Violazioni del GDPR: nel 2025 oltre 300 multe per 1,1 miliardi di euro, ma il 91% del totale si concentra su 3 sole sanzioni
Secondo le statistiche di GDPR Enforcement Tracker risulta che nel 2025 le autorità per la protezione dei dati dei paesi dello Spazio Economico Europeo (SEE) hanno inflitto 335 sanzioni per violazioni del GDPR per un ammontare complessivo di oltre 1,1 miliardi di euro.

Anche se i dati cumulativi sembrano rilevare una serrata attività sanzionatoria da parte delle autorità di controllo durante lo scorso anno con una media di quasi una sanzione al giorno per un importo medio di 3,2 milioni di euro, in realtà se si analizzano le 10 multe più elevate dello scorso anno emerge che il 91% del totale si concentra in appena 3 sanzioni, ovvero quelle irrogate rispettivamente a:
1) TikTok (ByteDance) per 530 milioni di euro comminata dall’autorità irlandese (Data Protection Commission) per violazioni della normativa sui trasferimenti di dati personali degli utenti dello Spazio Economico Europeo (SEE) alla Cina e ai requisiti di trasparenza richiesti dal GDPR;
2) Google per 325 milioni di euro, per violazioni contestate dal garante francese (CNIL) sulla normative sui cookie nella fase di creazione degli account e la visualizzazione di annunci pubblicitari su Gmail senza un consenso valido degli utenti;
3) Shein per 150 milioni di euro, irrogata sempre dalla CNIL per pratiche non conformi sul posizionamento dei cookie senza il consenso dell'utente, e l'uso di “cookie wall" come condizione per accedere ai servizi.
Oltre ai tre suddetti provvedimenti sanzionatori che si sono aggiudicati il podio nel 2025, e che da soli totalizzano la bella cifra di 1 miliardo di euro, nella classifica delle dieci multe più elevate che sono state comminate lo scorso anno seguono:
4) Vodafone per 45 milioni di euro, inflitta dal Commissario federale per la protezione dei dati e la libertà di informazione della Germania per non aver controllato le agenzie partner che avevano usato i dati personali dei clienti senza consenso e per delle vulnerabilità che hanno permesso di accedere ai profili eSIM degli utenti;
5) AENA per 10 milioni di euro, fatta dal garante della privacy spagnolo (AEPD) per l’utilizzo illecito di dati biometrici (riconoscimento facciale incuso) in un progetto pilota che aveva coinvolto diversi aeroporti, senza aver effettuato neanche una valutazione d’impatto come richiesto dal GDPR;
6) Poczta Polska per oltre 6 milioni di euro, irrogata dall’autorità polacca all’operatore postale nazionale per l'elaborazione senza una valida base giuridica di dati personali di 30 milioni di cittadini dal database PESEL nell'organizzazione di una tornata elettorale del 2020 per consentire agli elettori di esprimere i loro voti per corrispondenza durante la pandemia di Covid-19;
7) Luka Inc. per 5 milioni di euro, inflitta dal Garante italiano alla società sviluppatrice del chatbot Replika per assenza di valida base giuridica, carenze informative e insufficiente tutela dei minori, in uno dei primi casi europei di enforcement rilevante nel settore dell’AI generativa;
8) Operatore di telecomunicazioni per 4,5 milioni di euro, fatta dall’autorità croata (AZOP) per molteplici violazioni del GDPR, riguardanti tra le varie trasferimenti di dati all’estero senza adeguate garanzie, mancanza di valutazione del rischio, informazioni agli interessati non trasparenti, raccolta illecita di copie di documenti d'identità e certificati di assenza di procedimenti penali senza una valida base giuridica, nonché omissione di controlli sulle misure di sicurezza di un responsabile del trattamento;
9) ING Bank Śląski per 4,3 milioni di euro, irrogata alla banca dal garante polacco per aver scansionato i documenti di identità dei clienti e dei potenziali clienti senza valutazione del rischio e senza verificare se tale trattamento di dati fosse giustificato dai requisiti richiesti per le misure di sicurezza finanziaria ai sensi della legge antiriciclaggio e finanziamento del terrorismo (AML);
10) McDonald’s Polska Sp. z o.o. per 4 milioni di euro, comminata sempre dal Garante polacco (UODO) per gravi irregolarità nella gestione dei dati dei candidati a posizioni di lavoro, riguardanti anche procedure di selezione del personale affidate a soggetti terzi senza garantire adeguati accordi contrattuali e senza un controllo effettivo sulle modalità di trattamento. Inoltre, l’Autorità ha richiamato l’art. 38 del GDPR sul ruolo e l’indipendenza del Data Protection Officer;
Le statistiche disponibili su GDPR Enforcement Tracker sono naturalmente ancora suscettibili di eventuali variazioni per la rilevazione di alcune sanzioni emesse nella parte finale dell’anno che potrebbero non essere ancora state rese note dalle autorità o registrate sul portale, ma il quadro generale del 2025 è ormai consolidato, e se dalle medie assolute si tolgono i suddetti 10 provvedimenti sanzionatori più elevati, la media di ciascuna multa si ridimensiona notevolmente a 298mila euro, importo che rende un quadro più realistico per comprendere il trend delle autorità di controllo e determinare la potenziale forbice dell’entità delle sanzioni che possono aspettarsi le imprese in caso di violazioni in materia di protezione dei dati personali.






