Viktoria ComplianceStart Assessment
Torna al blog
GDPR7 min readJanuary 15, 2026

Applicazione del GDPR nel 2025: Quali sono le violazioni che costano di più e come evitarle?

L'applicazione del GDPR ha continuato ad intensificarsi nel corso del 2025, con le autorità di vigilanza in tutto il SEE che hanno emesso oltre 2.100 decisioni di applicazione e multe totali che hanno superato i 2,1 miliardi di euro per l'anno solare. La tendenza è inequivocabile: le autorità di vigilanza non stanno rallentando. Per le PMI, capire quali violazioni attirano le sanzioni più pesanti è essenziale per dare priorità agli investimenti nella compliance.

2025 Applicazione della legge in sintesi

Diverse statistiche chiave hanno dato forma al panorama dell'applicazione nel 2025:

  • Totale delle multe emesse: Circa 2,1 miliardi di euro per tutte le autorità di protezione dei dati del SEE.
  • Numero di decisioni di esecuzione: Oltre 2.100, con un aumento di circa il 18% dal 2024.
  • La più grande multa singola: 1,2 miliardi di euro imposti dalla Commissione irlandese per la protezione dei dati (DPC).
  • Le DPA più attive per volume di decisioni: AEPD spagnola, Garante italiano, ANSPDCP rumena e NAIH ungherese.
  • Le DPA più attive per valore delle multe: DPC irlandese, CNIL francese, Garante italiano e CNPD lussemburghese.

Uno sviluppo notevole nel 2025 è stato l'aumento dell'attività delle DPA più piccole. Le autorità in Austria (DSB), Finlandia (Tietosuojavaltuutettu) e Croazia (AZOP) hanno emesso le multe più elevate di sempre, segnalando una maturazione della capacità di applicazione in tutta l'UE.

Le 3 principali categorie di violazione

1. Basi legali insufficienti per il trattamento (Articolo 6)

Il trattamento dei dati personali senza una valida base legale è rimasta la violazione più frequentemente citata e più pesantemente sanzionata nel 2025. Questa categoria comprende le organizzazioni che si sono basate su un consenso che non soddisfa lo standard dell'Articolo 7, che hanno rivendicato interessi legittimi senza effettuare un test di bilanciamento adeguato, o che hanno elaborato i dati per scopi incompatibili con lo scopo originario della raccolta (violazione del principio di limitazione dello scopo ai sensi dell'Articolo 5(1)(b)).

La CNIL ha imposto diverse multe significative in questa categoria, tra cui sanzioni contro organizzazioni che tracciavano gli utenti attraverso i siti web senza un consenso valido. La CNIL ha sempre sostenuto che i meccanismi di consenso per i cookie che utilizzano modelli oscuri, opzioni preselezionate o che rendono il rifiuto inutilmente difficile non costituiscono un consenso valido ai sensi degli Articoli 6 e 7.

Lezione per le PMI: verificare ogni attività di trattamento alla ricerca di una base legale documentata e difendibile. Se si basa sul consenso, si assicuri che i suoi meccanismi di consenso soddisfino lo standard "liberamente dato, specifico, informato e non ambiguo". Se si basa su interessi legittimi, documenti il test di bilanciamento.

2. Misure di sicurezza tecniche e organizzative inadeguate (Articolo 32).

Le violazioni dell'articolo 32 hanno rappresentato una parte sostanziale delle azioni di enforcement nel 2025. Le autorità di vigilanza hanno sanzionato le organizzazioni per mancanze che includono: dati personali non criptati, password deboli o predefinite, controlli di accesso inadeguati, mancata applicazione di patch di sicurezza in modo tempestivo e monitoraggio e registrazione insufficienti.

Il Garante italiano è stato particolarmente attivo in questo settore, emettendo multe multiple ai fornitori di servizi sanitari per misure di sicurezza inadeguate che hanno portato all'accesso non autorizzato alle cartelle cliniche dei pazienti. L'AEPD spagnola ha continuato a sanzionare le piccole e medie organizzazioni per carenze di sicurezza di base, compresi i casi in cui i database dei clienti sono stati esposti a causa di una configurazione errata del cloud storage.

Il Commissario federale tedesco per la protezione dei dati (BfDI) si è concentrato sulle carenze sistemiche della sicurezza, sottolineando che l'Articolo 32 richiede non solo misure tecniche appropriate, ma anche controlli organizzativi, tra cui politiche di sicurezza, procedure di gestione degli accessi e verifiche regolari dell'efficacia della sicurezza.

Lezione per le PMI: l'igiene della sicurezza di base non è negoziabile. Implementa la crittografia, applica un'autenticazione forte, applica tempestivamente le patch e limita l'accesso in base al principio del minimo privilegio. Documentate le vostre misure di sicurezza e le motivazioni per cui le avete scelte.

3. Mancato rispetto dei diritti dell'interessato (Articoli 15-22)

La mancata risposta alle richieste degli interessati entro il termine di legge di un mese, o la fornitura di risposte incomplete, hanno generato un volume significativo di azioni esecutive nel 2025. Le violazioni più comuni hanno riguardato:

  • Mancata risposta alle richieste di accesso (Articolo 15) entro un mese
  • Rifiuto di cancellare i dati quando richiesto ai sensi dell'articolo 17, senza validi motivi per continuare il trattamento
  • Requisiti eccessivi di verifica dell'identità che hanno effettivamente ostacolato l'esercizio dei diritti.
  • Mancata fornitura di dati in formato portatile quando richiesto ai sensi dell'Articolo 20.

Il Garante italiano ha imposto multe multiple per risposte ritardate o inadeguate alle richieste di accesso ai dati, compresi i casi in cui le organizzazioni hanno impiegato diversi mesi per rispondere senza giustificazione. Anche la DPA polacca (UODO) ha emesso decisioni degne di nota in questo ambito, in particolare per quanto riguarda il diritto alla cancellazione.

Lezione per le PMI: implementare un sistema di tracciamento delle richieste degli interessati con avvisi automatici di scadenza. Addestrare il personale a contatto con i clienti a riconoscere le richieste degli interessati, anche quando non sono esplicitamente formulate nel linguaggio del GDPR. Un cliente che dice "cancella il mio account" sta esercitando il suo diritto di cui all'articolo 17.

Azioni esecutive degne di nota

DPC irlandese: Esecuzione dei trasferimenti transfrontalieri

Il DPC irlandese ha continuato a sfruttare il suo ruolo di autorità di vigilanza principale per molte grandi aziende tecnologiche. Le sue decisioni di applicazione nel 2025 si sono concentrate sui trasferimenti transfrontalieri di dati (Capitolo V) e sull'adeguatezza delle garanzie per i trasferimenti verso Paesi terzi. La multa record di 1,2 miliardi di euro ha sottolineato che i meccanismi di trasferimento richiedono garanzie reali e valutate, non solo formalità contrattuali.

CNIL: Applicazione dei cookie e del tracciamento

La CNIL ha mantenuto la sua attenzione sul tracciamento e sul consenso online. Nel 2025, ha esteso l'applicazione delle norme oltre le grandi piattaforme alle organizzazioni di e-commerce e media di fascia media. La CNIL ha posto particolare enfasi sui meccanismi di revoca del consenso: rendere più difficile la revoca del consenso rispetto alla sua concessione viola il requisito dell'Articolo 7(3) che prevede una revoca altrettanto facile.

BfDI: Elaborazione dei dati dei dipendenti

Il BfDI tedesco ha aumentato il controllo sull'elaborazione dei dati dei dipendenti, in particolare per quanto riguarda la sorveglianza del posto di lavoro, il software di monitoraggio dei dipendenti e l'uso dei dati biometrici per il controllo degli accessi. Sono state comminate diverse multe per il trattamento dei dati dei dipendenti senza un'adeguata base legale o senza un'adeguata trasparenza (articoli 13 e 14).

Garante: Sanità e settore pubblico

Il Garante italiano ha proseguito la sua attività di enforcement nel settore sanitario, sanzionando ospedali e autorità sanitarie per violazioni della sicurezza, accesso non autorizzato alle cartelle cliniche dei pazienti e mancata esecuzione di DPIA per trattamenti ad alto rischio. Ha anche emesso decisioni relative all'uso nel settore pubblico del riconoscimento facciale e del processo decisionale basato sull'AI.

Cosa significa per le PMI

I dati sull'applicazione del 2025 confermano diverse tendenze su cui le PMI devono agire:

  1. La conformità di base non è negoziabile. Le multe più frequenti riguardano mancanze fondamentali: assenza di base legale, assenza di misure di sicurezza, assenza di risposta alle richieste degli interessati. Non si tratta di sfide normative complesse, ma di obblighi fondamentali.
  2. Le dimensioni non garantiscono l'immunità. L'AEPD spagnola e altre DPA multano regolarmente le piccole organizzazioni. Una multa di 50.000 euro può essere piccola nel contesto dell'applicazione totale del GDPR, ma è importante per una PMI.
  3. La documentazione è la sua difesa. Le autorità di vigilanza valutano la conformità in base a ciò che lei può dimostrare. Una conformità non documentata è, dal punto di vista normativo, una non conformità.
  4. La conformità proattiva è più economica dell'applicazione reattiva. Il costo dell'implementazione di un'adeguata documentazione sulla base legale, di misure di sicurezza e di procedure per i diritti degli interessati è una frazione del costo di una multa, delle spese legali associate e dei danni alla reputazione.

La traiettoria di applicazione del GDPR non mostra alcun segno di inversione. Le organizzazioni che investono ora nella conformità sono quelle che eviteranno i titoli dei giornali sull'applicazione del GDPR nel 2026.

Verifica la tua prontezza alla conformità

Esegui la nostra valutazione gratuita di prontezza a GDPR, NIS2 e Regolamento IA e ricevi raccomandazioni personalizzate in pochi minuti.

Avvia la valutazione gratuita

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.