Một báo cáo của Công ty luật DLA Piper cho biết: Pháp là quốc gia áp dụng mức phạt lớn nhất, lên tới 50 triệu EUR đối với Google, trong khi các quốc gia như Hà Lan, Anh và Đức dẫn đầu về số lượng thông báo vi phạm dữ liệu.
Quy định bảo vệ dữ liệu chung được đưa ra trong nỗ lực bảo vệ thông tin cá nhân nhạy cảm và quy định các hình phạt cứng rắn nếu các công ty mất quyền kiểm soát dữ liệu hoặc xử lý dữ liệu mà không có sự đồng ý của người dùng.
Quy định này được thực thi bởi một loạt các văn phòng bảo vệ dữ liệu quốc gia trên khắp Liên minh châu Âu gồm 28 thành viên, với trách nhiệm chủ yếu rơi vào Ireland, cơ quan quản lý đối với các công ty của thung lũng Silicon có trụ sở hoạt động tại châu Âu như Facebook.
Các khoản tiền phạt cho đến nay vẫn còn nhẹ so với các hình phạt trị giá hàng tỷ EUR trong các vụ kiện chống độc quyền của Liên minh Châu Âu, tuy nhiên chúng có thể sẽ tăng lên theo thời gian.
Theo Ross McKean, thành viên của Công ty luật DLA Piper, về nguyên tắc, các cơ quan quản lý có thể áp dụng mức phạt 2% hoặc trong một số trường hợp là 4%, doanh thu toàn cầu. Trong thực tế, họ sẽ phải xem xét liệu một hình phạt nặng như vậy có nên được giải quyết tại tòa án hay không.
Trao đổi với Reuter, ông Ross McKean cho biết thêm: “Các cơ quan quản lý sẽ thận trọng về mức phạt 4% vì khả năng họ sẽ bị kháng cáo và họ sẽ bị mất uy tín trong trường hợp này”.
Cho đến nay, hình phạt lớn nhất được đưa ra là ở Anh, nơi cơ quan quản lý đề xuất mức phạt 183 triệu bảng (239 triệu USD) đối với Tập đoàn hàng không quốc tế (IAG), chủ sở hữu của hãng hàng không British Airways về hành vi trộm cắp dữ liệu của nửa triệu khách hàng.