Le violazioni di privacy e le multe per mancato rispetto del Gdpr non si placano. A circa otto anni dalla sua entrata in vigore, il regolamento europeo sulla protezione dei dati continua a causare qualche costoso mal di pancia alle aziende, specie alle Big Tech, che di dati personali degli utenti si alimentano. Mentre qualche mese fa uno studio di Enforcement Tracker evidenziava le statistiche del Gdpr dalla sua entrata in vigore, ora la nuova edizione della “Gdpr Fines and Data Breach Survey” dello studio legale DLA Piper racconta che nell'ultimo anno ((tra il 28 gennaio 2025 e il 27 gennaio 2026) in Europa sono state registrate in media 443 violazioni di dati personali al giorno, con un aumento del 22% sui dodici mesi precedenti.
In 12 mesi le autorità di controllo europee hanno inflitto sanzioni per mancata compliance al Gdpr per circa 1,2 miliardi di euro, un dato in linea con quello del periodo di osservazione precedente. “Il fatto che le sanzioni complessive a livello europeo siano rimaste stabili intorno a 1,2 miliardi di euro non indica un allentamento dell’enforcement”, ha commentato Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia. “Al contrario, nel contesto italiano l’azione dell’autorità dimostra che il rischio per le imprese non si esaurisce nella multa, ma comprende l’impatto operativo di ordini di adeguamento, sospensioni dei trattamenti e possibili effetti sul business”.
tra USa e Cina
Come negli anni passati, l’azione di enforcement nel 2025 si è concentrata soprattutto sulle Big Tech che erogano servizi digitali legati al Web, al cloud e ai social media, destinatarie di nove delle dieci sanzioni GDPR più elevate mai irrogate. Ma sono in crescita le multe su aziende di servizi finanziari, telecomunicazioni, utilities e fornitori di servizi tecnologici.
Ancora imbattuto il record di Meta, che nel 2023 ha ricevuto una multa da 1,2 miliardi di euro: la sua colpa è stata quella di aver sistematicamente trasferito dati degli utenti dall’Unione Europea agli Stati Uniti, senza adeguate garanzie di protezione contro la sorveglianza del governo americano. Il record del 2025, invece, sono i 530 milioni di euro richiesti dall’autorità irlandese per la protezione dei dati (Dpc) a ByteDance, la casa madre di TikTok, per aver trasferito dati degli utenti europei verso la Cina e per scarsa trasparenza informativa. Ed è un fatto degno di nota: per la prima volta è stata inflitta una sanzione di rilievo per il trasferimento di dati personali verso un Paese diverso dagli Stati Uniti. “Un segnale che le restrizioni Gdpr sui trasferimenti internazionali rappresentano una sfida globale, non limitata ai flussi di dati verso gli Stati Uniti”, sottolinea DLA Piper.
L’azione del garante italiano
Da maggio 2018 a gennaio 2026 l’ammontare complessivo delle multe per violazione Gdpr è di 7,1 miliardi di euro. L’autorità irlandese da sola ha irrogato sanzioni per 4,04 miliardi di euro, e non c’è da stupirsi considerando che società come Meta e Google hanno il proprio quartier generale europeo a Dublino. Il Garante per la Protezione dei Dati Personali (Gpdp) italiano è al quinto posto di questa classifica, con un totale di 277 milioni di euro di sanzioni richieste dal 2018 a oggi.
“Se guardiamo specificatamente all'Italia, negli ultimi anni il Garante per la protezione dei dati personali ha mostrato un approccio molto attivo e articolato”, ha illustrato Coraggio. “Da un lato, ha intensificato i controlli sulla sicurezza dei trattamenti e sulla gestione degli incidenti, intervenendo anche con provvedimenti correttivi e prescrittivi; dall’altro, ha utilizzato in modo crescente misure come limitazioni o blocchi dei trattamenti, soprattutto nei casi di carenze strutturali in termini di liceità, trasparenza e governance. Questo approccio emerge con forza anche sul fronte dell’innovazione tecnologica. Il Garante italiano è stato tra i primi in Europa a intervenire su sistemi di AI generativa, richiamando l’attenzione su basi giuridiche del trattamento, obblighi informativi e tutela dei minori, ben prima dell’entrata in applicazione del nuovo quadro normativo europeo sull’AI. È un segnale chiaro che, anche in Italia, l’uso dei dati in contesti innovativi è già oggi oggetto di scrutinio regolatorio stringente”.
Data breach in aumento
Il report di DLA Piper evidenzia anche un altro fenomeno, parallelo alla questione compliance. La privacy degli utenti è a rischio anche per via di attacchi informatici tesi al furto di dati, in continua crescita: nell’ultimo anno (tra il 28 gennaio 2025 e il 27 gennaio 2026) c’è stata una media di 443 notifiche di data breach al giorno, contro le 363 dell’anno precedente.
L’incremento è del 22% e, pur non essendo una causa diretta delle multe Gdpr, si inserisce nello stesso contesto segnato da tensioni geopolitiche, da utilizzi malevoli dell’intelligenza artificiale e da attacchi DDoS che hanno causato gravi interruzioni operative a livello globale (come il recente caso di Cloudfare).
“Il dato più evidente di questo report è la conferma che il panorama delle minacce cyber ha raggiunto un livello senza precedenti”, ha detto Coraggio. “In Italia questo fenomeno è particolarmente rilevante: l’elevato numero di data breach notificati dimostra come le organizzazioni siano sempre più esposte a incidenti che producono effetti immediati non solo sul piano tecnologico, ma anche su quello legale e reputazionale”.