Da quando il Regolamento Generale sulla Protezione dei Dati è entrato in vigore nel maggio 2018, le autorità europee hanno inflitto sanzioni per un totale superiore a €7,1 miliardi, con oltre 3.194 azioni di contrasto documentate fino a metà 2026. Il 2025 ha chiuso con circa €1,2 miliardi di sanzioni in dodici mesi, confermando la portata dell’enforcement. TikTok è stata colpita per €530 milioni per trasferimenti illeciti verso la Cina, Google per €325 milioni sulle pubblicità Gmail, e in Italia il Garante ha sanzionato Enel Energia per €79 milioni di telemarketing abusivo. Intanto le notifiche di violazione dei dati raggiungono oggi una media di 443 al giorno, il 22% in più rispetto all’anno precedente.
Un totale che supera i €7 miliardi: otto anni di GDPR
Il GDPR è entrato in vigore il 25 maggio 2018 con l’obiettivo di trasformare in modo strutturale la gestione dei dati personali nell’Unione Europea. Otto anni dopo, i numeri mostrano un enforcement in crescita costante. Secondo i dati aggregati del rapporto DLA Piper GDPR Fines and Data Breach Survey (gennaio 2026) e del GDPR Enforcement Tracker 2026, le sanzioni cumulative hanno superato la soglia dei €7,1 miliardi, distribuite su oltre 2.245 provvedimenti documentati. La banca dati CMS.law registra un totale di €6,31 miliardi su 3.194 azioni formali, una differenza che riflette i criteri di classificazione diversi adottati dalle singole autorità nazionali.
L’Irlanda si conferma il paese con il valore cumulativo più alto: €4,04 miliardi di sanzioni, pari al 57% del totale europeo. Il dato riflette la scelta di quasi tutti i grandi gruppi tecnologici americani di stabilire la sede europea a Dublino, rendendo la Irish Data Protection Commission (DPC) il loro regolatore principale. Francia, Lussemburgo e Germania seguono con valori complessivi superiori ai €200 milioni ciascuno.
Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali, ha più volte chiarito la posizione dell’autorità italiana: “Il rispetto delle norme sulla privacy non è un costo aggiuntivo ma un investimento nella fiducia dei clienti e nella reputazione aziendale. Le sanzioni che emettiamo servono a correggere comportamenti sistemici, non solo a punire singoli episodi.”
Il numero di sanzioni nel 2026 mostra già una traiettoria sostenuta: 149 nuove azioni nei primi mesi dell’anno, con 165 procedimenti negli ultimi sei mesi. Il valore medio per provvedimento si attesta su €2,36 milioni, cifra che nasconde però una distribuzione molto asimmetrica: la grande maggioranza delle multe rimane sotto i €100.000, mentre pochi casi di altissimo profilo trascinano il totale verso l’alto.
Il 2025 in cifre: €1,2 miliardi in dodici mesi
Il 2025 ha mantenuto il ritmo sostenuto del 2024: secondo il rapporto DLA Piper, le autorità europee hanno emesso sanzioni per circa €1,2 miliardi nel corso dell’anno, in linea con l’anno precedente. Oltre il 60% del valore totale cumulativo dal 2018 si è concentrato nei provvedimenti emessi dal gennaio 2023 in poi, segnale che la macchina dell’enforcement ha cambiato marcia nella seconda metà dell’era GDPR.
Sul fronte delle notifiche di violazione, il trend è ancora più netto. Le autorità europee ricevono oggi una media di 443 segnalazioni di data breach al giorno, un incremento del 22% rispetto all’anno precedente, quando la media era di 363 notifiche giornaliere. L’incremento riflette sia la maggiore capacità delle aziende di rilevare gli incidenti, sia la maggiore consapevolezza degli obblighi previsti dall’articolo 33 del GDPR, che impone la comunicazione all’autorità competente entro 72 ore dalla scoperta.
Wojciech Wiewiórowski, Garante europeo della protezione dei dati (EDPS), ha commentato la tendenza: “Il numero crescente di notifiche non indica necessariamente un aumento delle violazioni, ma riflette un sistema che funziona. Le organizzazioni stanno imparando a identificare e segnalare gli incidenti come previsto dalla legge. Il passo successivo, e il più importante, è prevenirli.”
Le autorità hanno anche intensificato i controlli coordinati attraverso il meccanismo dello sportello unico (one-stop-shop), che permette alle DPA dei vari stati di collaborare su casi transfrontalieri. Secondo le analisi di Kiteworks, i procedimenti coordinati sono aumentati del 18% nel 2025 rispetto all’anno precedente, con l’Irlanda capofila in oltre metà dei procedimenti transfrontalieri attivi.
TikTok colpita per €530 milioni: i trasferimenti verso la Cina
Il caso più significativo del 2025 ha visto TikTok multata per €530 milioni dall’Irish Data Protection Commission nel maggio 2025, per aver trasferito illecitamente i dati degli utenti europei verso la Cina senza le garanzie richieste dal GDPR. La sanzione è la terza più alta nella storia del regolamento e segue una precedente multa di €345 milioni inflitta sempre dalla DPC nel settembre 2023 per gravi carenze nella protezione dei dati dei minori. In due anni, TikTok ha accumulato €875 milioni di sanzioni europee.
Il caso ha riproposto in modo urgente il tema dei trasferimenti internazionali. L’articolo 44 del GDPR impone che i dati personali dei cittadini UE possano essere inviati verso paesi terzi solo se questi offrono un livello di protezione “adeguato” o in presenza di garanzie specifiche come le clausole contrattuali standard o le binding corporate rules. La Cina non dispone di una decisione di adeguatezza da parte della Commissione europea, il che rende qualsiasi trasferimento strutturalmente problematico.
Max Schrems, fondatore di NOYB (None of Your Business) e architetto delle sentenze che hanno abbattuto i precedenti accordi UE-USA, ha commentato la decisione: “Il caso TikTok dimostra che il problema dei trasferimenti illeciti non riguarda solo gli Stati Uniti. Qualsiasi paese che non offra garanzie equivalenti a quelle europee deve essere trattato con lo stesso rigore. Le aziende devono smettere di usare la privacy come optional e iniziare a costruire architetture dati realmente conformi al GDPR.”
Google e la CNIL francese: €325 milioni per Gmail e il consenso
Nel settembre 2025, la CNIL francese ha inflitto a Google una multa da €325 milioni per due distinte violazioni: l’uso delle email degli utenti Gmail per mostrare pubblicità personalizzata senza consenso valido, e irregolarità nel processo di registrazione. La sanzione è la più alta mai emessa dall’autorità francese, e porta il totale delle sanzioni CNIL contro Google a oltre €400 milioni negli ultimi tre anni.
Il caso si inserisce nel filone dell’adtech in cui la CNIL è tra i regolatori europei più attivi. L’autorità francese aveva già sanzionato Criteo per €40 milioni per il tracciamento pubblicitario senza consenso valido e Free Mobile per €27 milioni per misure di sicurezza inadeguate dopo una violazione dei dati. Il pattern ricorrente, come emerge dall’analisi di Global Law Experts, è che i grandi operatori dell’adtech hanno costruito modelli di business su meccanismi di consenso che non reggono a un esame rigoroso del GDPR.
La multa Google del 2025 riapre anche la questione del real-time bidding (RTB), il sistema di asta automatica degli spazi pubblicitari che trasmette in millisecondi dati su comportamento, posizione e preferenze degli utenti a centinaia di aziende contemporaneamente. Diverse autorità europee, tra cui quelle belga e britannica, hanno già dichiarato il sistema incompatibile con il GDPR nella sua forma attuale, ma una decisione comune che imponga una ristrutturazione del settore non è ancora arrivata.
Amazon: €746 milioni annullati dalla Corte d’Appello del Lussemburgo
Una delle notizie più rilevanti del primo semestre 2026 sul fronte GDPR riguarda il caso Amazon. La Commissione Nazionale per la Protezione dei Dati del Lussemburgo (CNPD) aveva inflitto ad Amazon Europe Core una sanzione da €746 milioni nel luglio 2021 per pratiche di trattamento dei dati non conformi al regolamento. Nel marzo 2026, la Corte d’Appello del Lussemburgo ha annullato la multa e rinviato il caso alla CNPD per una nuova valutazione della proporzionalità e dell’elemento soggettivo.
La corte non ha escluso la violazione: ha contestato il metodo di calcolo della sanzione. Per le aziende, l’esito lussemburghese ha un duplice effetto. Da un lato segnala che le corti sono pronte a esaminare la proporzionalità delle sanzioni, aprendo spazio a strategie di ricorso più aggressive. Dall’altro, i procedimenti si allungano: tra l’infrazione del 2021 e la decisione di appello del 2026 sono trascorsi quasi cinque anni, durante i quali l’incertezza legale ha pesato sui bilanci aziendali.
L’annullamento della multa Amazon è destinato a influenzare le strategie dei team legali delle grandi aziende multinazionali. Il caso dimostra che un ricorso ben costruito, basato sulla contestazione della metodologia di calcolo piuttosto che sull’esistenza stessa della violazione, può avere successo anche contro sanzioni da centinaia di milioni di euro.
L’Italia: Enel Energia e i €79 milioni di telemarketing abusivo
Il caso più rilevante dell’enforcement italiano nel 2025 riguarda Enel Energia, colpita dal Garante con una sanzione da €79 milioni per telemarketing aggressivo condotto senza il consenso degli utenti. La decisione rappresenta una delle sanzioni più alte mai inflitte dall’autorità italiana e conferma che il Garante ha ampliato la propria azione ben oltre i grandi operatori tecnologici stranieri.
La violazione riguardava l’utilizzo di dati personali per campagne commerciali telefoniche senza una base giuridica valida, in violazione degli articoli 6 e 7 del GDPR. Il Garante ha rilevato che Enel Energia aveva affidato le campagne a call center terzi senza adeguati meccanismi di controllo sulla verifica del consenso, esponendo milioni di utenti a contatti non richiesti. Il principio ribadito è quello della responsabilità estesa del titolare del trattamento: chi si avvale di responsabili esterni risponde anche delle loro pratiche.
Nel 2026 il Garante italiano ha continuato a operare su più fronti. Una società di consulenza è stata sanzionata con €85.000 per una violazione dei dati personali, e l’autorità ha emesso un avvertimento formale sui servizi di generazione di deepfake che elaborano immagini e voci reali senza consenso esplicito, segnalando questa categoria come priorità di enforcement per il secondo semestre 2026. In precedenza, nel 2022, il Garante aveva già multato Clearview AI per €20 milioni per l’uso non autorizzato di dati biometrici su scala massiva.
Il quadro europeo 2026: dall’Olanda alla Spagna
Al di là dei casi contro i grandi gruppi tecnologici, il 2026 ha già prodotto sanzioni significative in più paesi. L’Autorità olandese per la protezione dei dati (AP) ha inflitto una multa da €100 milioni all’operatore di un’app di taxi per aver trasferito illecitamente dati personali di utenti finlandesi e norvegesi verso la Russia in assenza delle garanzie richieste dal GDPR. Il trasferimento verso la Russia, paese privo di decisione di adeguatezza e con un quadro normativo sulla sorveglianza considerato incompatibile con gli standard europei, è ora una delle aree di rischio più monitorate.
Nel Regno Unito, l’Information Commissioner’s Office (ICO) ha sanzionato due aziende per un totale di £963.900 dopo un attacco di phishing che aveva compromesso i dati di oltre 633.000 persone. L’incidente era rimasto non rilevato per quasi due anni, e alla fine 4,1 terabyte di dati personali, tra cui coordinate bancarie, numeri di previdenza sociale e informazioni sanitarie, erano stati pubblicati sul dark web. L’ICO ha contestato non solo la violazione ma soprattutto il ritardo nel rilevamento e nella notifica.
In Spagna, l’AEPD ha registrato 30.931 reclami nel 2025, con un incremento del 64% rispetto all’anno precedente, e ha chiuso un procedimento transfrontaliero contro una società di tecnologia per il turismo dopo un pagamento volontario di €14,4 milioni. Il Garante italiano ha registrato nel 2025 un numero record di segnalazioni da parte di cittadini, soprattutto nel settore delle comunicazioni commerciali indesiderate.
Tabella 1: Le sanzioni GDPR più alte nella storia
| Azienda | Sanzione | Autorità | Data | Motivo principale |
|---|---|---|---|---|
| Meta Platforms Ireland | €1,2 miliardi | DPC Irlanda | Maggio 2023 | Trasferimenti illeciti UE-USA (Schrems II) |
| Amazon Europe Core | €746 milioni | CNPD Lussemburgo | Luglio 2021 (annullata marzo 2026) | Trattamento non conforme; sanzione annullata in appello |
| TikTok | €530 milioni | DPC Irlanda | Maggio 2025 | Trasferimenti illeciti UE-Cina senza garanzie adeguate |
| Meta (Instagram) | €405 milioni | DPC Irlanda | Settembre 2022 | Gestione illecita dati dei minori |
| Meta (Facebook+Instagram) | €390 milioni | DPC Irlanda | Gennaio 2023 | Base giuridica invalida per pubblicità comportamentale |
| TikTok | €345 milioni | DPC Irlanda | Settembre 2023 | Carenze nella protezione dati dei minori |
| Google LLC+Ireland | €325 milioni | CNIL Francia | Settembre 2025 | Pubblicità Gmail senza consenso valido e irregolarità di registrazione |
| Enel Energia | €79 milioni | Garante Italia | 2025 | Telemarketing senza consenso, controllo insufficiente su call center terzi |
| Criteo | €40 milioni | CNIL Francia | 2023 | Tracciamento pubblicitario senza consenso valido |
| Free Mobile | €27 milioni | CNIL Francia | 2023 | Misure di sicurezza inadeguate dopo una violazione dei dati |
Tabella 2: Enforcement GDPR per paese in Europa (aggiornamento 2026)
| Paese | Autorità | Sanzioni cumulative | Caso più significativo 2025-2026 |
|---|---|---|---|
| Irlanda | DPC | €4,04 miliardi | TikTok €530M per trasferimenti illeciti UE-Cina (maggio 2025) |
| Lussemburgo | CNPD | €746+ milioni | Amazon €746M annullata dalla Corte d’Appello (marzo 2026) |
| Francia | CNIL | €200+ milioni | Google €325M per pubblicità Gmail senza consenso (settembre 2025) |
| Paesi Bassi | AP | €200+ milioni | App taxi €100M per trasferimenti dati verso Russia (2026) |
| Germania | DSK (più autorità) | €200+ milioni | Azioni settoriali su salute, finanza e pubbliche amministrazioni |
| Italia | Garante | €100+ milioni | Enel Energia €79M per telemarketing senza consenso (2025) |
| Spagna | AEPD | €50+ milioni | 30.931 reclami nel 2025 (+64%); €14,4M pagamento volontario da tech company |
| UK (post-Brexit) | ICO | £200+ milioni | £963.900 contro due aziende dopo phishing su 633.000 persone (2026) |
I settori più colpiti: media, telecomunicazioni e adtech
La distribuzione delle sanzioni per settore rivela dove si concentrano le violazioni più gravi. Il comparto media, telecomunicazioni e broadcasting assorbe circa il 70% del valore complessivo delle sanzioni aziendali, trainato dai grandi casi contro Meta, TikTok e Google. Seguono il settore adtech e pubblicità comportamentale, i servizi finanziari e i processori di pagamento, e l’assistenza sanitaria, dove le violazioni riguardano dati sensibili con conseguenze particolarmente gravi per gli interessati.
L’adtech è il fronte dove si concentra il maggior numero di procedimenti attivi nel 2026. Il sistema del real-time bidding, che consente l’asta automatica degli spazi pubblicitari trasmettendo in millisecondi dati su comportamento, posizione e preferenze degli utenti a centinaia di aziende contemporaneamente, è considerato da molte autorità europee strutturalmente incompatibile con il GDPR. Nessuna decisione pan-europea che imponga una ristrutturazione del settore è ancora arrivata, ma i procedimenti si moltiplicano.
Per le aziende italiane, il rischio maggiore rimane concentrato in tre aree: telemarketing senza consenso documentabile, utilizzo di dati per finalità di profilazione senza base giuridica solida, e mancata supervisione dei fornitori terzi che trattano dati per conto del titolare. Il caso Enel Energia ha chiarito in modo definitivo che la catena di responsabilità non si interrompe all’uscita dell’azienda ma si estende a tutti i soggetti che trattano i dati per suo conto.
Il mercato europeo della cybersecurity: €85 miliardi nel 2026
Il contesto in cui si muove l’enforcement GDPR è un mercato della sicurezza informatica in espansione decisa. Il mercato europeo della cybersecurity era valutato €76,21 miliardi nel 2025 e raggiungerà i €85,68 miliardi nel 2026, con un tasso di crescita annuo composto del 12,42% previsto fino al 2034, anno in cui il settore potrebbe superare i €218 miliardi. Le sanzioni GDPR hanno un impatto diretto su questa crescita: ogni grande multa accelera gli investimenti in compliance, legal tech e data governance.
La convergenza tra GDPR e AI Act europeo sta creando un nuovo mercato della conformità che riguarda in modo particolare le aziende che sviluppano o utilizzano sistemi di intelligenza artificiale. Il Garante italiano ha già indicato i sistemi di deepfake come area di enforcement prioritaria per il 2026, e diverse autorità europee hanno avviato indagini esplorative sull’uso di large language model per finalità di profilazione degli utenti.
Nicola Bernardi, Presidente di Federprivacy, ha descritto la situazione attuale per le aziende italiane: “Il GDPR è diventato pienamente operativo. Non bastano più una policy sul sito e un DPO di facciata: le autorità chiedono documentazione concreta di ogni scelta di trattamento, e premiano chi ha costruito sistemi reali di governance del dato. Chi si è adeguato in modo sostanziale ha un vantaggio competitivo misurabile in termini di riduzione del rischio sanzionatorio.”
Cosa deve fare un’azienda italiana nel 2026
Per le imprese italiane, i dati 2025-2026 individuano tre aree di intervento prioritario.
Consenso e telemarketing. Il caso Enel Energia è un precedente diretto. Qualsiasi azienda che conduca campagne telefoniche, via email o attraverso canali digitali deve verificare che il consenso sia stato acquisito in modo granulare, specifico e documentabile, con prova di data e ora. Affidarsi a fornitori terzi non riduce la responsabilità: il titolare del trattamento risponde anche delle attività dei propri responsabili.
Trasferimenti internazionali. Le aziende che utilizzano servizi cloud con infrastrutture fuori dall’UE devono aggiornare le proprie analisi di impatto sulla protezione dei dati (DPIA) e verificare che le clausole contrattuali standard adottate garantiscano il livello di protezione richiesto dal GDPR. Il trasferimento verso la Cina, la Russia e altri paesi privi di decisione di adeguatezza è un’area ad altissimo rischio sanzionatorio nel 2026.
Notifica dei breach. Con 443 notifiche al giorno in Europa, il rispetto della finestra delle 72 ore è sotto monitoraggio costante. Un sistema interno di incident response strutturato, con procedure chiare per identificare, contenere e segnalare le violazioni, non è più un’opzione. Il caso ICO inglese con il phishing non rilevato per quasi due anni mostra cosa succede quando il monitoraggio è insufficiente: responsabilità per la violazione più responsabilità aggiuntiva per il ritardo nella notifica.
5 previsioni per il secondo semestre 2026
- L’adtech sotto decisione definitiva. La DPC irlandese e la CNIL francese hanno procedimenti aperti sul real-time bidding. Una decisione di principio contro uno dei principali operatori del settore potrebbe arrivare entro fine 2026 e costringere una ristrutturazione dell’ecosistema della pubblicità programmatica europea.
- L’IA diventa priorità di enforcement. Con l’entrata in applicazione progressiva dell’AI Act, le autorità inizieranno a coordinare l’enforcement GDPR con le nuove norme sull’intelligenza artificiale, in particolare per i sistemi che processano dati biometrici o generano contenuti sintetici come i deepfake.
- Nuovi trasferimenti internazionali nel mirino. Dopo TikTok-Cina e app taxi-Russia, le autorità puntano su altri corridoi di trasferimento considerati a rischio, comprese le strutture cloud di aziende con legami con paesi privi di decisione di adeguatezza.
- Le PMI entrano nel raggio di enforcement. La distribuzione delle sanzioni si sta allargando verso aziende di medie dimensioni. In Italia, Spagna e Germania i registri del 2026 mostrano un aumento di casi con sanzioni sotto €500.000 in settori diversificati, segnale che le autorità non si limitano più ai grandi gruppi.
- Il ricorso Amazon cambia le strategie legali. L’annullamento lussemburghese della multa da €746 milioni incoraggerà altre aziende a contestare le sanzioni in appello, focalizzandosi sulla contestazione della metodologia di calcolo piuttosto che sull’esistenza della violazione.
Domande frequenti sulle sanzioni GDPR nel 2026
Qual è la sanzione GDPR più alta mai inflitta?
La multa più alta è stata inflitta a Meta Platforms Ireland dall’Irish Data Protection Commission nel maggio 2023: €1,2 miliardi per trasferimenti illeciti di dati degli utenti europei verso gli Stati Uniti in violazione della sentenza Schrems II. Nessuna sanzione successiva ha superato questo importo.
Quante sanzioni GDPR sono state inflitte in totale in Europa?
Il GDPR Enforcement Tracker documenta 3.194 azioni formali fino a metà 2026 per un totale di €6,31 miliardi. Altre fonti che includono accordi stragiudiziali e sanzioni minori portano la stima complessiva a oltre €7,1 miliardi dal maggio 2018.
Qual è la sanzione massima prevista dal GDPR?
Per le violazioni più gravi (articolo 83, paragrafo 5) la sanzione massima è €20 milioni oppure il 4% del fatturato mondiale annuo, applicando l’importo più elevato. Per le violazioni meno gravi (articolo 83, paragrafo 4) i massimi scendono a €10 milioni o il 2% del fatturato.
Perché l’Irlanda concentra il 57% di tutte le sanzioni europee?
L’Irlanda è la sede europea di quasi tutti i grandi gruppi tecnologici americani: Meta, Google, Apple, Microsoft, LinkedIn, Twitter/X. Il GDPR prevede il meccanismo dello “sportello unico”: l’autorità del paese in cui si trova la sede principale è competente per i trattamenti transfrontalieri. Questo ha reso la DPC irlandese il regolatore di fatto dell’intero ecosistema Big Tech in Europa.
Come può un’azienda italiana ridurre il rischio di sanzioni GDPR?
Le aree prioritarie sono tre: (1) verificare che ogni consenso per finalità commerciali sia granulare, specifico e documentato con prova di data e ora; (2) aggiornare le analisi di impatto per i trasferimenti internazionali, in particolare verso paesi senza decisione di adeguatezza; (3) implementare procedure di incident response che garantiscano la notifica entro 72 ore dalla scoperta di una violazione. La nomina di un DPO qualificato e la formazione periodica del personale sono presupposti necessari ma non sufficienti.
La multa Amazon da €746 milioni è stata davvero annullata?
Nel marzo 2026 la Corte d’Appello del Lussemburgo ha annullato la sanzione e rinviato il caso alla CNPD per una nuova valutazione della proporzionalità e dell’elemento soggettivo. La violazione originaria non è stata esclusa: la corte ha contestato il metodo di calcolo, non la legittimità della sanzione in linea di principio. Il procedimento è ancora in corso.
Cosa ha fatto il Garante italiano nel 2026?
Nel 2026 il Garante ha sanzionato una società di consulenza per €85.000 dopo una violazione dei dati, ha emesso un avvertimento formale sui servizi deepfake che elaborano immagini e voci reali senza consenso, e ha proseguito i controlli sul telemarketing dopo il caso Enel Energia (€79 milioni nel 2025). I provvedimenti aggiornati sono disponibili sul sito ufficiale del Garante.
I sistemi di intelligenza artificiale sono soggetti al GDPR?
I sistemi di intelligenza artificiale che processano dati personali sono soggetti al GDPR fin dal 2018. Con l’avanzamento dell’AI Act europeo, le autorità stanno sviluppando un framework coordinato che integra GDPR e nuove norme sull’IA. Riconoscimento facciale, generazione di deepfake e profilazione automatica sono già sotto esame in diversi paesi UE, con il Garante italiano che ha indicato questa categoria come priorità esplicita per il secondo semestre 2026.
Copertura correlata
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- France Titres Violata: 19 Milioni di Identità Esposte [2026]
- Commissione Europea Hackerata Due Volte: 350 GB Rubati [2026]
- Unit 42 2026: Attacchi 4x Veloci, 89% delle Violazioni su Identità
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi
- Approfondimenti sulla Privacy e Protezione dei Dati
