Garante Privacy, tanto lavoro svolto, ma l’Autorità resta un presidio assediato
La relazione annuale del Garante per la protezione dei dati personali, presentata dal presidente Pasquale Stanzione, racconta un’autorità che lavora molto, e i numeri lo dimostrano: 807 provvedimenti collegiali adottati nel 2025, di cui 506 provvedimenti comminati, 229 tra sanzioni e misure correttive con oltre 36 milioni di euro di multe riscosse, 91 ammonimenti, 65 pareri su atti regolamentari e amministrativi, 65 comunicazioni di notizie di reato all’autorità giudiziaria, 514 delibere in materia di revenge porn, 130 ispezioni condotte anche con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. E ancora: 4.288 reclami riscontrati, quasi 12 al giorno, e 13.577 quesiti del pubblico evasi.
(Nella foto: Sergio Luciano, Direttore responsabile di Economy)
Tanto lavoro fatto, dunque. Ma è la stessa relazione a certificare quanto ne resti da fare: i reclami ricevuti sono stati 115.275 e le segnalazioni 145.846, in larghissima parte (oltre 100 mila i primi, quasi 139 mila le seconde) riguardanti il telemarketing automatizzato, la piaga delle telefonate moleste che nessun registro delle opposizioni è finora riuscito a debellare.
Il rapporto tra la domanda di tutela che sale dai cittadini e la capacità di risposta dell’Autorità resta insomma squilibrato in modo strutturale: non per inerzia del Garante, ma per una sproporzione di mezzi e organici che il legislatore continua a ignorare.
Seconda criticità: la precisione degli atti. Sui 229 provvedimenti sanzionatori comminati nel 2025, le opposizioni trattate sono state 87: più di una sanzione su tre finisce impugnata. Un tasso di litigiosità che può leggersi in due modi, entrambi scomodi. O i destinatari delle sanzioni dispongono di uffici legali agguerriti e considerano il ricorso un investimento conveniente, oppure una quota non marginale dei provvedimenti presenta margini di imprecisione, motivazionale o istruttoria, che i giudici sono chiamati a vagliare. In entrambi i casi, il dato suggerisce che la qualità tecnica dell’azione sanzionatoria è un cantiere aperto.

Ma la terza criticità è la più inquietante, perché non riguarda l’Autorità bensì il Paese: il torpore dell’opinione pubblica rispetto al diritto, e al dovere, di prevenire e denunciare le violazioni dei dati. I data breach notificati al Garante da soggetti pubblici e privati sono stati 2.415, oltre 6 al giorno: e già questo numero, con ogni probabilità, è la punta di un iceberg fatto di violazioni mai scoperte o mai dichiarate.
Eppure i provvedimenti collegiali adottati a seguito di queste notifiche sono stati appena 12, meno dello 0,5%. Possibile che nel 99,5% dei casi sia tutto in regola, che i dati rubati dagli hacker o finiti online alla mercé di chiunque non meritino nemmeno un intervento?
La stessa relazione documenta il contrario, almeno nella sanità: attacchi ransomware ad Asl e aziende ospedaliere con esfiltrazioni fino a 650 gigabyte di dati pubblicati sul dark web, reti prive di segmentazione, autenticazione a più fattori assente, sistemi di allerta spenti, personale non formato. Negligenze seriali, che troppo spesso si chiudono con un ammonimento. Il punto è culturale prima che regolatorio: il furto di dati personali è ormai percepito come una fatalità meteorologica, non come un reato che colpisce diritti fondamentali.
Le imprese vivono la notifica come un adempimento burocratico da minimizzare, i cittadini alzano le spalle, e la sanzione, quando arriva, fa meno notizia dell’attacco. Finché questo torpore non si scuote, il Garante potrà moltiplicare provvedimenti e campagne informative (59 comunicati, 4 campagne e 55 video nel solo 2025): ma resterà un presidio assediato in un Paese che ha smesso di indignarsi per la violazione della propria intimità digitale.
di Sergio Luciano (Economy)
Sei già socio Federprivacy? effettua il login e leggi online il numero integrale del mensile Economy di Giugno 2026







