Il GDPR conferisce alle autorità per la protezione dei dati (DPA) il potere di imporre una multa amministrativa fino al 4% del fatturato annuo di un'azienda o 20 milioni di euro in caso di violazione del GDPR, a seconda dell'importo più alto.
Lo scopo di queste multe è quello di scoraggiare violazioni simili in futuro. Sebbene uno studio del Noyb abbia rilevato che sono tra gli strumenti di applicazione più efficaci a disposizione delle autorità, le multe significative per le violazioni del GDPR sono estremamente rare. Le multe sono destinate al Paese in cui si svolge il procedimento, che quasi sempre è quello in cui ha sede l'azienda multata.
Dal 2018 sono state comminate le seguenti multe sulla base di denunce noyb:
multa da 1,2 miliardi di euro per Meta per il trasferimento di dati tra UE e USA
Alla fine del 2023, Meta è stata multata per 1,2 miliardi di euro e le è stato ordinato di smettere di trasferire i dati personali degli europei agli Stati Uniti. L'azienda è soggetta alle leggi statunitensi sulla sorveglianza, come la FISA 702, che consente al governo degli Stati Uniti di spiare i cittadini non statunitensi senza una causa probabile o un'approvazione giudiziaria.
Ciò è in contrasto con la legislazione dell'UE, che richiede una protezione "sostanzialmente equivalente" per i dati trasferiti al di fuori dell'Unione Europea. Le aziende statunitensi come Meta non possono soddisfare questo requisito. Ciò è stato confermato anche dalla decisione della Corte di giustizia europea di annullare gli accordi "Safe Harbor" e "Privacy Shield" nelle sentenze Schrems I e Schrems II, rispettivamente del 2015 e del 2020.
Meta ha ignorato queste sentenze per gli ultimi anni, con la conseguente multa di 1,2 miliardi di euro e l'ordine di restituire tutti i dati personali ai suoi centri dati dell'UE.
Meta è stata multata per 395 milioni di euro e le è stato vietato di utilizzare i dati personali per gli annunci pubblicitari
A seguito di una decisione vincolante del Comitato europeo per la protezione dei dati, l'Autorità irlandese per la protezione dei dati (DPC) ha multato Meta per un totale di 395 milioni di euro per violazioni su Facebook, Instagram e WhatsApp nel gennaio 2023. Inoltre, al gigante dei social media è stato vietato di utilizzare i dati personali per la pubblicità senza chiedere il consenso agli utenti.
La decisione fa seguito a due reclami presentati da noyb per conto di un utente austriaco e uno belga il 25 maggio 2018, il che significa che l'autorità competente (il DPC) ha impiegato quattro anni e mezzo per giungere a una decisione dopo che l'EDPB aveva annullato il suo primo progetto di decisione nel dicembre 2022.
Google multato per 50 milioni di euro per consenso forzato
Quando il GDPR è entrato in vigore il 25 luglio 2018, la noyb ha presentato denunce contro Google, Instagram, WhatsApp e Facebook per aver costretto i propri utenti ad accettare politiche sulla privacy aggiornate che consentivano di aggirare la nuova legge sulla privacy.
Mentre tre di queste denunce hanno intrapreso un percorso di un anno pieno di inadempienze, il caso contro Google è stato risolto nel giugno 2019: l'autorità francese per la protezione dei dati (CNIL) ha multato la società tecnologica per 50 milioni di euro, che all'epoca era la multa più alta mai comminata per una violazione della privacy.
Società pubblicitaria CRITEO multata per 40 milioni di euro
A fine giugno 2023, l'autorità francese per la protezione dei dati (CNIL) ha inflitto a CRITEO, azienda leader in Europa nel settore della pubblicità e del tracciamento online, una multa di 40 milioni di euro per aver violato i diritti degli interessati e non aver dimostrato di aver ottenuto un consenso valido.
La decisione ha fatto seguito a una denuncia presentata da noyb e Privacy International nel dicembre 2018, che prendeva di mira la mancanza di un'opzione adeguata per revocare il consenso. Il reclamo ha innescato un'indagine approfondita da parte del CNIL, che ha ampliato il campo di applicazione ad altre aree e ha riscontrato ulteriori violazioni del GDPR, tra cui la mancanza di trasparenza e il mancato rispetto del diritto alla cancellazione e del diritto di accesso.
L'app di incontri Grindr multata per 5,8 milioni di euro
Nel 2020, noyb ha collaborato con il Consiglio norvegese dei consumatori (NCC) per presentare una denuncia contro l'app di incontri LGBTQ+ Grindr per aver condiviso illegalmente i dati personali degli utenti con centinaia di potenziali partner pubblicitari. Gli utenti non erano stati adeguatamente informati e il consenso non era abbastanza specifico: Gli utenti dovevano accettare l'intera informativa sulla privacy e non una specifica operazione di trattamento, come la condivisione dei dati con altre aziende. La DPA ha inoltre sottolineato che gli utenti devono poter rifiutare il consenso senza conseguenze negative.
La decisione dell'autorità norvegese aveva inizialmente imposto a Grindr una multa di quasi 10 milioni di euro. In seguito a un ricorso, la multa è stata ridotta a un importo finale di 5,8 milioni di euro nel settembre 2023.
Spotify multato per 5 milioni di euro
A seguito di una denuncia e di un contenzioso per inattività, l'Autorità svedese per la protezione dei dati (IMY) ha multato Spotify per 58 milioni di corone svedesi (circa 5 milioni di euro) nel giugno 2023. Il servizio di streaming musicale non ha rispettato appieno l'obbligo previsto dal GDPR di fornire agli utenti l'accesso a tutti i loro dati e le informazioni su come vengono utilizzati. Il reclamo era già stato presentato nel 2019 e non è stato deciso per più di quattro anni.
La prima multa importante per l'utilizzo di Google Analytics
Dopo i 101 reclami della noyb sui trasferimenti illegali di dati tra l'UE e gli USA a partire dal 2020, l'autorità svedese per la protezione dei dati (IMY) ha emesso la prima multa importante per l'utilizzo di Google Analytics nel luglio 2023. Sebbene molte altre autorità europee (come Austria, Francia e Italia) abbiano già riscontrato che l'uso di Google Analytics viola il GDPR, questa è la prima multa inflitta alle aziende per l'uso di Google Analytics, nonostante le sentenze della CGUE sui trasferimenti di dati tra UE e USA.
Il fornitore di telecomunicazioni Tele2 è stato condannato a pagare l'equivalente di 1 milione di euro (12 milioni di corone svedesi), mentre il rivenditore online CDON ha dovuto pagare 300.000 corone svedesi.
Azienda informatica maltese multata di 65.000 euro per fuga di dati
A seguito di una massiccia fuga di dati di elettori maltesi nel 2020, noyb ha collaborato con la Fondazione Daphne e Repubblika per presentare una denuncia contro l'intermediario di dati C-Planet. Le informazioni personali trapelate includevano numeri di telefono, date di nascita, intenzioni di voto e orientamenti politici di oltre 330.000 persone.
Nel 2022, l'Information & Data Protection Commissioner (IDPC) ha concluso che C-Planet non aveva implementato misure tecniche e organizzative adeguate al rischio e ha multato la società informatica per 65.000 euro. La decisione ha inoltre confermato che C-Planet non ha notificato all'IDPC la violazione dei dati e non ha informato tempestivamente le persone interessate.