GDPR: nel 2025 sanzioni per 1,2 miliardi di euro

Da quando il GDPR è antrato in vigore, DLA Piper conduce una analisi annuale sulla quantità e sul tipo di sanzioni che vengono comminate a chi ha violato in qualche modo il regolamento europeo sulla privacy dei dati. Sapere chi è stato multato di più può essere giusto una notizia di colore, ma il trend generale sulle violazioni della normativa permette, in qualche modo, di capire in che modo le norme sulla tutela dei dati hanno fatto o meno presa nelle grandi aziende.

L'ottava edizione annuale dell'indagine, relativa alle sanzioni del 2025, mette in evidenza due principali indicazioni di sintesi. La prima è che le autorità di controllo europee nel 2025 hanno emesso sanzioni per un totale di circa 1,2 miliardi di euro, sostanzialmente in linea con il dato del 2024. Questa (non piacevole) stabilità segna un'inversione di tendenza rispetto al calo registrato lo scorso anno e conferma che le Authority europee di controllo sono sempre pronte a imporre sanzioni sostanziali. 

Dall'entrata in vigore del GDPR il 25 maggio 2018 al 10 gennaio 2026, il complesso delle sanzioni comminate in Europa ammonta a 7,1 miliardi di euro. Di essi, ben 4,04 miliardi sono sanzioni definite dall'Authority irlandese: non a caso, visto che in Irlanda hanno ufficialmente sede europea tutte le principali digital company. L'Irlanda ha anche inflitto la sanzione più elevata nel 2025: 530 milioni di euro a una società di social media. Ed è sempre irlandese la sanzione più elevata mai inflitta da quando è in vigore il GDPR: quella di 1,2 miliardi comminata a Meta Platforms nel 2023.

La seconda indicazione rilevate del report DLA Piper è che c'è stato un aumento del 22%, anno su anno, delle violazioni dei dati personali notificate, per un totale di 443 notifiche al giorno in media. Questo aumento non solo è significativo in sé, ma segue diversi anni di "stagnazione" delle notifiche, ed è la prima volta dal 2018 che la media giornaliera delle notifiche di violazioni supera le 400. Gli analisti non identificano una sola causa per questo picco di notifiche, ma ritengono probabile che le tensioni geopolitiche, l'abbondanza di nuove tecnologie a disposizione dei threat actor e alcune nuove leggi sui requisiti di notifica degli incidenti cyber siano tutti fattori che hanno fatto aumentare il numero di segnalazioni.

Il maggior rischio di violazioni dei dati personali impatta sui responsabili e sui titolari del loro trattamento: DLA Piper fa notare che nel 2025 sono state emesse diverse sanzioni direttamente a queste figure aziendali. Con un problema in più: la non conformità al GDPR porta a sanzioni dirette ma anche al rischio di richieste di risarcimento successive. Nel 2025, sottolineano gli analisti, la Corte di giustizia UE e i tribunali europei hanno emesso diverse sentenze importanti in materia di richieste di risarcimento relative al GDPR, in particolare per quanto riguarda i criteri per presentare richieste di risarcimento per danni immateriali.