 milioni di dollari)
Il 19 gennaio 2023,WhatsApp Ireland Ltd. è stata multata dall'autorità irlandese per la protezione dei dati.
Perché sono stati multati
WhatsApp ha ricevuto una multa per non aver rispettato la definizione di consenso prevista dal GDPR .
Agli utenti è stato chiesto di accettare i nuovi termini e condizioni cliccando su un pulsante con la scritta "accetta e continua", che WhatsApp ha considerato come la stipula di un contratto e che ha utilizzato come base legale per la raccolta dei dati personali.
Tuttavia, gli interessati si sono lamentati del fatto che l'azienda si basava sul consenso e che, invece di darlo liberamente, WhatsApp costringeva le persone ad accettare i nuovi termini.
Il DPC non ha accolto l'argomentazione secondo cui WhatsApp stava effettivamente cercando il consenso, ma ha ritenuto che l'azienda violasse la trasparenza in relazione alla base giuridica del trattamento.
Come hanno risposto
WhatsApp ha risposto cambiando la sua base giuridica per il trattamento della maggior parte dei dati degli utenti in interesse legittimo, e afferma che questo non cambia il suo impegno per la privacy degli utenti o il modo in cui tratta i dati degli utenti.
9. EOS Matrix d.o.o. - 5,4 milioni di euro (5,8 milioni di dollari)
Il 5 ottobre 2023, dopo aver ricevuto una petizione contenente una chiavetta USB con informazioni su 181.641 persone, l'Agenzia croata per la protezione dei dati (AZOP) ha multato una società di recupero crediti chiamata EOS Matrix d.o.o. per aver violato alcune parti del GDPR.
Perché sono stati multati
EOS Matrix ha violato il GDPR non adottando misure tecniche adeguate per proteggere i dati personali degli interessati.
Il gruppo ha inoltre trattato dati personali di soggetti che non erano impegnati in un rapporto di debito/credito senza stabilire una base giuridica. Il trattamento riguardava categorie particolari di dati, che non sono state comunicate in modo trasparente agli interessati.
Come hanno risposto
EOS Matrix d.o.o. ha negato alcuni aspetti delle accuse, affermando di conservare in modo sicuro i dati personali dei propri consumatori.
Tuttavia, AZOP non ha confermato il proprio diniego, poiché non è ancora chiaro come i dati personali dei 181.641 clienti siano stati esfiltrati e copiati sulla chiavetta USB.
10. Clearview AI - 5,2 milioni di euro (5,6 milioni di dollari)
Il 10 maggio 2023, Clearview AI, il gruppo responsabile di ChatGPT, è stato multato dalla CNIL francese.
Perché sono stati multati
La CNIL francese ha multato Clearview AI per insufficiente collaborazione con l'autorità di vigilanza.
In particolare, la CNIL ha affermato che l'azienda non ha rispettato i precedenti ordini del dicembre 2021, quando è stata scoperta a trattare milioni di dati senza fornire diritti di accesso agli interessati.
All'azienda è stato ordinato di interrompere la raccolta e il trattamento dei dati personali di persone in Francia, ma non si è conformata, il che ha portato a una combinazione di multe scadute di 100.000 euro al giorno per 52 giorni.
Come hanno risposto
Clearview AI ha negato tutte le accuse, affermando di non avere clienti in Francia o nell'UE.
Le più grandi multe GDPR nel 2022
Sono state comminate numerose multe salate alle aziende che hanno violato il GDPR. Questo perché queste organizzazioni hanno avuto diversi anni per conformarsi alla legge sulla protezione dei dati dell'UE e non l'hanno fatto. Di conseguenza, si trovano a dover pagare multe salate per aver violato i diritti dei cittadini dell'UE alla privacy dei dati.
1. Instagram - 405 milioni di euro (401,3 milioni di dollari)
Instagram, di proprietà di Meta Platforms, è stato multa da parte del Commissario irlandese per la protezione dei dati in quella che è stata la seconda multa più alta mai comminata per GDPR .
Perché sono stati multati
Instagram è stata multata per 405 milioni di euro per aver violato le norme sul trattamento dei dati dei minori senza una base legale. I minori di età compresa tra i 13 e i 17 anni avevano i loro numeri di telefono e indirizzi e-mail pubblicamente disponibili se gestivano un account Instagram aziendale o di creatore.
Come hanno risposto
Instagram ha dichiarato di non essere d'accordo con il modo in cui è stata calcolata la multa e di stare rivedendo la decisione.
2. Enel Energia - 26,5 milioni di euro (29,27 milioni di dollari)
Enel Energia, distributore internazionale di elettricità e gas con sede in Italia, ha ricevuto la multa GDPR più alta del 2022.
Perché sono stati multati
l'agenzia italiana per la protezione dei dati, chiamata Garante, ha scelto di multare Enel Energia per 26,5 milioni di euro dopo aver ricevuto centinaia di reclami contro la società.
l'indagine del Garante ha rilevato che Enel Energia utilizzava i dati personali dei propri clienti in modo illecito. l'azienda utilizzava questi dati privati per effettuare chiamate di telemarketing senza ottenere il consenso degli utenti e senza informarli su come sarebbero state utilizzate le loro informazioni.
Come hanno risposto
Enel Energia sostiene che le chiamate sono state effettuate per contattare i clienti durante la pandemia. In una dichiarazione inviata via e-mail a Compliance Week, Enel Energia ha dichiarato che "valuterà ogni azione successiva" in merito alle richieste del Garante di rendere le proprie attività di trattamento dei dati conformi al GDPR. l'azienda si riserva inoltre il diritto di presentare ricorso.
3. Clearview AI - 20 milioni di euro (20,9 milioni di dollari)
Clearview AI è un'azienda americana di riconoscimento facciale con sede a New York.
Perché sono stati multati
Clearview AI raccoglie selfie e immagini da Internet e li compila in un database per il riconoscimento facciale che poi vende a terzi (come le forze dell'ordine). È stata è stata multata per 20 milioni di euro dal Garante della privacy italiano (Garante della privacy) dopo aver indagato su diverse denunce.
Il Garante ha rilevato che Clearview AI ha trattato i dati personali, comprese le informazioni biometriche e di geolocalizzazione, senza un'adeguata base giuridica. Inoltre ha violato i principi del GDPR di trasparenza, limitazione delle finalità e limitazione della conservazione.
In Italia, a Clearview AI è ora vietato raccogliere immagini ed elaborare i dati. È stato inoltre ordinato di cancellare i dati in suo possesso di chiunque in Italia.
Come hanno risposto
Clearview AI l'amministratore delegato Hoan Ton-That ha dichiarato che Clearview AI non ha operazioni commerciali o clienti in Italia o nell'Unione Europea, quindi non è soggetta al GDPR.
4. Clearview AI - 20 milioni di euro (20,9 milioni di dollari)
Clearview AI è stata inoltre ritenuta in violazione del GDPR dall'agenzia francese per la protezione dei dati, la Commission nationale de l'informatique et des libertés (CNIL).
Perché sono stati multati
La CNIL ha aperto l'indagine su Clearview AI nel 2020 dopo aver ricevuto reclami sul software di riconoscimento facciale. Nel novembre 2021 ha ordinato a Clearview di cancellare tutti i dati delle persone presenti sul territorio francese, in quanto non disponeva di una base giuridica per proteggere i diritti individuali e soddisfare le richieste di cancellazione.
La CNIL ha multato Clearview AI per aver trattato illegalmente i dati personali e non aver protetto i diritti di coloro che si trovano nel territorio francese.
Come hanno risposto
Clearview AI ha risposto che era impossibile determinare dalle foto pubbliche su Internet chi si trovasse in territorio francese e, pertanto, non poteva cancellare i dati. Ha inoltre dichiarato di raccogliere solo informazioni pubbliche e di non svolgere attività commerciali in Francia o nell'UE e quindi di non essere soggetta al GDPR.
5. Clearview AI - 20 milioni di euro (20,9 milioni di dollari)
In un'altra mossa contro Clearview AI, l'agenzia ellenica per la protezione dei dati in Grecia l'ha multata per violazione del GDPR.
Perché sono stati multati
Clearview AI è stata ha violato i principi di legalità e trasparenza del GDPR di legalità e trasparenza raccogliendo foto e selfie senza consenso.
Come hanno risposto
Di nuovo, Clearview AI ha risposto, dichiarando di non avere clienti o una sede operativa in Grecia o nell'UE e di non essere quindi soggetta al GDPR.
6. Meta Platforms Ireland Limited - 17 milioni di euro (18,7 milioni di dollari)
Meta Platforms Ireland Limited (Meta), ex Facebook Ireland Limited, è stata multata dalla Commissione per la protezione dei dati (DPC) in Irlanda.
Perché sono stati multati
Il DPC ha indagato su Meta dopo aver ricevuto la notifica di 12 violazioni di dati tra giugno 2018 e dicembre 2018. Dopo un'indagine, è emerso che Meta non disponeva di misure tecniche e organizzative adeguatee quindi non ha potuto dimostrare le misure di sicurezza adottate per proteggere i dati degli utenti.
Il DPC ha inflitto a Meta una multa di 17 milioni di euro.
Come hanno risposto
A Il rappresentante di Meta ha risposto alla decisione del DPC: "Questa multa riguarda le pratiche di registrazione del 2018 che abbiamo successivamente aggiornato, non una mancata protezione delle informazioni delle persone. Prendiamo sul serio i nostri obblighi ai sensi del GDPR e valuteremo attentamente questa decisione in quanto i nostri processi continuano ad evolversi".
7. Google LLC - 10 milioni di euro (10,47 milioni di dollari)
Google è stata è stata multata per 10 milioni di euro dall'autorità spagnola per la protezione dei datiAgencia Española de Protección de Datos (AEPD) dopo aver avviato un'indagine.
Perché sono stati multati
l'aEPD ha scoperto che Google trasferiva i dati raccolti dai cittadini dell'UE al Lumen Project, un progetto di ricerca con sede negli Stati Uniti, senza il suo permesso. Inoltre, il modulo che gli utenti dovevano compilare per cancellare le loro informazioni era complicato e quindi violava il diritto all'oblio.
Per queste due violazioni, Google è stata multata per 5 milioni di euro ciascuna.
Come hanno risposto
A rappresentante di Google ha ribadito la promessa di trasparenza dell'azienda e che rivedrà la decisione per riesaminare le sue pratiche in modo da essere conforme alle norme sulla privacy.
8. Clearview AI Inc. - 8,75 milioni di euro (9,34 milioni di dollari)
Clearview AI è stata anche multata dall'agenzia per la protezione dei dati nel Regno Unito.
Perché sono stati multati
l'information Commissioner's Office (ICO) ha rilevato che Clearview AI raccoglieva le immagini per il suo software di riconoscimento facciale senza avere un motivo legittimo. Ha ordinato a Clearview AI di cancellare i dati raccolti sui residenti nel Regno Unito.
Come hanno risposto
Il l'amministratore delegato di Clearview AI, Hoan Ton-That, ha dichiarato che la che l'iCO ha "mal interpretato" la sua tecnologia e le sue motivazioni. Ha affermato che Clearview AI raccoglie solo informazioni pubbliche e rispetta tutte le leggi e gli standard sulla privacy dei dati.
9. REWE International - 8 milioni di euro (9 milioni di dollari)
Il rivenditore austriaco di generi alimentari REWE International è stato multato per 8 milioni di euro dall'Autorità austriaca per la protezione dei dati (DPA).
Perché sono stati multati
l'azienda è stata multata per aver gestito in modo scorretto i dati degli utenti coinvolti nel suo programma di fidelizzazione. Il programma, chiamato jö Bonus Club, raccoglieva i dati degli utenti senza il loro consenso e li utilizzava per scopi di marketing.
Come hanno risposto
REWE International intende presentare ricorso contro la decisione. La società sostiene che jö Bonus Club è una società controllata che opera in modo indipendente da REWE International nel suo complesso. Pertanto, secondo questa argomentazione, jö Bonus Club era responsabile dell'utilizzo dei dati dei clienti e non REWE International.
La società madre sostiene inoltre che questo significa che jö Bonus Club dovrebbe essere multato al posto suo. Ciò ridurrebbe significativamente la multa, poiché le sanzioni GDPR sono stabilite in base alle entrate delle organizzazioni multate. Tuttavia, non è chiaro se questo appello riuscirà a ridurre la multa.
10. Cosmote Mobile Telecommunications - 6 milioni di euro (6,6 milioni di dollari)
l'operatore di telefonia mobile greco Cosmote Mobile Telecommunications è stato multato per 6 milioni di euro dall'Autorità ellenica per la protezione dei dati (HDPA).
Perché sono stati multati
La multa ha avuto due cause principali. In primo luogo, nel settembre 2020 un hackeraggio dei dati privati dell'azienda ha portato a una significativa violazione dei dati, esponendo le informazioni private dei clienti.
In secondo luogo, si è scoperto che l'azienda trattava illegalmente i dati dei clienti. Di conseguenza, l'hack di settembre ha esposto molti più dati di quelli che avrebbe dovuto. Inoltre, i dati privati non erano completamente pseudonimizzati, rendendo più facile per gli hacker identificare le persone sulla base dei dati trapelati.
Come hanno risposto
l'azienda non ha ancora risposto alla multa.
11. Interserve Group Limited - 5 milioni di euro (4,94 milioni di dollari)
Interserve Group Limited è una società britannica di servizi di costruzione e assistenza con sede nel Regno Unito. È stato riscontrato che l'azienda ha violato il GDPR a causa di una violazione dei dati avvenuta due anni fa.
Perché sono stati multati
l'iCO britannico ha ritenuto che Interserve Group Limited non abbia protetto i dati personali dei dipendenti, il che ha portato a un attacco informatico tra marzo 2020 e maggio 2020, in cui sono stati colpiti i dati di 113.0000 dipendenti. Sono stati esposti dati personali, tra cui dettagli di contatto, numeri di assicurazione nazionale, dettagli di conti bancari e dati di categorie speciali (origini etniche, religione, disabilità, orientamento sessuale e informazioni sulla salute).
La mancata protezione dei dati personali e la mancata adozione di misure di sicurezza adeguate violano il GDPR.
Come hanno risposto
Un Un rappresentante di Interserve ha dichiarato"Nonostante le incongruenze tra l'avviso di sanzione e il comunicato stampa dell'ICO e le preoccupazioni che l'iCO non abbia seguito un processo equo e corretto, Interserve continuerà a dare priorità agli interessi del suo personale passato e presente, delle sue controparti e delle altre parti interessate, impegnandosi nel contempo con l'iCO per risolvere le sue indagini".
Interserve ha tempo fino al 21 novembre 2022 per pagare l'ammenda, a meno che non faccia ricorso contro la decisione nei 28 giorni successivi all'emissione dell'ammenda (24 ottobre 2022).
12. Uber B.V. e Uber Technologies, Inc. - 4,24 milioni di euro (4,47 milioni di dollari)
La popolare società di servizi di trasporto Uber è stata è stata multata per 4,24 milioni di euro dall'autorità italiana per la protezione dei dati personali. Uber B.V. è una società di diritto olandese, mentre Uber Technologies, Inc. è la società madre statunitense.
Perché sono stati multati
Nel 2016 Uber ha subito una violazione dei dati personali di 57 milioni di utenti in tutto il mondo, tra cui nome, cognome, numero di telefono, e-mail, credenziali di accesso all'app, dati di localizzazione e dati relativi ad altri utenti, come le corse condivise. In Italia sono stati colpiti 52.000 autisti e 243.000 passeggeri.
Il DPA italiano ha riscontrato una violazione del GDPR da parte di Uber. l'informativa sulla privacy fornita da Uber ai suoi utenti era insufficiente. Inoltre, Uber ha trattato i dati senza il loro consenso. Infine, Uber non ha rispettato l'obbligo di notificare al DPA italiano il trattamento dei dati a fini di geolocalizzazione.
Come hanno risposto
Nel corso del procedimento, Uber ha dichiarato di aver sempre fornito ai propri utenti informazioni sulle modalità di trattamento dei dati e di aver fornito ai propri utenti politiche sulla privacy aggiornate. Uber ha dichiarato di aver condiviso le proprie procedure e politiche con l'autorità per la protezione dei dati nel 2015 e l'autorità per la protezione dei dati non ha mai messo in discussione nulla.
Le argomentazioni di Uber non sono state sufficienti a superare le violazioni del GDPR .
13. Vodafone España - 3,94 milioni di euro (4 milioni di dollari)
Vodafone España è stata l'agenzia spagnola per la protezione dei dati ha comminato una multa AEPD per violazione del GDPR dopo aver condotto un'indagine.
Perché sono stati multati
l'aEPD ha rilevato che i metodi utilizzati da Vodafone per duplicare le carte SIM violavano una perdita di riservatezza e trasferivano dati personali a terzi. l'indagine ha inoltre rilevato che Vodafone non ha mantenuto un programma di conformità al GDPR con misure di sicurezza sufficienti, il che ha aumentato il rischio di furto di identità.
Come hanno risposto
Vodafone non era d'accordo e ha dichiarato che ha dichiarato che la sua priorità è la privacy dei clienti.
14. Amministrazione fiscale e doganale olandese: 3,7 milioni di euro (3,8 milioni di dollari).
l'amministrazione fiscale e doganale olandese è il servizio di riscossione delle imposte e delle dogane dei Paesi Bassi. È stata multato dall'Autorità olandese per la protezione dei dati.
Perché sono stati multati
l'amministrazione fiscale e doganale olandese è stata scoperta ad aver trattato illegalmente i dati personali quando ha tenuto una lista nera nel suo Fraude Signalering Voorziening (FSV) - o "struttura di identificazione delle frodi" - che ha utilizzato per registrare i sospetti di frode. Molte persone sono state erroneamente inserite nella lista.
l'agenzia olandese per la protezione dei dati ha rilevato che:
- Non esisteva una base giuridica per la raccolta delle informazioni
- Lo scopo non è stato specificato
- I dati sono stati memorizzati troppo a lungo
- I dati non erano protetti
- Non hanno coinvolto un responsabile della protezione dei dati durante le loro valutazioni.
Come hanno risposto
l'amministrazione fiscale e doganale olandese può presentare un'obiezione alla multa. Si è già scusata con 60 persone danneggiate da questa "lista nera".
15. Gruppo OTE - 3,25 milioni di euro (3,59 milioni di dollari)
In relazione all'ammenda di Cosmote di cui sopra, anche la società madre OTE Group è stata multata dall'HDPA.
Perché sono stati multati
Questa multa aggiuntiva di 3,25 milioni di euro è stata emessa separatamente dopo che l'indagine Cosmote ha stabilito che OTE avrebbe dovuto essere inclusa nel processo fin dall'inizio, ma non lo è stata.
L'HDPA ha inoltre stabilito che il Gruppo OTE è parzialmente responsabile dell'hacking dei dati di Cosmote. L'hacker ha utilizzato una password di amministratore di OTE Group per entrare nei sistemi di Cosmote. Per questo motivo, l'HDPA ha emesso un'ulteriore multa nei confronti di OTE Group per non aver protetto adeguatamente i propri sistemi di dati.
16. Amazon Road Transport - 2 milioni di euro (2,27 milioni di dollari)
Amazon Road Transport è stata multato dall'agenzia spagnola per la protezione dei dati AEPD..
Perché sono stati multati
l'aEPD ha iniziato a indagare su un reclamo contro Amazon Road Transport. l'aEPD ha scoperto che, nell'assumere camionisti autonomi, Amazon richiedeva ai contraenti di fornire un certificato che attestasse l'assenza di precedenti penali (un certificato negativo). Amazon ha inoltre richiesto ai contraenti di acconsentire al trasferimento di questi dati (certificati negativi) a società del gruppo e a forniture al di fuori dello Spazio economico europeo.
l'aEPD ha stabilito che questi certificati negativi sono dati personali. E poiché non esiste una legge spagnola che consenta a un'azienda di elaborare i precedenti penali dei propri camionisti, non c'era alcuna base legale per Amazon per richiedere i certificati negativi.
Inoltre, il consenso dato non è informato perché non vengono fornite informazioni sul trattamento, sulle finalità, sulla base giuridica o sulle modalità di revoca del consenso. Inoltre, il consenso non è dato volontariamente perché è una condizione per andare avanti nel processo di assunzione.
Come hanno risposto
Amazon ha cercato di sostenere che il certificato era legittimo perché salvaguardava la sicurezza dei clienti. l'aEPD non è stata convinta.
17. Easylife Limited - 1,53 milioni di euro (1,6 milioni di dollari)
Easylife Limited è un rivenditore di cataloghi.
Perché sono stati multati
l'iCO britannico ha scoperto che Easylife ha creato profili di 145.400 persone per dedurre condizioni di salute senza il loro consenso. Le deduzioni sono state fatte sulla base dei prodotti che i clienti hanno acquistato dal catalogo salute di Easylife.
Non avendo informato i clienti di questo utilizzo dei loro dati, l'iCO ha ritenuto che Easylife abbia violato l'articolo del GDPR contro il trattamento "illegale e invisibile" dei dati di categoria speciale.
Come hanno risposto
Easylife ha dichiarato che che avrebbero fatto ricorso contro la decisione dell'ICO. Se Easylife deciderà di presentare ricorso, avrà tempo fino al 1° novembre 2022 per farlo.
18. Dedalus Biologie - 1,5 milioni di euro (1,56 milioni di dollari)
Dedalus Biologie, un fornitore di software medico in Europa, è stato multato dall'agenzia francese per la protezione dei dati CNIL.
Perché sono stati multati
l'autorità francese per la protezione dei dati ha multato Dedalus Biology per 1,5 milioni di euro per violazione del GDPR. Il suo database è trapelato online e ha rivelato i nomi completi dei pazienti, i numeri di previdenza sociale, i nomi dei medici, le date degli esami, le informazioni mediche e le informazioni genetiche.
La CNIL ha riscontrato che Dedalus Biologie non ha rispettato le istruzioni del responsabile del trattamento quando ha estratto più informazioni di quelle richieste, tra cui informazioni sulla salute personale. La CNIL ha inoltre riscontrato che Dedalus ha violato l'obbligo di proteggere i dati personali.
Come hanno risposto
Dedalus Biologie ha risposto alla decisione dichiarando la propria volontà di migliorare la sicurezza e la conformità al GDPR .
Le più grandi multe GDPR nel 2021
Il 2021 è l'anno più recente per il quale disponiamo di 12 mesi completi di dati sull'emissione di multe GDPR .
È anche l'anno in cui si sono registrate le cinque multe più alte di sempre per GDPR . Probabilmente perché l'infrastruttura di indagine sulle violazioni GDPR è maturata completamente nel 2021.
Di conseguenza, le grandi aziende che operano su scala globale hanno potuto essere sottoposte a un audit accurato e molte sono risultate carenti in termini di protezione dei dati.
Ecco le più grandi multe del 2021, compresa quella da record di Amazon.
1. Amazon - 746 milioni di euro (823,9 milioni di dollari)
Questa multa non è solo la più alta multa GDPR del 2021, ma anche la più alta multa GDPR mai emessa.
La Commissione nazionale del Lussemburgo ha multato la base UE di Amazon in Lussemburgo per 746 milioni di euro per la protezione dei dati (NCDP).
La sanzione è quasi tre volte superiore alla successiva multa più alta prevista GDPR .
Perché sono stati multati
L'NCDP è stato spinto ad avviare l'indagine dopo che l'oNG francese La Quadrature du Net (Squaring the Net) ha presentato una denuncia per conto di 10.000 clienti di Amazon. La Quadrature du Net ha denunciato che Amazon stava chiaramente tracciando i dati degli utenti in modo inammissibile per effettuare pubblicità mirata.
Durante l'indagine, l'NCDP ha scoperto che Amazon tracciava i dati dei suoi utenti senza aver acquisito il consenso appropriato. Tuttavia, l'organizzazione non ha rilasciato dettagli specifici per motivi di segreto professionale.
Come hanno risposto
Amazon ha chiarito che intende opporsi alla decisione. l'argomentazione dell'azienda è che, non essendoci state violazioni dei dati o esposizione di dati privati a terzi, le sue pratiche non violano il GDPR. Tuttavia, La Quadrature du Net ha risposto che "è il sistema stesso di pubblicità mirata, e non solo occasionali violazioni della sicurezza, che la nostra azione legale ha attaccato".
Non è ancora chiaro se l'appello avrà successo.
2. WhatsApp - 225 milioni di euro (248,5 milioni di dollari)
Subito dopo la multa ad Amazon, la società di app di comunicazione WhatsApp è la seconda più alta multa GDPR sia del 2021 che di tutti i tempi.
Perché sono stati multati
La Commissione irlandese per la protezione dei dati (DPC) ha indagato sui processi di gestione dei dati di WhatsApp e ha riscontrato molteplici violazioni, che hanno portato a una multa di 225 milioni di euro. Il DPC ha stabilito che WhatsApp non ha fornito agli utenti un'adeguata trasparenza sulle modalità di utilizzo dei dati. Il DPC ha inoltre rilevato che WhatsApp non ha fornito agli utenti politiche sulla privacy sufficientemente chiare.
Come hanno risposto
Tuttavia, l'entità della multa è oggetto di discussione. WhatsApp ha presentato ricorso contro la decisione del DPC, sostenendo di fornire informazioni accurate sull'utilizzo dei dati a tutti gli utenti. La decisione del DPC è stata contestata anche da altri Paesi dell'UE, tra cui Francia, Germania e Italia, che hanno discusso i dettagli del ragionamento del DPC.
l'ammenda potrebbe non diminuire anche se il ricorso in appello dovesse comportare dei cambiamenti. Al contrario, il Comitato europeo per la protezione dei dati ha specificamente detto al DPC di rivalutare la multa e di stabilire un importo più alto dopo che la proposta originale dell'agenzia aveva indicato un importo compreso tra 30 e 50 milioni di euro.
l'appello di WhatsApp è in corso.
3. Google Ireland - 60 milioni di euro (66 milioni di dollari)
l'irlanda è anche la fonte di un'altra elevata multa GDPR del 2021.
Perché sono stati multati
l'autorità francese per la protezione dei dati (CNIL) ha inflitto alla filiale irlandese di Google una multa di 60 milioni di euro come metodo di applicazione GDPR , dopo aver stabilito che l'azienda non aveva rispettato i requisiti del GDPRin materia di cookie, in particolare per aver reso difficile rifiutarli su YouTube. Il GDPR richiede alle aziende di rendere ugualmente facile accettare e rifiutare i cookie.
Ma perché un'autorità francese ha multato una società irlandese?
La CNIL ha sostenuto che la multa è, in parte, legata alla Direttiva ePrivacy dell'UE, non solo al GDPR. La direttiva ePrivacy consente alle autorità di regolamentazione di intraprendere azioni dirette contro qualsiasi sito web che operi all'interno della loro giurisdizione.
Di conseguenza, la mancanza di conformità ai cookie da parte di Google Ireland era qualcosa di cui la CNIL poteva occuparsi direttamente, invece di rinviarla al DPC.
Come hanno risposto
I portavoce di Google hanno dichiarato che "Le persone si fidano di noi per il rispetto del loro diritto alla privacy e per la loro sicurezza. Siamo consapevoli della nostra responsabilità di proteggere questa fiducia e ci stiamo impegnando ad apportare ulteriori modifiche e a collaborare attivamente con la CNIL alla luce di questa decisione."
4. Google - 90 milioni di euro (99 milioni di dollari)
Sì, Google è responsabile di più multe in classifica nello stesso anno solare.
Perché sono stati multati
Google è stata ritenuta parzialmente responsabile dello stesso problema di conformità dei cookie di Google Ireland. La CNIL ha stabilito che anche Google LLC, la filiale americana dell'azienda, è responsabile della mancanza di un semplice rifiuto dei cookie da parte di Youtube.
Questa decisione dimostra che le grandi aziende possono incorrere in più di una multa. Ad esempio, se un'azienda ha più filiali in vari Paesi, ognuna di esse potrebbe rischiare di incorrere in pesanti sanzioni per l'applicazione del GDPR .
5. Facebook - 60 milioni di euro (66 milioni di dollari)
Si tratta della terza multa massiccia per GDPR comminata dalla CNIL nel 2021.
Perché sono stati multati
La filiale irlandese di Facebook, Facebook Ireland Limited, è stata multata sulla stessa base di Google Ireland e Google LLC. La CNIL ha rilevato che Facebook France, una filiale di Facebook Ireland, richiedeva agli utenti di selezionare diverse opzioni per rifiutare tutti i cookie non essenziali, ma solo un'opzione per accettare tutti i cookie.
Secondo la CNIL, ciò ha violato le norme del GDPR e della direttiva ePrivacy sull'utilizzo dei cookie e ha comportato una multa di 60 milioni di euro in base alle entrate di Facebook.
Come hanno risposto
Facebook ha presentato ricorso contro la multa. l'azienda sostiene che la CNIL stia effettivamente cercando di applicare le sue linee guida e raccomandazioni nazionali invece della Direttiva ePrivacy o del GDPR.
Facebook sostiene che la CNIL dovrebbe essere in grado di multare solo Facebook Francia invece di Facebook Irlanda, il che ridurrebbe significativamente le multe che la società dovrebbe pagare in base ai ricavi.
6. Notebookbilliger.de - 10,4 milioni di euro (11,5 milioni di dollari)
Il rivenditore tedesco di elettronica online Notebookbilliger.de ha ricevuto una multa di 10,4 milioni di euro dal commissario per la protezione dei dati dello stato tedesco della Bassa Sassonia.
Perché sono stati multati
Il commissario aveva ordinato un'indagine sulle pratiche di raccolta dati di Notebookbilliger.de. l'indagine ha rilevato che Notebookbilliger.de aveva installato telecamere a circuito chiuso nei luoghi di lavoro, nelle aree di vendita, nelle aree comuni e nei magazzini dell'azienda. I filmati venivano conservati per 60 giorni.
Sebbene la sorveglianza a circuito chiuso sia consentita dal GDPR, deve essere effettuata per un motivo lecito e solo dopo che altri metodi di prevenzione del crimine non si sono dimostrati efficaci. Inoltre, la videosorveglianza deve essere limitata, cosa che non è avvenuta nelle aree di vendita.
Il commissario ha stabilito che l'uso della videosorveglianza da parte di Notebookbilliger.de era sproporzionato e ha multato l'azienda di conseguenza.
Come hanno risposto
L ›amministratore delegato dell'azienda ha sostenuto che la multa era ingiusta, sproporzionata e mal indagata. Il ricorso di Notebookbilliger.de contro la multa è in corso.
7. Poste austriache - 9,5 milioni di euro (10,5 milioni di dollari)
Sebbene l'austria non sia così aggressiva nell'applicazione del GDPR come la Francia, è comunque uno dei Paesi più assertivi in materia di protezione dei dati. Ad esempio, la DPA austriaca ha multato il servizio postale nazionale del Paese per 9,5 milioni di euro per non aver rispettato il GDPR.
Perché sono stati multati
Secondo la DPA austriaca, le Poste austriache si sono rifiutate di consentire alle persone di chiedere informazioni sui loro dati personali memorizzati via e-mail. Sebbene l'agenzia permettesse diversi altri metodi di richiesta, rifiutava specificamente le e-mail. La DPA ha stabilito che ciò comportava un onere eccessivo per i clienti e violava il GDPR.
Questa multa arriva dopo che il Tribunale amministrativo federale austriaco ha annullato una precedente multa GDPR di 18 milioni di euro contro la Posta per aver trattato i dati dei clienti per determinare l'affiliazione politica dei cittadini austriaci.
Come hanno risposto
Il Post ha dichiarato che ricorrerà in appello contro questa multa, così come ha fatto contro la precedente.
8. Vodafone España - 8,15 milioni di euro (9 milioni di dollari)
Il fornitore di telecomunicazioni spagnolo Vodafone España ha dovuto affrontare una multa di 8,15 milioni di euro nel 2021 per "molteplici e ripetute violazioni GDPR ".
Perché sono stati multati
Secondo l'agencia Española Proteccion Datos (AEPD), Vodafone ha violato tre articoli del GDPR e numerose altre leggi spagnole sulla protezione dei dati.
Vodafone ha utilizzato i dati dei clienti per effettuare chiamate di telemarketing illegali. Inoltre, i clienti che hanno richiesto la cessazione di queste chiamate hanno continuato a ricevere telefonate di telemarketing a un ritmo aggressivo. Sembra che ciò sia dovuto alla decisione di Vodafone di utilizzare agenzie di marketing di terze parti, che non hanno accesso alle liste "do-not-call" che l'azienda è tenuta a mantenere.
Come hanno risposto
Vodafone ha sostenuto che le sue azioni non violano il GDPR e che farà ricorso contro la multa. l'azienda ha ricevuto più di 30 multe per GDPR nei quattro anni dall'entrata in vigore della legge.
9. Grindr - 6,3 milioni di euro (7 milioni di dollari)
l'app di incontri Grindr, con sede negli Stati Uniti, ha ricevuto una multa di 6,3 milioni di euro dalla DPA norvegese.
Perché sono stati multati
La multa si basa sull'accusa di aver inviato dati personali sensibili a inserzionisti terzi senza consenso.
Pur non essendo un membro dell'UE, la Norvegia ha adottato e applica il GDPR. Pertanto, quando il Consiglio dei consumatori norvegese ha presentato un reclamo alla DPA per il fatto che Grindr condivideva dati privati come la posizione GPS, gli indirizzi IP, l'età e il sesso degli utenti, la DPA ha utilizzato le linee guida GDPR per indagare sull'azienda.
Secondo il DPA, Grindr richiede agli utenti di accettare l'informativa sulla privacy nella sua interezza per utilizzare l'applicazione. Il GDPR vieta specificamente ai servizi di richiedere agli utenti di accettare il salvataggio e l'elaborazione di dati non essenziali per accedere al servizio.
Inoltre, la DPA ha rilevato che gli utenti non sono stati informati sull'utilizzo dei loro dati e non hanno potuto dare il proprio consenso.
Come hanno risposto
Grindr ha annunciato l'intenzione di appellarsi alla decisione sostenendo di aver modificato le proprie pratiche e di essere ora conforme ai requisiti GDPR .
10. CaixaBank - 6 milioni di euro (6,6 milioni di dollari)
un'altra multa dell'AEPD spagnola è andata alla banca spagnola CaixaBank.
Perché sono stati multati
La multa di 6 milioni di euro è stata emessa sulla base del fatto che CaixaBank non ha soddisfatto i requisiti del GDPRper un consenso valido e che i metodi di acquisizione del consenso della banca erano inadeguati. l'aEPD ha inoltre rilevato che CaixaBank ha effettuato "trasferimenti illeciti" di dati personali ad altre società con il suo terreno bancario.
Le banche hanno accesso a importanti dati sensibili degli utenti, dai dettagli finanziari ai numeri di identificazione. Pertanto, non informare gli utenti su come verranno utilizzati i loro dati e trasferirli ad altre aziende viola per definizione diversi elementi del GDPR.
Come hanno risposto
CaixaBank farà ricorso contro la decisione.
11. Fastweb S.p.A. - 4,5 milioni di euro (5 milioni di dollari)
Il Garante, l'autorità italiana per la protezione dei dati personali, ha inflitto una multa di 4,5 milioni di euro al fornitore di servizi Internet Fastweb per violazione del GDPR , dopo aver ricevuto centinaia di reclami da parte dei clienti.
Perché sono stati multati
Secondo il Garante, Fastweb ha utilizzato i dati dei clienti per effettuare chiamate promozionali di telemarketing senza il loro consenso. In passato Fastweb è stata multata per violazioni simili.
La multa comporta anche altri requisiti. Fastweb dovrà anche dimostrare che tutte le future chiamate di telemarketing saranno effettuate attraverso numeri registrati. Inoltre, l'azienda non potrà più utilizzare elenchi di dati dei clienti di altri fornitori senza dimostrare che gli utenti abbiano acconsentito all'utilizzo dei loro dati per scopi di marketing.
Come hanno risposto
Fastweb ha collaborato alle indagini e non ha contestato la multa.
12. Sky Italia - 3,3 milioni di euro (3,6 milioni di dollari)
Il Garante ha emesso un'altra importante multa per le telecomunicazioni contro la piattaforma televisiva italiana Sky Italia.
Perché sono stati multati
Come nel caso di Fastweb, la multa di 3,3 milioni di euro è stata comminata perché Sky Italia ha trattato e utilizzato in modo improprio i dati dei clienti a fini promozionali. Di conseguenza, i clienti di Sky Italia hanno ricevuto chiamate di telemarketing non richieste che non si sono interrotte quando hanno chiesto alla società di non contattarli più.
Inoltre, come Fastweb, Sky Italia non può più effettuare chiamate di marketing attraverso numeri non registrati e non può più utilizzare liste di contatti di terzi senza la prova del consenso.
Come hanno risposto
Sky Italia non farà ricorso contro la multa.
13. Caixabank Payments & Consumer - 3 milioni di euro (3,3 milioni di dollari)
Sì, CaixaBank ha ricevuto due multe separate per GDPR nel 2021. Questo caso non è collegato alla multa di 6 milioni di euro emessa anche dall'AEPD spagnola.
Perché sono stati multati
In questo caso, l'indagine ha rilevato che la filiale CaixaBank Payments & Consumer EFC stava trattando dati personali per motivi illegali e ha multato la banca per 3 milioni di euro.
Secondo l'aEPD, CaixaBank ha richiesto informazioni individuali dai file di solvibilità nonostante non avesse contratti attivi con queste persone. Inoltre, la banca ha utilizzato questi dati per sostenere campagne di marketing senza il consenso dei singoli.
Come hanno risposto
CaixaBank sostiene che il suo utilizzo dei dati era consentito e sta facendo ricorso contro la multa dell'AEPD.
14. Iren Mercato - 2,9 milioni di euro (3,2 milioni di dollari)
Il Garante è stato impegnato nel 2021. l'agenzia ha anche multato Iren Mercato, una società energetica italiana, per 2,9 milioni di euro per non aver rispettato i requisiti del GDPRin materia di trattamento dei dati.
Perché sono stati multati
Il Garante ha accertato che Iren Mercato ha accettato e trattato dati privati provenienti da varie altre fonti senza aver ricevuto il consenso da parte di queste persone per utilizzarli a fini di telemarketing.
Il GDPR richiede a tutte le organizzazioni di trattare la quantità minima di dati rilevanti per lo svolgimento dei loro servizi. Inoltre, il regolamento prevede che tutti gli utenti abbiano la possibilità di dare il proprio consenso prima che un'organizzazione tratti i loro dati, cosa che Iren Mercato non ha fatto, e quindi la multa.
Come hanno risposto
Iren Mercato non ha rilasciato alcuna dichiarazione pubblica sull'eventuale ricorso alla decisione.
15. Ministro delle Finanze olandese - 2,75 milioni di euro (3 milioni di dollari)
Anche i governi e i dipendenti pubblici non sono immuni dal GDPR. Ad esempio, il Ministro delle Finanze olandese è stato costretto a pagare una multa di 2,75 milioni di euro dopo che l'autorità nazionale olandese per la protezione dei dati ha stabilito che l'autorità fiscale aveva registrato ed elaborato illegalmente le nazionalità delle persone.
Perché sono stati multati
Secondo il GDPR, nessuna organizzazione può tracciare informazioni personali come la nazionalità se non per un "motivo legittimo". Né le organizzazioni possono tracciare questi dati senza consenso. l'autorità fiscale olandese ha utilizzato le informazioni sulla nazionalità individuale per effettuare rimborsi discriminatori e illegali di prestazioni di assistenza all'infanzia e per condurre indagini fraudolente contro i genitori.
Come hanno risposto
Il Ministro delle Finanze olandese non ha fatto ricorso contro la multa.
16. Foodinho - 2,6 milioni di euro (2,9 milioni di dollari)
La società italiana di food delivery Foodinho è stata oggetto di un'altra multa milionaria da parte del Garante.
l'agenzia ha indagato sul sistema di valutazione dei ciclisti e sugli avvisi sulla privacy di Foodinho e li ha ritenuti entrambi carenti, causando una multa di 2,6 milioni di euro.
Perché sono stati multati
In particolare, si è scoperto che il sistema di valutazione dei rider di Foodinho potrebbe incoraggiare la discriminazione basata sulle informazioni personali dei rider. Il loro sistema automatizzato potrebbe aver impedito ai rider di ottenere il lavoro con pregiudizi inconsci legati ai loro dati personali.
Nel frattempo, il Garante ha stabilito che Foodinho non era sufficientemente chiara per consentire ai clienti di dare un consenso valido all'utilizzo dei loro dati.
Come hanno risposto
Foodinho ha annunciato che sta valutando la possibilità di appellarsi alla decisione. l'azienda ha inoltre dichiarato che la conformità al GDPR è una delle sue principali priorità.
Le più grandi multe GDPR nel 2020
Nel 2020 si è registrato ancora un gran numero di multe di alto valore. Tuttavia, in questo anno le multe non hanno raggiunto lo stesso picco a nove cifre che avrebbero raggiunto in seguito. Il 2020 è stato l'anno in cui molte aziende che non operano ovviamente nel settore dei dati hanno scoperto che sarebbero state tenute a rispettare gli standard del GDPRcome qualsiasi altra azienda. Le principali multe del GDPR per il 2020 includono:
1. H&M - 35,3 milioni di euro (39 milioni di dollari)
Sebbene il rivenditore di abbigliamento H&M non venga subito in mente come raccoglitore di dati, l'azienda elabora quotidianamente una quantità significativa di dati dei clienti.
Perché sono stati multati
Le autorità di regolamentazione tedesche hanno scoperto che H&M violava i requisiti del GDPRconservando un numero eccessivo di dati sulla sua forza lavoro, compresi dettagli come le famiglie, le religioni e le malattie dei dipendenti. Ciò ha portato la DPA tedesca a emettere una multa di 35,3 milioni di euro, che all'epoca era la seconda multa più alta mai comminata per l'applicazione del GDPR .
Questa azione viola il requisito del GDPRsecondo cui le organizzazioni conservano i dati solo per scopi leciti. Poiché le convinzioni familiari e religiose non influiscono sulle capacità di un lavoratore, un'azienda non ha motivo di tenere traccia di questi dati. Tuttavia, H&M non ha rispettato questa regola e ha svolto indagini invasive sul personale su questi temi, conservando i dati per lunghi periodi.
Come hanno risposto
Dopo l'emissione della multa, H&M si è assunta la piena responsabilità della violazione e ha predisposto un piano di compensazione per i dipendenti, oltre a conformarsi ai requisiti delle autorità di regolamentazione.
2. TIM (Telecom Italia) - 27,8 milioni di euro (30,7 milioni di dollari)
Il Garante ha dedicato molto tempo alle indagini sulle telecomunicazioni italiane.
Nel 2020, il Garante ha multato TIM (ex Telecom Italia) per 27,8 milioni di euro per aver utilizzato i dati privati degli utenti per effettuare chiamate di telemarketing.
Perché sono stati multati
Le indagini hanno inoltre stabilito che TIM ha impropriamente richiesto il consenso all'utilizzo di dati sensibili ai clienti per partecipare alle estrazioni a premi.
Inoltre, il Garante ha affermato che TIM trattava i dati privati in modo improprio e non li proteggeva adeguatamente. TIM non mostrava agli utenti politiche di privacy utili e conservava i dati raccolti in modi che non li proteggevano dalle violazioni dei dati.
Come hanno risposto
TIM ha tentato di impugnare la multa, ma il ricorso non è andato a buon fine. Di conseguenza, l'azienda ha dovuto pagare la multa e rielaborare pesantemente i metodi di raccolta, elaborazione e archiviazione dei dati per conformarsi al GDPR.
3. British Airways - 20 milioni di sterline (26,4 milioni di dollari)
Sebbene il Regno Unito abbia lasciato l'uE, nel 2020 era ancora tenuto a rispettare il GDPR. Di conseguenza, l'information Commissioner's Office (ICO) del Regno Unito ha seguito le regole del GDPRper multare British Airways per 20 milioni di sterline.
Perché sono stati multati
La multa è stata emessa a causa della gestione da parte di British Airway di un'importante violazione dei dati che ha esposto le informazioni private di oltre 400.000 clienti nel corso di tre mesi.
Inizialmente, l'iCO intendeva comminare una multa di 183 milioni di sterline per la violazione, a causa dell'impatto drammatico e dei ricavi ottenuti da British Airways. Tuttavia, l'agenzia ha modificato l'importo finale a causa dell'impatto finanziario della pandemia COVID-19.
La violazione originale è avvenuta nel 2018 e l'indagine è proseguita nel 2019.
Come hanno risposto
British Airways ha immediatamente impugnato la decisione quando l'iCO ha emesso l'importo originario della multa. Di conseguenza, la multa definitiva è stata emessa ufficialmente solo nel 2020.
Nonostante i migliori sforzi di British Airways, però, è stata comunque colpita da una multa drammatica destinata a inviare un messaggio sulla serietà con cui le agenzie di controllo GDPR prenderanno le violazioni dei dati di qualsiasi dimensione.
4. Marriott - 18,4 milioni di sterline (24,3 milioni di dollari)
Il GDPR si applica anche alle violazioni di dati avvenute prima della sua entrata in vigore.
È quello che è successo quando l'iCO britannico ha comminato una multa di 18,4 milioni di sterline a Marriott per una violazione significativa che ha potenzialmente interessato un terzo di un miliardo di ospiti.
Perché sono stati multati
Nel 2014 l'azienda ha subito una violazione che ha fatto trapelare i nomi dei clienti, le informazioni di contatto e i dati dei passaporti di ben 339 milioni di ospiti. Sfortunatamente, questa violazione è passata inosservata e non è stata affrontata fino al 2018, quando è entrato in vigore il GDPR , che ha consentito all'hacker di continuare ad avere accesso per quattro anni.
Per questo motivo, l'iCO intendeva inizialmente comminare una multa di 99 milioni di sterline, che secondo l'agenzia doveva essere un deterrente per altre aziende che avessero commesso un errore simile.
Come hanno risposto
Marriott ha fatto ricorso contro la multa perché ha agito rapidamente una volta che il problema è stato portato alla sua attenzione.
Nella decisione finale, l'iCO ha riconosciuto questo fatto e il fatto che nel frattempo Marriott aveva migliorato in modo significativo i suoi sistemi e ha abbassato la multa a soli 18,4 milioni di sterline.
5. Wind Tre - 16,7 milioni di euro (18,4 milioni di dollari)
un'altra multa GDPR per le telecomunicazioni italiane è stata comminata a Wind Tre.
Perché sono stati multati
Il Garante ha indagato su Wind sulla base di oltre cento reclami relativi alle modalità con cui l'azienda effettuava chiamate di telemarketing, sms e persino fax. I clienti si sono anche lamentati del fatto che Wind non forniva loro la possibilità di rinunciare alla raccolta dei dati o di impedire che le loro informazioni di contatto venissero rese pubbliche.
Questo comportamento ha portato il Garante a emettere una multa di 16,7 milioni di euro per le numerose violazioni del GDPR da parte dell'azienda.
Come hanno risposto
Wind Tre ha tentato di impugnare la decisione, ma il ricorso non ha avuto successo. Di conseguenza, la multa del Garante è rimasta in vigore.
Inoltre, l'azienda è stata costretta a interrompere la raccolta di alcuni dati e a non utilizzare più le informazioni dei clienti per svolgere attività di marketing senza un consenso diretto e comprovato.
6. Vodafone Italia - 12,25 milioni di euro (13,5 milioni di dollari)
Continuando la tendenza delle azioni di applicazione del GDPR in Italia, il Garante ha anche colpito Vodafone Italia con una multa di 12,25 milioni di euro per l'uso improprio dei dati dei clienti.
Perché sono stati multati
Come altre telecomunicazioni in questa lista, il Garante ha scoperto che Vodafone Italia ha utilizzato i dati dei clienti per attività di marketing senza consenso. Di conseguenza, i clienti Vodafone hanno presentato centinaia di reclami contro le continue telefonate dell'azienda, che sono continuate anche dopo le richieste di interruzione.
Come hanno risposto
Vodafone ha tentato di appellarsi alla decisione, ma è stata respinta.
Sfortunatamente, neanche Vodafone avrebbe imparato la lezione, con altre filiali della società internazionale che hanno dovuto affrontare decine di multe dal 2018.
7. Google Svezia - 75 milioni di corone svedesi (7,9 milioni di dollari)
Google compare in questo elenco ancora una volta per violazioni in Svezia.
La DPA svedese ha indagato sulla filiale locale di Google in seguito a denunce secondo cui l'azienda avrebbe violato il "diritto all'oblio" previsto dal GDPR.
Perché sono stati multati
In base al GDPR, tutti hanno il diritto di vedere il proprio lavoro cancellato dai motori di ricerca o di essere essenzialmente "dimenticati".
La DPA svedese ha stabilito che Google permetteva ai proprietari di siti di ripubblicare contenuti che erano stati cancellati da altri siti e persone, compromettendo il diritto di cancellazione totale. Questa scoperta ha portato l'agenzia a emettere una multa di 75 milioni di corone svedesi, pari a circa 7,9 milioni di dollari.
Come hanno risposto
Google ha fatto ricorso contro la decisione, ma la multa è stata confermata dai tribunali svedesi. All'azienda è stato inoltre vietato di informare i proprietari dei siti sulle richieste di delisting.
8. BBVA - 5 milioni di euro (5,5 milioni di dollari)
l'aEPD spagnola ha emesso due multe al Banco Bilbao Vizcaya Argentaria (BBVA), una di 2 milioni di euro e una di 3 milioni di euro, per due distinte violazioni GDPR .
Perché sono stati multati
Una multa è stata comminata perché la banca ha utilizzato le informazioni dei clienti per svolgere attività di marketing tramite SMS senza aver acquisito il consenso dei clienti. l'altra è stata comminata perché l'organizzazione non ha incluso tutte le informazioni pertinenti nella sua informativa sulla privacy.
Come hanno risposto
Il BBVA ha tentato di impugnare entrambe le multe, sostenendo che le sue azioni non erano effettivamente in violazione del GDPR. Tuttavia, i tribunali spagnoli hanno confermato la decisione dell'AEPD e BBVA è stata costretta a pagare entrambe le multe.
9. Gruppo Carrefour - 3,05 milioni di euro (3,5 milioni di dollari)
La CNIL francese ha inflitto multe per un totale di 3,05 milioni di euro a due filiali del conglomerato della grande distribuzione Carrefour.
Perché sono stati multati
La CNIL ha iniziato a indagare sul Gruppo Carrefour dopo aver ricevuto reclami da parte di clienti che lamentavano il mancato rispetto delle richieste di cancellazione dei dati, l'invio di comunicazioni di telemarketing non richieste e la mancata possibilità di annullare l'iscrizione alle e-mail di marketing.
La CNIL ha riscontrato l'accuratezza di questi reclami e ha stabilito che il Gruppo Carrefour ha violato il GDPR.
Secondo la CNIL, il Gruppo Carrefour ha violato il GDPR non dando agli utenti la possibilità di cancellare i propri dati o di rinunciare all'uso dei cookie.
Come hanno risposto
Il tentativo dell'azienda di appellarsi a queste decisioni è fallito.
10. Capio St. Göran AB - 30 milioni di corone svedesi (3,2 milioni di dollari)
l'azienda sanitaria svedese Capio St. Göran AB ha ricevuto una multa di 30 milioni di corone svedesi, pari a circa 2,9 milioni di euro, per non aver protetto adeguatamente i dati dei pazienti.
Perché sono stati multati
La DPA svedese ha indagato sull'ospedale e ha stabilito che l'organizzazione non aveva effettuato alcuna analisi dei rischi relativi all'archiviazione dei dati dei pazienti, quindi non aveva idea dei pericoli che correva.
La DPA ha inoltre rilevato che i sistemi informativi di Capio St. Göran non erano adeguatamente configurati per garantire l'accesso minimo necessario. Di conseguenza, i dipendenti che non avevano bisogno di vedere determinati dati sensibili potevano accedere a importanti informazioni private sui pazienti.
Entrambi questi difetti violano direttamente i principi del GDPR.
Come hanno risposto
Capio St. Göran ha tentato un ricorso, ma non ha avuto successo. l'azienda sanitaria è stata costretta a pagare l'intera multa e a rielaborare l'intero sistema di elaborazione e archiviazione dei dati per proteggere in modo più efficace le informazioni riservate dei pazienti.
Le più grandi multe GDPR nel 2019
Le cose hanno iniziato ad aumentare nel secondo anno di esistenza del GDPR. Il 2019 è stato il primo anno in cui le multe previste GDPR hanno superato la soglia dei 10 milioni di euro.
È stato anche l'anno in cui le aziende al di fuori dell'UE hanno iniziato a rendersi conto di quanto sarebbe stato critico seguire le linee guida del GDPR.
La più grande multa del GDPR per il 2019 è stata effettivamente comminata alla sede centrale di Google negli Stati Uniti.
Ecco quali sono state le multe GDPR più elevate del 2019:
1. Google - 50 milioni di euro (56,8 milioni di dollari)
Sì, Google è entrato ancora una volta nella lista.
Perché sono stati multati
Nel 2019, Google Ireland è stata multata dalla CNIL per 50 milioni di euro per due diverse mancanze.
In primo luogo, la CNIL ha riscontrato che Google non ha reso le sue informative facilmente accessibili agli utenti e che le informazioni contenute nelle informative erano suddivise in diversi documenti - che includevano vari link su cui gli utenti dovevano cliccare per visualizzare le informative.
Inoltre, la spiegazione dell'informativa sulla privacy sui tipi di dati trattati e sui motivi del trattamento era troppo vaga.
In secondo luogo, poiché le informazioni erano suddivise in diversi documenti, la CNIL ha rilevato che Google ha violato il consenso degli utenti alla personalizzazione degli annunci. La struttura del documento di consenso rendeva difficile per gli utenti capire cosa stessero effettivamente accettando.
Come hanno risposto
Google ha presentato ricorso al più alto tribunale amministrativo francese, il Conseil d'État. Google ha sostenuto che, essendo l'irlanda la sua sede principale nell'UE, il commissario irlandese per la protezione dei dati avrebbe dovuto supervisionare le questioni relative alla protezione dei dati di Google.
Google ha anche sostenuto che la CNIL non ha applicato correttamente le leggi del GDPR.
Il Conseil d'État ha respinto le argomentazioni di Google e ha confermato la decisione, finalizzando la più grande multa mai comminata dal GDPR all'epoca.
2. Eni Gas e Luce - 11,5 milioni di euro (12,7 milioni di dollari)
Tornando all'Italia, il fornitore italiano di gas e petrolio Eni Gas e Luce è stato multato per 11,5 milioni di euro per uso improprio dei dati dei clienti.
Perché sono stati multati
l'azienda archiviava informazioni sui clienti senza un'adeguata base giuridica e le utilizzava per effettuare chiamate di telemarketing, con conseguenti multe individuali di 8,5 milioni di euro e 3 milioni di euro.
Come hanno risposto
l'azienda ha tentato un ricorso, ma non ha avuto successo. Di conseguenza, all'Eni è stato imposto di non effettuare più chiamate di telemarketing o di proporre contratti non richiesti utilizzando i dati dei clienti.
3. 1&1 Telecom GmbH - 9,55 milioni di euro (10,55 milioni di dollari)
Le telecomunicazioni italiane non sono le uniche a dover affrontare pesanti multe per GDPR nel 2019. Il gigante tedesco delle telecomunicazioni 1&1 è stato multato per 9,55 milioni di euro dal Commissario federale per la protezione dei dati e la libertà di informazione (BfDI).
Perché sono stati multati
l'organizzazione ha raccolto molti più dati di quelli necessari per ciascun cliente. Inoltre, l'indagine del BfDI ha rilevato che questi dati erano accessibili a un numero di dipendenti di 1&1 più ampio del necessario.
Come hanno risposto
A differenza di altre telecomunicazioni presenti in questo elenco, 1&1 non ha fatto ricorso contro la multa. Al contrario, il provider ha lavorato a stretto contatto con il BfDI durante l'indagine per fornire informazioni chiare e accessibili sui suoi processi. Per questo motivo, il BfDI non ha sentito il bisogno di emettere la multa più alta possibile.
Mantenere una buona documentazione e lavorare a stretto contatto con le autorità di regolamentazione può aiutare le aziende a ridurre l'importo da pagare in caso di indagine per non conformità al GDPR .
4. Agenzia nazionale delle entrate bulgara - 5,1 milioni di lev bulgari (2,9 milioni di dollari)
l'agenzia nazionale delle entrate della Bulgaria è stata multata per 5,1 milioni di BGN dalla Commissione per la protezione dei dati personali del Paese.
Perché sono stati multati
Secondo la Commissione, l'agenzia nazionale delle entrate ha subito una violazione dei dati che ha esposto i dati privati di oltre cinque milioni di cittadini bulgari. La Commissione ha riscontrato che l'agenzia nazionale delle entrate non aveva protetto adeguatamente queste informazioni e, pertanto, aveva violato il GDPR.
Come hanno risposto
l'agenzia non ha presentato ricorso contro la decisione e ha pagato la multa attingendo al proprio bilancio. Questo caso è probabilmente il primo in cui un governo ha dovuto pagare una multa per aver violato i diritti di protezione dei dati dei propri cittadini.
Le più grandi multe per GDPR nel 2018
Nel primo anno di esistenza del GDPR, le multe sono state relativamente rare. Questo non significa però che non siano state comminate.
Anche se molte aziende hanno fatto del loro meglio per conformarsi alle leggi, l'uE ha emesso diverse multe contro le organizzazioni che chiaramente non rispettavano i requisiti del GDPR.
Le due maggiori multe GDPR del 2018 sono state:
1. Ospedale Barreiro Montijo - 400.000 euro (441.000 dollari)
Anche se le multe non sono diventate eccessivamente alte nel 2018, hanno raggiunto cifre a sei zeri.
La prima multa ospedaliera per GDPR è stata anche la sanzione più alta del 2018. l'autorità portoghese per la protezione dei dati, la Comissão Nacional de Proteção de Dados (CNPD), ha comminato una multa di 400.000 euro all'ospedale Barreiro Montijo, alle porte di Lisbona.
Perché sono stati multati
La CNPD ha emesso la multa dopo aver indagato sul controllo dell'ospedale sui dati dei pazienti. Ha scoperto che Barreiro Montijo non ha limitato in modo appropriato l'accesso alle informazioni memorizzate nel suo sistema di gestione dei pazienti.
Secondo l'agenzia, 985 dipendenti dell'ospedale avevano pieno accesso alle informazioni sanitarie sensibili dei pazienti, nonostante solo 296 medici con l'autorizzazione medica appropriata lavorassero per l'ospedale. Inoltre, nove assistenti sociali e un profilo di test avevano un accesso completo e illimitato ai dati dei pazienti.
Come hanno risposto
l'ospedale ha fatto ricorso contro la sentenza, sostenendo che il CNPD non aveva l'autorità per emettere la multa. Tuttavia, la decisione è stata confermata.
2. Knuddels.de - 20.000 euro (22.000 dollari)
l'altra multa GDPR significativa del 2018 è stata comminata a Knuddels.de, un servizio di chat tedesco.
Perché sono stati multati
l'autorità per la protezione dei dati del Baden-Württemberg (LfDI) ha emesso una multa di 20.000 euro dopo che il servizio ha subito una violazione dei dati che ha permesso ai criminali informatici di accedere alle informazioni non criptate degli utenti.
Il servizio non è riuscito a crittografare informazioni critiche come nomi utente e password. Di conseguenza, la violazione ha compromesso tra 300.000 e 1,8 milioni di credenziali di accesso.
Come hanno risposto
La LfDI ha preso in considerazione la possibilità di emettere una multa più alta, ma Knuddels.de ha agito rapidamente per risolvere la violazione.
Di conseguenza, la LfDI è stata relativamente clemente e ha richiesto solo una multa di 20.000 euro. Per questo motivo, Knuddels.de non ha presentato ricorso contro la decisione.
Aumento delle multe e degli importi del GDPR anno su anno
Utilizzando i dati del GDPR Enforcement Tracker, ho analizzato il tasso di incremento annuale del numero totale di multe GDPR dal 2020 al 2024, che si presenta come segue:
- Dal 2020 al 2021: 35,09%.
- Dal 2021 al 2022: 16,01%.
- Dal 2022 al 2023: -4,67%.
- Dal 2023 al 2024: -64,30%.
Ho anche calcolato l'aumento annuale della somma delle multe dal 2020 al 2024, ottenendo i seguenti risultati:
- Dal 2020 al 2021: 493,91%.
- Dal 2021 al 2022: -17,03%.
- Dal 2022 al 2023: 88,18%.
- Dal 2023 al 2024: -69,73%.
Da questi dati, sembra che le aziende stiano affrontando la conformità al GDPR .
Sebbene si sia registrato un apparente aumento del numero di multe per GDPR dal 2020 al 2022, ciò ha un senso logico, in quanto il regolamento era ancora abbastanza nuovo.
La diminuzione delle multe dal 2022 al 2024 è un segnale positivo, che indica che per le aziende è più facile raggiungere la piena GDPR.
È interessante notare che c'è stato un forte aumento delle multe dal 2022 al 2023, ma questo è probabilmente dovuto alla multa di 1,2 miliardi di euro (1,3 miliardi di dollari) che Meta ha ricevuto quell'anno, che rappresenta la più grande multa GDPR fino ad oggi.
La conformità al GDPR è essenziale
Molte statistiche sulla privacy dei dati mostrano che i consumatori chiedono sempre più trasparenza, quindi è più importante che mai rispettare le leggi sulla privacy dei dati. Tutte le aziende con un sito web rivolto ai cittadini dell'UE devono conformarsi al GDPR o incorrere in multe salate.
Organizzazioni diverse, come enti governativi, ospedali e grandi aziende, hanno visto le loro violazioni identificate e sanzionate per migliaia, milioni o decine di milioni di euro.
Ecco perché la vostra organizzazione deve essere conforme al GDPR. Potete iniziare a conformarvi oggi stesso contattando Termly.
Se avete bisogno di un'informativa sulla privacy, di un gestore di consenso ai cookie o di una soluzione completa per la conformità, Termly può aiutarvi.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
