Il GDPR compie 7 anni, ma oltre 6 miliardi di euro di sanzioni non hanno portato i risultati auspicati
Il 25 maggio di 7 anni fa entrava in vigore il Regolamento europeo sulla protezione dei dati con la promessa di introdurre maggiori tutele per la privacy dei cittadini e pesanti sanzioni per i trasgressori.
Secondo le statistiche fornite da Enforcement Tracker, da maggio 2018 a maggio 2025 sono state registrate 2.560 multe* per violazioni del GDPR, per un ammontare complessivo di oltre 6 miliardi di euro# , ovvero mediamente una sanzione ogni giorno per un importo medio di 2,4 milioni di euro.
I garanti più attivi in assoluto nello Spazio Economico Europeo (SEE) sono rispettivamente quello della Spagna con ben 932 multe comminate, seguito da quello italiano con 400 provvedimenti sanzionatori, mentre quello della Romania è terzo nella classifica delle autorità più prolifiche con 197 ammende.
Eppure, nonostante le cifre ragguardevoli complessivamente raggiunte a suon di multe negli scorsi 7 anni, mai come oggi è stato così difficile per i cittadini proteggere la propria privacy, con call center che li tartassano incessantemente, sistemi di tracciamento online che spiano gli utenti attraverso gli smartphone, e sistemi di intelligenza artificiale sempre più invasivi.
Nella classifica stilata da Enforcement Tracker, le 5 più elevate sanzioni amministrative per violazioni del GDPR sono in primis quella record di 1,2 miliardi di euro inflitta a Meta nel 2023, al secondo posto quella da 746 milioni di euro che ha colpito Amazon nel 2021, al terzo e al quarto posto ancora due multe inflitte a Meta rispettivamente di 405 milioni di euro del 2022 e di 390 milioni di euro nel 2023, e poi al quinto posto quella irrogata nel 2023 a TikTok di 345 milioni di euro.
“Il GDPR ha sicuramente portato maggiore sensibilità per i temi della privacy, ma per quanto siano severe le sanzioni amministrative, al momento c’è poco da festeggiare: per le Big Tech che hanno fatturati miliardari esse equivalgono a poco più di una mancia – commenta Nicola Bernardi, presidente di Federprivacy – Per creare una società digitale sostenibile, è quindi necessario un ripensamento da parte delle istituzioni per adottare strumenti che producano veramente un effetto dissuasivo, come ad esempio il blocco dei trattamenti dei dati personali e misure di carattere penale per chi commette intenzionalmente gravi violazioni o per chi si dimostra recidivo nonostante le sanzioni già ricevute”.
Se le sanzioni amministrative del GDPR sembrano non essere riuscite a produrre i risultati auspicati, Federprivacy ha indetto un sondaggio per chiedere alla comunità di addetti ai lavori di esprimersi al riguardo, suggerendo le possibili soluzioni per garantire un più efficace presidio delle legalità in materia di protezione dei dati, e un conseguente maggiore rispetto della privacy dei cittadini. I risultati saranno poi resi noti e analizzati al Privacy Day Forum in programma il 6 giugno ad Arezzo.
* Di cui 2.329 sanzioni con informazioni complete sull'importo, la data e l’autorità di controllo che le hanno comminate
# Al 19 maggio 2025, l’ammontare esatto delle sanzioni rilevate da Enforcement Tracker è pari a € 6.192.068.983.
