Solo l’1,3% delle denunce presentate alle autorità per la privacy sfocia in una multa per violazione del Gdpr

Uno degli obiettivi dell’introduzione del Gdpr era quello di fornire ai consumatori gli strumenti necessari per difendersi dagli abusi sui loro dati personali e dalle violazioni della privacy, che spesso vengono commesse dai colossi tecnologici con tracciamenti senza consenso, condivisione dei dati con un’infinità di terze parti, data breach, o mancanza di misure di sicurezza adeguate.

E effettivamente il Gdpr ha offerto la possibilità di rivolgersi alle autorità nazionali per la protezione dei dati con la possibilità di esercitare una vasta gamma di diritti, e se i garanti accertano le infrazioni del Regolamento europeo hanno il potere di irrogare pesanti sanzioni che nei casi più gravi possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dei trasgressori.

Tuttavia, come ha evidenziato un rapporto dell’organizzazione non profit noyb.eu, fondata dall’attivista Max Schremes, se da una parte ogni anno vengono presentate oltre 100.000 denunce alle varie autorità nazionali dei paesi membri dell’Unione europea, le sanzioni vengono poi inflitte con il contagocce.

Tra il 2018 e il 2023, per esempio, ne sono state presentate in media 28mila in Germania, 13mila in Francia e in Spagna, circa 10mila in Italia per poi scendere nettamente nelle nazioni più piccole (a Cipro ne sono state presentate circa 500 all’anno).

Alla luce della quantità di denunce, che nella maggior parte dei casi riguardano Big Tech come Meta, Amazon, Apple, Google, etc. sarebbe stato ragionevole aspettarsi che le multe comminate fossero migliaia, eppure solo l’1,3% dei casi portati davanti ai garanti europei produce come risultato una multa, mentre il restante 98,7% viene trascinato per anni e anni, e generalmente si conclude con un nulla di fatto o con un patteggiamento.

Tra le varie nazioni, ci sono comunque grandi differenze: la Slovacchia, per esempio, primeggia in questa particolare classifica avendo spiccato multe nel 6,8% dei casi, seguito dalla Bulgaria (4,2%), Cipro (3,1%) e Grecia (2,65%). A chiudere ci sono invece Irlanda, Svezia, Finlandia e Polonia (tutte attorno allo 0,2%), Francia (0,1%) e Olanda, dove le multe sono giunte solo nello 0,03% dei casi.

A differenza di quanto si potrebbe pensare, queste percentuali microscopiche non sono legate a un fiume in piena di denunce infondate. Come segnala il report di noyb, le denunce che non portano a multe includono infatti alcune relative a “violazioni ovvie, come richieste di accesso che non ottengono risposta o banner illegali”. Tutte situazioni che, almeno in teoria, potrebbero essere risolte in tempi brevi.

Secondo il fondatore di noyb, l’Avv. Max Schrems, “sono soltanto le autorità per la protezione dei dati che non sembrano abbastanza motivate a far valere la legge. In ogni altra area, le violazioni della legge portano regolarmente a multe e sanzioni. Al momento, le autorità sembrano agire più nell’interesse delle aziende che delle persone”.

Ad esempio, un caso riportato da un sito austriaco ha come protagonista un cittadino che aveva già sporto 77 denunce in meno di due anni e che, alla nuova denuncia presentata, si è sentito rispondere dall’autorità che non avrebbe più accettato le sue denunce a causa della “natura eccessiva” delle richieste. Un rifiuto che è stato poi rigettato dalla Corte di Giustizia Europea, la quale ha stabilito che il numero di denunce da solo non può essere un motivo valido per rifiutarne di nuove.

Da parte loro, le autorità di controllo nazionali lamentano una mancanza di risorse, nonostante in tutta l’Unione europea il budget a loro disposizione sia aumentato a doppia cifra negli ultimi 5 anni (in Olanda, dove quasi nessuno viene mai multato, si è passati da 23 a 37 milioni di euro): “L’impressione è che, in realtà, manchi più la volontà politica di agire contro i giganti tech che la possibilità a farlo”, ha spiegato sempre Schrems, secondo il quale ci troviamo di fronte a un cane che si morde la coda: meno multe vengono comminate, meno le realtà digitali rispettano la legge e più denunce vengono di conseguenza presentate.

Anche l’entità delle multe non soddisfa le aspettative: in Irlanda (dove la maggior parte dei colossi tech ha la sua sede europea) l’ammontare medio annuo delle sanzioni è di 475mila euro, mentre in Lussemburgo (dov’è presente la sede europea di Amazon) si arriva a 124mila euro. Considerando il fatturato di queste aziende, e alcune delle multe miliardarie che negli anni hanno ricevuto, si capisce come sarebbe possibile ottenere risultati molto superiori, che porterebbero a un maggiore rispetto della normativa, e a una maggiore tutela della privacy dei cittadini, oltre che a maggiori introiti nelle casse degli stati dell’UE.