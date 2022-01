Ed è proprio il Lussemburgo , assieme ad Irlanda e Francia, a detenere il record delle multe singole più salate. Il Granducato, però, stacca decisamente tutti: Dublino è infatti seconda "grazie" alla multa da 225 milioni, Parigi terza con la singola sanzione da 50 milioni di euro. Se prendiamo in considerazione il valore delle multe a livello aggregato, allora c'è spazio anche per l'Italia :

La violazione al GDPR è costata nel 2021 1,1 miliardi di euro , cifra decisamente superiore rispetto a quella dell'anno precedente , pari a 158,5 milioni di euro ( +594% ). Diciamo che una delle motivazioni risiede nel fatto che ora il Regolamento Generale sulla Protezione dei Dati, entrato in vigore nel maggio 2018 , è a pieno regime, e ben internalizzato da ciascun Paese membro dell'Unione Europea (cui si aggiungono UK, Norvegia, Islanda e Liechtenstein). Ma ad aver pesato - e non poco - sul computo finale è sicuramente la multa comminata dal Lussemburgo ad Amazon , che da sola conta ben 746 milioni di euro .

IL RUOLO DELLA SENTENZA SCHREMS II

Sul GDPR e sulla sua efficace e corretta applicazione grava però la sentenza della Corte di Giustizia dell'Unione Europea Schrems II (16 luglio 2020), con cui il Privacy Shield è stato considerato non sufficiente per la salvaguardia del diritto alla protezione dei dati personali al di fuori dell'Unione Europea.

Maximilian Schrems è un austriaco che da anni si batte contro i big della rete - Google, Apple e Facebook - accusandoli di non proteggere i dati personali degli utenti. La prima sentenza Schrems ( Schrems I ) risale al 2015, e in parole povere ha portato all'annullamento dei Safe Harbor Privacy Principles, tramite cui le aziende USA potevano gestire i dati personali degli utenti europei su server americani. Con la sentenza Schrems II è stato considerato invalido l'accordo Privacy Shield che, intanto, aveva soppiantato il Safe Harbor.

In pratica, con la sentenza le aziende europee e statunitensi si sono trovate in una situazione ingarbugliata che impedisce loro di definire in modo preciso i confini entro i quali applicare i meccanismi di trasferimento dei dati. Il GDPR impone rigide limitazioni al trasferimento dei dati personali dall'Europa ai Paesi terzi (come gli Stati Uniti), e chi esporta tali dati rischia quotidianamente fortissime sanzioni e richieste di risarcimento per il mancato rispetto dei requisiti.

All'interno delle Raccomandazioni 01/2020 dell'European Data Protection Board (EDPB), si legge che "le organizzazioni sono invitate ad una attenta mappatura dei trasferimenti di dati personali", dunque di avere "un quadro preciso dei Paesi in cui si trovano i dati personali di cui l'organizzazione è titolare". É altresì richiesta una valutazione dei rischi di intercettazione da parte delle autorità pubbliche dei Paesi in cui si trovano gli importatori dei dati. Un onere che non tutte le aziende esportatrici di dati sono in grado di sostenere.