L’edizione di maggio del GDPR Enforcement Tracker 2025
A sette anni dalla sua entrata in vigore, il Regolamento Generale sulla Protezione dei Dati (GDPR) si conferma come una delle normative più incisive e pervasive nel panorama europeo del diritto digitale. Il Rapporto 2025 dell’Enforcement Tracker, curato dallo studio legale CMS, ci restituisce un quadro imponente: al 1° maggio 2025, le autorità garanti europee hanno comminato 2.334 sanzioni complete, per un valore complessivo che supera 6,19 miliardi di euro.
GDPR, un impianto sanzionatorio divenuto operativo e maturo
Il GDPR ha dimostrato di essere non solo un baluardo di garanzia per i diritti dei cittadini, ma anche un efficace strumento sanzionatorio. L’ammontare delle multe è cresciuto da gennaio a maggio di 546 milioni di euro e in modo esponenziale: +1,17 miliardi di euro rispetto al 2024, con un aumento dell’importo medio per singola sanzione a 2,36 milioni di euro.
Le autorità di protezione dati si sono ormai consolidate come attori centrali nel controllo dell’economia digitale. Sebbene permangano divergenze tra i diversi ordinamenti nazionali in termini di pubblicazione e trasparenza delle decisioni, l’approccio comune si è rafforzato, anche grazie all’azione del Comitato Europeo per la Protezione dei Dati (EDPB).
Le multe record: Meta, Amazon, Clearview AI sotto la lente
Il record assoluto resta quello inflitto all’ecosistema Meta: 1,2 miliardi di euro comminati dal Garante irlandese nel maggio 2023 per illeciti legati ai trasferimenti internazionali di dati.
Seguono la sanzione di 746 milioni a Amazon (Lussemburgo, 2021) e una serie di provvedimenti milionari sempre in Irlanda, per un totale che comprende anche multe da 405, 390, 345, 310, 265, 251 e 225 milioni di euro.
Da segnalare, inoltre, la sanzione “da record nel settore lavoro” di 290 milioni di euro, imposta dall’autorità olandese nel 2024 per trattamento illecito di dati dei dipendenti.
Italia tra i Paesi che sanzioni di più e più pesante
L’analisi del report evidenzia una costante: la maggior parte delle sanzioni scaturisce da basi giuridiche insufficienti per il trattamento dei dati personali (669 casi) e dalla violazione dei principi generali del trattamento (644 casi), con un crescente peso delle contestazioni legate a misure tecniche e organizzative inadeguate per garantire la sicurezza (418 casi).
La Spagna, per il sesto anno consecutivo, guida la classifica per numero di sanzioni (959 a maggio), seguita da Italia (400) e Germania (205).
In termini di volume economico delle sanzioni, però, prevalgono Irlanda (oltre 4 miliardi di euro), Lussemburgo (più di 746 milioni di euro) e Francia (oltre 373 milioni di euro), complice la concentrazione delle big tech in tali giurisdizioni. Italia al quinto posto per somma di sanzioni, che a maggio 2025 ha toccato quota 266.725.000 milioni di euro.
Nel nostro Paese, proprio nei giorni scorsi, il Garante per la protezione dei dati personali ha inflitto una sanzione di 5 milioni di euro alla società statunitense Luka Inc., responsabile del controverso chatbot “Replika”.
La decisione arriva dopo l’accertamento di gravi violazioni delle normative europee sulla privacy, già oggetto di un precedente blocco del servizio in Italia nel febbraio 2023.
“Il GDPR ha sicuramente portato maggiore sensibilità per i temi della privacy, ma per quanto possano essere severe le sanzioni amministrative, c’è ancora molto da fare per tutelare i cittadini – commenta Nicola Bernardi, presidente di Federprivacy. – Per creare una società digitale sostenibile, è necessario un ripensamento da parte delle istituzioni per adottare strumenti che producano veramente un effetto dissuasivo, come il blocco dei trattamenti dei dati personali e misure di carattere penale per chi commette intenzionalmente gravi violazioni o per chi si dimostra recidivo nonostante le sanzioni già ricevute”.
Tra enforcement e incertezza interpretativa
Se da un lato il GDPR ha creato un contesto sanzionatorio coerente, dall’altro rimangono margini di ambiguità interpretativa, soprattutto su concetti come “consenso informato”, “misure adeguate” e principi generali ex art. 5.
Cresce il contenzioso: molte decisioni sono oggi oggetto di impugnazione davanti alla Corte di Giustizia dell’Unione Europea, che nel 2023 ha emesso sentenze rilevanti (es. C-683/21 e C-807/21) sul ruolo e l’autonomia delle autorità nazionali.
Prossimi passi: enforcement, AI e responsabilità digitale
Nel biennio 2024–2025, la sorveglianza si è estesa al trattamento dei dati in ambiti ad alto rischio come l’intelligenza artificiale (AI), con casi emblematici (tra cui la restrizione temporanea del servizio di un fornitore di AI generativa in Italia). L’EDPB ha annunciato una strategia mirata per affrontare i rischi connessi alle tecnologie emergenti, promuovendo un approccio “human-centric”.
Al tempo stesso, cresce la pressione da parte di associazioni di consumatori, anche tramite le azioni rappresentative introdotte dalla Direttiva UE 2020/1828, rendendo sempre più concreta la possibilità di contenziosi collettivi.
Il GDPR, dal 2018 ad oggi ha profondamente inciso sul tessuto giuridico, tecnologico e aziendale europeo. L’impianto sanzionatorio è divenuto operativo, maturo e sempre più integrato con la dimensione transnazionale dei trattamenti. La sfida ora si sposta sul piano dell’armonizzazione applicativa, della certezza del diritto e dell’adeguatezza tecnologica. In questo scenario, imprese, enti pubblici e professionisti del diritto devono investire non solo in compliance, ma anche in cultura e governance dei dati.
