La sanzione da 310 milioni di euro a LinkedIn: come un'inchiesta GDPR di sei anni si è chiusa con una delle più rilevanti decisioni pubblicitarie della DPC irlandese

In sintesi

Il 22 ottobre 2024 la Commissione irlandese per la protezione dei dati (Data Protection Commission, DPC) ha notificato a LinkedIn Ireland Unlimited Company una decisione definitiva che impone tre sanzioni amministrative per un totale di 310 milioni di euro, un ammonimento e l'ordine di adeguare il trattamento al GDPR. La decisione riguarda l'uso da parte di LinkedIn dei dati personali dei propri membri ai fini di analisi comportamentale e pubblicità mirata. La DPC ha rilevato violazioni degli articoli 5, paragrafo 1, lettera a), 6, paragrafo 1, 13, paragrafo 1, lettera c) e 14, paragrafo 1, lettera c) del Regolamento generale sulla protezione dei dati. LinkedIn invocava tre basi giuridiche dell'articolo 6: consenso, necessità contrattuale e legittimo interesse. La DPC le ha respinte tutte. Il procedimento è iniziato nell'28 maggio 2018 con un reclamo dell'associazione francese senza scopo di lucro La Quadrature du Net presentato alla CNIL; nell'inchiesta della DPC sono stati infine rappresentati 8.540 utenti LinkedIn. Sei anni dopo, si è chiuso con una delle più alte sanzioni GDPR irrogate dal regolatore irlandese in materia pubblicitaria. LinkedIn ha avviato sia un appello statutario sia un ricorso giurisdizionale di controllo (judicial review); le constatazioni nel merito restano in vigore durante il procedimento. La lezione di compliance va ben oltre le Big Tech: riguarda ogni organizzazione che utilizza pubblicità comportamentale o sistemi di contenuto mirato.

I numeri chiave

310 mln € | Social network B2B | Big Tech (controllata Microsoft) | Commissione irlandese per la protezione dei dati | Provvedimento notificato il 22 ottobre 2024.

Cosa è successo: un'inchiesta di sei anni sfocia in una sanzione rilevante

Il 28 maggio 2018 l'associazione francese per i diritti digitali La Quadrature du Net ha depositato un reclamo collettivo presso l'Autorità francese per la protezione dei dati, la Commission Nationale de l'Informatique et des Libertés (CNIL). Nel successivo procedimento dinanzi alla DPC irlandese sono stati rappresentati 8.540 utenti LinkedIn. Il reclamo bersagliava quello che l'associazione definiva "modello di business GAFAM": l'accoppiamento dell'accesso alla piattaforma con l'accettazione obbligatoria di analisi comportamentale e pubblicità mirata. In particolare, il reclamo de La Quadrature du Net contestava le caselle di consenso pre-spuntate, le clausole delle condizioni d'uso secondo cui l'uso continuato del servizio costituiva accettazione, e l'assenza di una vera scelta per gli utenti che volevano utilizzare il servizio senza essere profilati per scopi pubblicitari.

Poiché la sede europea di LinkedIn è a Dublino, la CNIL ha trasmesso il reclamo alla DPC irlandese attraverso il meccanismo dello sportello unico previsto dall'articolo 56 del GDPR. La DPC è così diventata Autorità di controllo capofila dell'inchiesta. L'istruttoria è durata oltre sei anni. Il 22 ottobre 2024 i commissari per la protezione dei dati — il dott. Des Hogan e Dale Sunderland — hanno notificato a LinkedIn Ireland una decisione definitiva. La DPC ne ha dato comunicazione pubblica il 24 ottobre 2024. La decisione comprende un ammonimento ai sensi dell'articolo 58, paragrafo 2, lettera b), del GDPR, tre sanzioni amministrative per un totale di 310 milioni di euro ai sensi degli articoli 58, paragrafo 2, lettera i), e 83 del GDPR, nonché un'ordinanza ai sensi dell'articolo 58, paragrafo 2, lettera d), che impone a LinkedIn di adeguare il trattamento al GDPR.

Prima della sua adozione definitiva, il progetto di decisione è stato sottoposto nel luglio 2024 al meccanismo di cooperazione dell'articolo 60 del GDPR. Tale procedura consente alle altre Autorità interessate — quelle i cui interessati sono parimenti coinvolti — di sollevare obiezioni motivate al progetto dell'Autorità capofila. Non sono state sollevate obiezioni. L'assenza di obiezioni significa che nessuna Autorità interessata ha attivato il meccanismo di risoluzione delle controversie dell'articolo 65; non va sopravvalutata come un'approvazione formale dell'importo da parte dell'EDPB.

Come un singolo reclamo del 2018 ha ridisegnato il diritto europeo della pubblicità online

Il reclamo de La Quadrature du Net non è stato depositato isolatamente. Il 28 maggio 2018, tre giorni dopo l'entrata in applicazione del GDPR il 25 maggio 2018, La Quadrature du Net ha depositato cinque reclami collettivi coordinati presso la CNIL — contro Facebook (oggi Meta), Google, Apple, Amazon e LinkedIn — sostenuti da circa 12.000 firmatari. Ciascun reclamo mirava allo stesso problema architettonico: l'accoppiamento dell'accesso alla piattaforma con l'accettazione obbligatoria di un trattamento comportamentale, l'uso di meccanismi di consenso pre-spuntati o presunti, e l'assenza di qualunque via reale di rifiuto. La strategia era deliberata. Lanciando tutti e cinque i reclami all'inizio stesso dell'era GDPR, La Quadrature du Net ha creato un caso-test coordinato per l'architettura del consenso e delle basi giuridiche del Regolamento, applicata al modello di business dominante dell'internet commerciale.

I primi esiti di quei reclami paralleli hanno tracciato il paesaggio giuridico che avrebbe poi raggiunto LinkedIn. Nel gennaio 2019 la CNIL ha sanzionato Google con 50 milioni di euro — la prima grande sanzione GDPR contro una piattaforma Big Tech — per violazioni di liceità e trasparenza nella pubblicità personalizzata. Nel gennaio 2023 la DPC irlandese ha sanzionato Meta con 390 milioni di euro (210 mln € a Facebook e 180 mln € a Instagram) sulla stessa base della necessità contrattuale dell'articolo 6 che LinkedIn avrebbe in seguito provato, senza successo, a difendere. Nel maggio 2023 Meta ha ricevuto un'ulteriore sanzione di 1,2 miliardi di euro per trasferimenti transfrontalieri di dati. Ogni decisione ha stretto l'interpretazione. Quando, nell'ottobre 2024, la DPC irlandese ha emesso la decisione su LinkedIn, la giurisprudenza della CGUE e la prassi delle Autorità di controllo avevano già ristretto il perimetro dell'articolo 6: la necessità contrattuale non copre la pubblicità comportamentale su un social network, e il consenso deve essere realmente granulare e liberamente espresso. Il caso LinkedIn è un'ulteriore applicazione di questa linea, non una sentenza isolata di prima impressione.

Per le organizzazioni al di fuori del settore delle piattaforme, la conseguenza pratica è che le questioni giuridiche non sono più aperte. La Corte di giustizia dell'Unione europea, nella sentenza del 4 luglio 2023 nella causa Meta Platforms contro Bundeskartellamt (C-252/21), ha già confermato che la condizione "necessaria all'esecuzione di un contratto" dell'articolo 6, paragrafo 1, lettera b), va interpretata restrittivamente, che il titolare deve dimostrare la necessità e che la personalizzazione a fini di ricavi pubblicitari non costituisce necessità contrattuale. La Corte ha così chiuso la porta che LinkedIn e altri provavano a tenere aperta. La decisione LinkedIn applica quella chiusura.

La decisione: quattro articoli, tre basi giuridiche respinte

L'inchiesta della DPC ha esaminato un unico flusso di lavoro — il trattamento dei dati personali dei membri ai fini di analisi comportamentale e pubblicità mirata — alla luce dell'intero apparato del GDPR su principi, basi giuridiche e trasparenza. L'inchiesta ha rilevato violazioni di quattro articoli: articoli 5, paragrafo 1, lettera a), 6, paragrafo 1, 13, paragrafo 1, lettera c) e 14, paragrafo 1, lettera c) del GDPR. In una sentenza preliminare emessa il 20 aprile 2026 nell'impugnazione di LinkedIn, la High Court irlandese ha stabilito che la sezione 142 della legge sulla protezione dei dati del 2018 limita quella via di ricorso statutario alla decisione di imporre la sanzione stessa; i rilievi sottostanti di violazione non sono impugnabili tramite la sezione 142 e restano operanti mentre prosegue il contenzioso più ampio.

Articolo 5, paragrafo 1, lettera a) — il principio di liceità, correttezza e trasparenza

L'articolo 5 enuncia i principi fondamentali del GDPR. L'articolo 5, paragrafo 1, lettera a), impone che i dati personali siano "trattati in modo lecito, corretto e trasparente nei confronti dell'interessato". La DPC ha rilevato che la catena pubblicitaria comportamentale di LinkedIn violava ciascuno di questi tre sotto-principi. La liceità è venuta meno perché nessuna delle basi dell'articolo 6 sosteneva il trattamento. La trasparenza è venuta meno perché l'informativa sulla privacy non rivelava adeguatamente le basi giuridiche invocate. La correttezza è venuta meno perché gli utenti non avevano una vera possibilità di comprendere o rifiutare il trattamento. La citazione della DPC sintetizza il principio: "La liceità del trattamento è un aspetto fondamentale del diritto della protezione dei dati, e il trattamento di dati personali senza un'idonea base giuridica costituisce una violazione chiara e grave del diritto fondamentale dell'interessato alla protezione dei dati."

Articolo 6, paragrafo 1 — nessuna delle tre basi giuridiche reggeva

L'articolo 6, paragrafo 1, impone al titolare di individuare una base giuridica prima del trattamento. LinkedIn ne ha invocate tre: consenso (articolo 6, paragrafo 1, lettera a)), necessità contrattuale (articolo 6, paragrafo 1, lettera b)) e legittimo interesse (articolo 6, paragrafo 1, lettera f)). La DPC le ha esaminate una per una e respinte una per una.

Sul consenso (articolo 6, paragrafo 1, lettera a)): la DPC ha applicato lo standard dell'articolo 4, punto 11, del GDPR — il consenso deve essere "libero, specifico, informato e inequivocabile" — e ha constatato il fallimento del meccanismo di LinkedIn su tutti e quattro i criteri. Agli utenti non era offerta una scelta chiara e granulare tra l'uso della piattaforma con pubblicità comportamentale e l'uso senza. Il flusso di consenso raggruppava più finalità di trattamento. L'informativa non diceva agli utenti quale base giuridica fosse invocata per quale trattamento. Mancava un opt-in attivo per l'analisi comportamentale. Conclusione: il consenso non poteva, in diritto, validare il trattamento.

Sulla necessità contrattuale (articolo 6, paragrafo 1, lettera b)): la DPC ha seguito le linee guida del Comitato europeo del 2019 sull'articolo 6, paragrafo 1, lettera b), nel contesto dei servizi online. La pubblicità comportamentale non è "necessaria" all'esecuzione di un contratto di social network; al più, è una scelta commerciale del fornitore per finanziare il servizio. Un utente può usare LinkedIn per il suo scopo principale — networking, ricerca di lavoro, contenuti — senza essere profilato a fini pubblicitari. La necessità viene meno.

Sul legittimo interesse (articolo 6, paragrafo 1, lettera f)): la DPC ha applicato il test di bilanciamento in tre fasi — individuazione dell'interesse, valutazione della necessità, bilanciamento con i diritti e le libertà dell'interessato. L'interesse commerciale di LinkedIn ai ricavi pubblicitari comportamentali è legittimo al primo passaggio. La DPC ha tuttavia concluso che il trattamento non era strettamente necessario a quell'interesse (esistono mezzi meno invasivi, tra cui la pubblicità contestuale) e che l'impatto sui diritti dell'interessato — compreso il diritto alla protezione dei dati di cui all'articolo 8 della Carta dei diritti fondamentali dell'UE — superava l'interesse del titolare. Il legittimo interesse non supera il bilanciamento.

Articoli 13, paragrafo 1, lettera c) e 14, paragrafo 1, lettera c) — l'obbligo di trasparenza non è stato rispettato

Gli articoli 13 e 14 impongono al titolare di fornire all'interessato informazioni specifiche al momento della raccolta. La lettera c) del paragrafo 1 di ciascun articolo richiede la comunicazione delle "finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento". La DPC ha rilevato che l'informativa sulla privacy di LinkedIn non rivelava adeguatamente, in relazione all'analisi comportamentale e alla pubblicità mirata, quale base giuridica dell'articolo 6 fosse invocata per quale specifica finalità. Un'informativa che si limita a dire "possiamo trattare i vostri dati sulla base del consenso, del contratto o del legittimo interesse" senza precisare quale base corrisponde a quale finalità viola l'articolo 13/14, paragrafo 1, lettera c). L'obbligo di trasparenza è granulare: per finalità, per base giuridica, in linguaggio chiaro.

La risposta di LinkedIn, l'appello e la situazione attuale

LinkedIn ha pubblicato una breve dichiarazione ufficiale il 24 ottobre 2024: "Oggi la Commissione irlandese per la protezione dei dati (IDPC) ha raggiunto una decisione definitiva su contestazioni del 2018 relative ad alcune delle nostre attività di pubblicità digitale nell'UE. Pur ritenendo di essere stati conformi al Regolamento generale sulla protezione dei dati (GDPR), stiamo lavorando per allineare le nostre pratiche pubblicitarie a questa decisione entro la scadenza fissata dall'IDPC." La dichiarazione non riconosceva alcuna violazione né annunciava interventi specifici.

LinkedIn ha aperto poi due vie giudiziarie parallele. Il 18 novembre 2024 ha presentato un appello statutario ai sensi delle sezioni 142 e 150 della legge irlandese sulla protezione dei dati del 2018. Il 16 dicembre 2024 la giudice Mary Rose Gearty della High Court irlandese ha concesso a LinkedIn l'autorizzazione a proporre un controllo giurisdizionale. I motivi sollevati da LinkedIn comprendono contestazioni costituzionali della legge del 2018, l'argomento secondo cui la sanzione di 310 milioni di euro è "di natura penale o punitiva" per la sua entità e attiva quindi le garanzie del giusto processo previste dalla Carta dei diritti fondamentali e dalla Convenzione europea dei diritti dell'uomo, e contestazioni procedurali al processo decisionale della DPC. LinkedIn sostiene inoltre che "la DPC non è un tribunale indipendente e imparziale ai sensi della Carta".

La DPC ha depositato la propria memoria di replica il 25 febbraio 2025. Lo Stato irlandese lo ha fatto il 18 marzo 2025. Il 20 aprile 2026 la High Court ha deciso questioni preliminari — in particolare, ha dichiarato che la sezione 142 della legge del 2018 consente di impugnare solo la decisione di imporre una sanzione, non i rilievi sottostanti di violazione né l'esercizio di altri poteri correttivi come l'ordine di adeguamento. Le constatazioni di merito ai sensi del GDPR restano quindi in vigore durante il procedimento d'appello. Per le organizzazioni che seguono questo caso a fini di compliance, l'appello è un contenzioso su entità e procedura — non sull'analisi di merito di consenso, base giuridica e trasparenza.

Cosa LinkedIn avrebbe potuto fare di diverso — il cuore del caso

La decisione della DPC non è una curiosità tecnica fra un regolatore e un convenuto Big Tech. È una dimostrazione metodica di come una catena pubblicitaria comportamentale possa fallire contemporaneamente su ciascuna base giuridica dell'articolo 6 — e di come sarebbe stata un'alternativa conforme. Ogni organizzazione che impiega pubblicità comportamentale — incluse le aziende SaaS B2B che utilizzano scoring di account-based marketing, gli e-commerce che personalizzano le raccomandazioni di prodotto e gli editori che monetizzano con display mirato — è esposta alla stessa analisi. Quattro livelli di prevenzione avrebbero cambiato l'esito.

Livello 1 — il difetto specifico dell'architettura del consenso

Il flusso di consenso di LinkedIn presentava all'utente, secondo l'analisi della DPC, una logica del tipo "prendere o lasciare". L'informazione sulle basi giuridiche era generica — "consenso, contratto o legittimo interesse" — invece di granulare per finalità di trattamento. Mancava l'opt-in attivo per l'analisi comportamentale; la piattaforma si appoggiava su una logica di uso continuato equivalente al consenso. Non esisteva una via "Rifiuta tutto" di pari evidenza visiva rispetto al "Accetta tutto" sull'interfaccia di raccolta del consenso. Nessuna di queste scelte di design è esclusiva di LinkedIn. Costituivano lo standard di settore nel 2018 ed erano ancora diffuse al tempo dell'inchiesta. Il punto della DPC è che il GDPR, dal 25 maggio 2018, richiede qualcosa di diverso, e uno standard di settore non diventa lecito perché è diffuso.

Livello 2 — il controllo tecnico che lo avrebbe evitato

L'alternativa conforme è ben definita. Una Consent Management Platform (CMP) granulare con interruttori di opt-in separati e di pari evidenza per ciascuna finalità di trattamento — visualizzazione dei dati di profilo, inferenza comportamentale, pubblicità mirata, combinazione con dati di terzi — soddisfa il criterio di specificità dell'articolo 4, punto 11. Una via "Rifiuta tutto" funzionante e con la stessa evidenza visiva di "Accetta tutto" soddisfa il criterio "libero". Il posizionamento di default su OFF di ciascun interruttore di analisi comportamentale, con opt-in attivo obbligatorio, soddisfa il criterio "inequivocabile". Un registro di consenso per finalità, recuperabile su richiesta dell'interessato, con marca temporale e versione dell'informativa mostrata al momento del consenso, soddisfa il criterio "informato". Nulla di tutto ciò è ingegneria esotica. I framework CMP open source lo supportano; i principali fornitori commerciali di CMP lo pubblicizzano. Il costo di implementazione di una CMP conforme per un'organizzazione delle dimensioni di LinkedIn si colloca tra 500.000 € e 2 mln €, oltre al costo operativo annuo. Per una PMI, la stessa architettura costa tra 5.000 € e 50.000 €.

Livello 3 — il controllo organizzativo che l'avrebbe intercettato

Una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 del GDPR è obbligatoria prima di implementare un trattamento ad alto rischio — e la pubblicità comportamentale su larga scala costituisce, secondo qualsiasi lettura ragionevole, un trattamento ad alto rischio con monitoraggio sistematico ai sensi dell'articolo 35, paragrafo 3, lettera b). Una DPIA effettuata prima del deployment, controfirmata dal Responsabile della protezione dei dati e confrontata con l'analisi delle basi giuridiche per finalità, avrebbe fatto emergere il difetto architettonico del consenso. Una revisione trimestrale documentata della qualità del consenso — tasso di opt-in per finalità, tasso di rifiuto, tasso di revoca, volume dei reclami — avrebbe portato il tema al livello esecutivo molto prima dell'apertura di un'istruttoria. Un visto chiaro del RPD sull'informativa sulla privacy, con una checklist dei requisiti dell'articolo 13/14, paragrafo 1, lettera c), avrebbe intercettato la formula generica "consenso, contratto o legittimo interesse". Ognuno di questi controlli rientra nell'igiene basilare di governance di un programma GDPR maturo.

Livello 4 — costo contro sanzione: la matematica chiude il dibattito

La DPC ha imposto 310 milioni di euro in sanzioni amministrative, ancora soggette al ricorso di LinkedIn, e LinkedIn affronta inoltre il costo dell'adeguamento ordinato dalla DPC. Il costo di prevenzione — una CMP conforme, un processo DPIA, audit ricorrenti di qualità del consenso, tempo del RPD dedicato all'informativa — avrebbe pesato fra 500.000 € e 2 mln € per un'organizzazione delle dimensioni di LinkedIn. Il rapporto è di circa 150 a 600 volte il costo di prevenzione. Per una PMI le dimensioni assolute sono diverse, ma la logica è identica: la prevenzione si colloca tipicamente fra 5.000 € e 50.000 €; le sanzioni comparabili nella fascia PMI (dove le Autorità modulano la pena in base alle dimensioni) si attestano comunemente fra 100.000 € e 2 mln €. La matematica è schiacciante a ogni scala. La domanda per qualunque responsabile compliance non è se la prevenzione valga l'investimento, ma se l'organizzazione agirà prima — o dopo — che lo faccia il regolatore.

Volete sapere se la vostra organizzazione ha la stessa esposizione di LinkedIn? Provate la valutazione gratuita di 10 minuti di Viktoria Compliance → Confronta la vostra posizione attuale in materia di pubblicità comportamentale e basi giuridiche con gli articoli del GDPR effettivamente applicati dalla DPC irlandese in questa decisione, e identifica le specifiche lacune che un regolatore troverebbe per prime.

Lezione di settore: chi è esposto oggi

La decisione LinkedIn è una delle più alte sanzioni GDPR in materia pubblicitaria irrogate dalla DPC irlandese, ma non è un episodio isolato. Appartiene a un chiaro schema applicativo accelerato dal 2022, in cui la DPC irlandese e altre Autorità capofila hanno sistematicamente smontato le pretese di base giuridica delle piattaforme con pubblicità comportamentale. Le sanzioni a Meta del gennaio 2023 (210 mln € a Facebook e 180 mln € a Instagram per analoghe carenze di base giuridica nella pubblicità personalizzata), la sanzione di 345 mln € a TikTok del settembre 2023 (dati dei minori e trasparenza) e la sanzione di 290 mln € a Uber dell'agosto 2024 da parte dell'Autorità olandese (trasferimenti illeciti di dati dei conducenti verso gli Stati Uniti ai sensi del capo V del GDPR) si collocano tutte nella stessa traiettoria. La decisione LinkedIn è il dato più recente, non il primo.

L'esposizione non si limita alle piattaforme social o alle Big Tech. Tre categorie di organizzazioni sono particolarmente esposte al rischio di replicare la posizione giuridica di LinkedIn. Primo, le aziende SaaS B2B che impiegano piattaforme di account-based marketing, sistemi di scoring comportamentale o modelli di prioritizzazione dei lead. L'analisi della base giuridica è identica: chi profila persone fisiche dell'UE (decisori dentro account target) ha bisogno di una base pulita dell'articolo 6 per la profilazione, non solo per il record CRM sottostante. Secondo, gli e-commerce che personalizzano raccomandazioni, prezzi dinamici o retargeting partendo dal comportamento sul proprio sito combinato con dati di terzi. Terzo, gli editori e le organizzazioni di media che monetizzano via pubblicità programmatica — la decisione dell'Autorità belga contro IAB Europe (2 febbraio 2022) e la successiva sentenza della Corte di giustizia in IAB Europe contro Gegevensbeschermingsautoriteit (C-604/22, 7 marzo 2024) hanno già stabilito che il segnale TCF costituisce dato personale, che IAB Europe è contitolare e che il consenso raccolto unicamente tramite un banner TCF potrebbe non soddisfare il GDPR. Ogni editore che impiega il TCF deve leggere la decisione LinkedIn come avviso: la pazienza del regolatore è finita.

Il legame con i banner dei cookie: TCF, IAB Europe e la repressione dei dark pattern

L'architettura del consenso di LinkedIn rientra in un problema più ampio che l'UE sta sistematicamente smontando. La decisione dell'Autorità belga del febbraio 2022 contro IAB Europe — l'associazione di settore alla base del Transparency and Consent Framework (TCF), l'infrastruttura tecnica utilizzata dalla maggior parte degli editori europei e dei fornitori ad-tech — ha stabilito che il segnale TCF costituisce di per sé dato personale, che IAB Europe è contitolare della stringa di consenso generata dai banner TCF e che il consenso raccolto attraverso i meccanismi TCF nella loro forma di allora non soddisfaceva il GDPR. La Corte di giustizia ha confermato e affinato questa posizione in IAB Europe contro Gegevensbeschermingsautoriteit (C-604/22, 7 marzo 2024).

Le linee guida 3/2022 del Comitato europeo sui "modelli di progettazione ingannevoli nelle interfacce delle piattaforme di social media" (adottate nel marzo 2022, versione finale pubblicata nel febbraio 2023) individuano, con esempi dettagliati, le scelte di design qualificate come dark pattern vietati dal GDPR. I flussi di consenso che minimizzano visivamente l'opzione di rifiuto, richiedono clic aggiuntivi per rifiutare, formulano il rifiuto in modo negativo o pre-spuntano caselle vengono tutti segnalati. L'Opinione 08/2024 dell'EDPB sui modelli "consenso o pagamento" ha aggiunto un ulteriore elemento, sottolineando che agli utenti deve essere offerta una scelta reale, anziché spingerli di fatto verso il tracciamento comportamentale come opzione predefinita. La tendenza è coerente: le Autorità non accettano più flussi di consenso il cui scopo principale è estrarre opt-in. Lo standard è ora: consenso autentico, granulare, libero — oppure nessun trattamento.

Per le organizzazioni che operano banner di cookie o flussi di consenso in-product, la decisione LinkedIn va letta accanto al rapporto della task force del Comitato europeo sui banner dei cookie (gennaio 2023, sulla prassi del consenso specifico per i cookie) e alle linee guida 3/2022 del Comitato europeo sui modelli di progettazione ingannevoli (adottate nel marzo 2022). Il messaggio combinato è operativo: chi non ha riprogettato la propria architettura del consenso alla luce di questo corpus di orientamenti è esposto a un'azione, e le Autorità hanno dimostrato che le sanzioni raggiungono le centinaia di milioni per i maggiori trasgressori e le centinaia di migliaia per le organizzazioni di taglia intermedia.

Uno sguardo al futuro: il secondo regime di conformità — l'AI Act — si applica dal 2 agosto 2026

La pubblicità comportamentale è, tecnicamente, profilazione automatizzata. Dal 2 agosto 2026 il Regolamento europeo sull'intelligenza artificiale (AI Act) si applica a una categoria definita di sistemi di IA e sovrappone obblighi ulteriori al GDPR. Quando un sistema impiegato nella pubblicità rientra nell'allegato III dell'AI Act — in particolare nelle categorie relative ai sistemi usati per decisioni di lavoro o per l'accesso a servizi essenziali — l'articolo 14 dell'AI Act impone al fornitore un obbligo di progettazione orientato alla supervisione umana, l'articolo 26, paragrafo 7, impone al deployer un obbligo di informazione verso le persone fisiche, e l'articolo 86 istituisce un diritto a una spiegazione chiara del ruolo che il sistema di IA ha avuto nella decisione. Le organizzazioni che non avranno sistemato il livello consenso/base giuridica del GDPR entro il 2 agosto 2026 entreranno in un secondo regime con altri obblighi, altri soggetti e un tetto parallelo di 15 mln € o del 3 % del fatturato mondiale per non conformità ad alto rischio. L'implicazione pratica: aggiustare ora il livello GDPR significa al tempo stesso prepararsi all'AI Act. I due regimi si sovrappongono esattamente sui flussi esaminati dalla decisione LinkedIn.

Perché questo caso è un precedente per ogni titolare del trattamento

La tentazione, leggendo una decisione contro una controllata mondiale di Microsoft, è di archiviarla come "problema delle Big Tech" e supporre che l'analisi non riguardi un'organizzazione di 200 dipendenti a Berlino o di 50 a Lubiana. È una supposizione sbagliata, e la struttura del ragionamento della DPC la rende deliberatamente sbagliata. La DPC non ha fondato la decisione sulle dimensioni di LinkedIn, sulla portata globale, sulla controllante o sul volume di utenti coinvolti. L'ha fondata sull'architettura giuridica del consenso e della base giuridica nel GDPR — un'architettura che si applica uniformemente a un titolare che tratti dati di un solo interessato UE o di cento milioni. Ogni passo dell'analisi della DPC — il test a quattro criteri del consenso ex articolo 4, punto 11; l'interpretazione restrittiva della necessità contrattuale; il bilanciamento in tre fasi del legittimo interesse; il requisito di informazione granulare dell'articolo 13/14, paragrafo 1, lettera c) — si applica a un CRM in un SaaS B2B regionale esattamente come al pipeline pubblicitario globale di LinkedIn.

Ciò che la differenza di dimensione cambia è l'entità della sanzione, non l'esistenza della violazione. L'articolo 83, paragrafo 2, del GDPR elenca i fattori che l'Autorità deve considerare nella commisurazione della sanzione — fra cui la natura, gravità e durata della violazione, le categorie di dati interessati, il grado di cooperazione del titolare e "ogni altra circostanza aggravante o attenuante applicabile al caso". Per una PMI, la stessa violazione che ha generato i 310 milioni di euro a LinkedIn produrrebbe tipicamente una sanzione fra 50.000 € e 500.000 € — comunque significativa, spesso esistenziale, sempre evitabile. Per un'organizzazione intermedia con fatturato annuo fra 50 mln € e 500 mln €, la sanzione analoga si colloca abitualmente fra 1 mln € e 10 mln €. Le fasce di sanzione scalano; l'analisi giuridica no. Leggere la decisione LinkedIn come manuale di ciò che non va fatto è la risposta giusta, qualunque sia la dimensione dell'organizzazione.

Il piano di rimedio in 90 giorni

Per un'organizzazione che è arrivata fin qui e riconosce l'esposizione, ecco un piano di 90 giorni calibrato per un titolare di taglia intermedia con un programma GDPR esistente, ma con investimenti limitati in architettura granulare del consenso o in DPIA sui trattamenti comportamentali. Ogni fase è delimitata da un deliverable chiaro e da un responsabile di approvazione.

Giorni 1-30 — mappatura e gap analysis. Estrarre dal registro dei trattamenti (articolo 30) ogni attività che includa profilazione, inferenza comportamentale, marketing personalizzato, lead scoring, contenuti dinamici o analytics che vadano oltre la soglia aggregato/individuale. Documentare per ciascuna attività: la finalità specifica, le categorie di dati trattati, la base giuridica invocata ex articolo 6, l'esistenza di una DPIA, se l'informativa rivela la base per finalità e se il meccanismo di consenso (ove invocato) è davvero granulare. Il deliverable è un registro con una riga per attività e una colonna dedicata a ogni gap. Approva: il RPD.

Giorni 31-60 — adeguamento architettonico. Sostituire o riconfigurare la CMP in modo che ciascuna finalità abbia un opt-in separato, di default OFF, e produca un registro di consenso per finalità, recuperabile su richiesta dell'interessato. Aggiungere a ogni interfaccia di raccolta una via "Rifiuta tutto" di pari evidenza. Riscrivere l'informativa per indicare, per finalità, la specifica base ex articolo 6 invocata — in linguaggio chiaro, non in gergo giuridico. Effettuare DPIA ex articolo 35 per ogni attività marcata nella fase 1 come profilazione sistematica o analisi comportamentale su larga scala. Approvano: il CTO (per la CMP) e il RPD (per DPIA e informativa).

Giorni 61-90 — operatività e audit. Formare i team rivolti al cliente sui nuovi flussi e sulla gestione delle richieste degli interessati derivanti dalla nuova informativa. Avviare un audit trimestrale di qualità del consenso con metriche: tasso di opt-in per finalità, tasso di rifiuto, tasso di revoca, volume di reclami, tempo di risposta ai diritti. Documentare la cadenza di audit e la via di escalation per scostamenti rilevanti. Informare l'organo di governo della nuova posizione, dei rischi residui rilevati nelle DPIA e del calendario di audit. Approva: l'organo di governo, con il RPD come segretario della riunione. Il deliverable di questa fase è una base di governance sostenibile, capace di sopravvivere al turnover del personale e ai cambi di prodotto.

Autovalutazione: cinque domande prima che le ponga il regolatore

Applicate questo breve test ai vostri trattamenti. Una risposta incerta indica un gap reale.

• Potete indicare, per ciascuna finalità di trattamento, la specifica base giuridica dell'articolo 6, paragrafo 1 (lettere a-f) su cui vi fondate — e produrre la valutazione documentata che la sostiene?
• Se vi fondate sul consenso: la raccolta è realmente granulare (un interruttore per finalità), con opt-in attivo (default OFF, non uso continuato), una via "Rifiuta tutto" di pari evidenza visiva rispetto a "Accetta tutto" e un registro per finalità recuperabile su richiesta dell'interessato?
• Se vi fondate sul legittimo interesse: avete effettuato e documentato un test di bilanciamento in tre fasi (identificazione dell'interesse, valutazione della necessità, bilanciamento con i diritti dell'interessato) — e regge a una contestazione per "mezzi meno invasivi"?
• La vostra informativa indica a ciascun interessato, per ogni finalità, la specifica base giuridica dell'articolo 6 invocata per quella finalità — invece di una formula generica?
• Avete effettuato e documentato una DPIA ex articolo 35 del GDPR per ogni trattamento con profilazione sistematica o analisi comportamentale su larga scala di persone fisiche dell'UE?

Se una di queste domande ha fatto emergere incertezze, la valutazione gratuita di 10 minuti di Viktoria Compliance → mappa la vostra esposizione concreta su tutti i moduli GDPR — inclusi i moduli base giuridica, trasparenza, DPIA e responsabili/trasferimenti, i più direttamente coinvolti dalla decisione LinkedIn — e produce un elenco prioritario di interventi prima che lo faccia un regolatore.

Domande frequenti

Come è stata calcolata la cifra di 310 mln €?

Il totale di 310 mln € è stato strutturato come tre sanzioni amministrative, ciascuna ai sensi degli articoli 58, paragrafo 2, lettera i), e 83 del GDPR. La DPC, nel comunicato pubblico, non ha pubblicato la ripartizione per articolo; il testo integrale della decisione contiene il dettaglio. Ciò che è verificato pubblicamente è che il totale di 310 mln € corrisponde alle violazioni accertate degli articoli 5, paragrafo 1, lettera a), 6, paragrafo 1, 13, paragrafo 1, lettera c) e 14, paragrafo 1, lettera c). La sanzione ricade nella fascia superiore dell'articolo 83, paragrafo 5 — soglia di 20 mln € o del 4 % del fatturato mondiale annuo, qualunque sia il valore più alto. Il fatturato del gruppo LinkedIn colloca i 310 mln € ampiamente al di sotto della soglia legale del 4 %.

Il Comitato europeo ha emesso una decisione vincolante ex articolo 65?

No. La procedura di cooperazione dell'articolo 60 si è svolta senza obiezioni delle Autorità interessate. Il progetto di decisione è stato sottoposto nel luglio 2024; nessun'altra Autorità ha sollevato obiezioni motivate nel termine di legge. Di conseguenza non è stata avviata alcuna procedura di risoluzione delle controversie ex articolo 65 davanti al Comitato europeo per la protezione dei dati. L'assenza di obiezioni significa soltanto che nessuna Autorità interessata ha attivato l'articolo 65; non va descritta come un'approvazione formale dell'importo o della gravità da parte dell'EDPB.

La sanzione è definitiva o l'appello potrà ridurla?

Le constatazioni di merito di violazione degli articoli 5, paragrafo 1, lettera a), 6, paragrafo 1, 13, paragrafo 1, lettera c) e 14, paragrafo 1, lettera c) non sono impugnabili attraverso la via statutaria della sezione 142 — la High Court lo ha confermato nella sua sentenza preliminare del 20 aprile 2026. Il contenzioso più ampio comprende ancora argomenti costituzionali e una revisione giurisdizionale (judicial review); la formulazione più prudente è dunque che le constatazioni restano operanti mentre tali procedimenti proseguono. L'appello verte quindi sull'entità della sanzione e sugli argomenti costituzionali e di Carta. Una riduzione è giuridicamente possibile; un annullamento totale dell'analisi di merito è altamente improbabile. L'ordine di adeguamento ex articolo 58, paragrafo 2, lettera d), resta operativo in ogni caso.

Cosa implica per le aziende B2B che non sono piattaforme pubblicitarie?

Ogni organizzazione che profila persone fisiche dell'UE per marketing, prioritizzazione dei lead, scoring di account o contenuti personalizzati è esposta alla stessa analisi applicata dalla DPC a LinkedIn. Le domande giuridiche sono identiche: quale base ex articolo 6 sostiene la profilazione? Il consenso (se invocato) è libero e granulare? Il legittimo interesse (se invocato) regge il bilanciamento? L'informativa indica la base giuridica per finalità? Un SaaS B2B che opera una piattaforma di account-based marketing deve trattare questa decisione come precedente diretto.

Il GDPR si applica ancora alle organizzazioni britanniche dopo la Brexit?

Sì — in due modi. Il UK GDPR (versione britannica del Regolamento) impone obblighi sostanzialmente identici, applicati dall'Information Commissioner's Office. Il GDPR UE continua ad applicarsi extraterritorialmente alle organizzazioni britanniche che offrono beni o servizi a interessati nell'UE o che monitorano il comportamento di interessati nell'UE (articolo 3, paragrafo 2, del GDPR). Un'azienda britannica con pubblicità comportamentale rivolta all'UE è esposta a entrambi i regimi contemporaneamente.

Qual è una tempistica realistica di adeguamento per un'organizzazione di taglia media?

Per un'organizzazione di taglia media (50-500 dipendenti) con un programma GDPR esistente, un piano di 90 giorni è realistico: 30 giorni per mappare ogni attività di trattamento che includa profilazione o analisi comportamentale e per auditare la base giuridica invocata per ciascuna; 30 giorni per implementare una CMP granulare e riscrivere le informative interessate per soddisfare gli articoli 13/14, paragrafo 1, lettera c); 30 giorni per condurre una DPIA sui trattamenti più rischiosi e attivare il ciclo di audit della qualità del consenso. Per un'organizzazione che parte da una base GDPR debole, la tempistica raddoppia. La valutazione Viktoria Compliance produce una versione prioritaria di questo piano, adattata alle lacune identificate.

Conclusione: l'applicazione non è più un'ipotesi

La decisione LinkedIn chiude un arco di sei anni, aperto dal reclamo di una piccola associazione francese per i diritti digitali e conclusosi con una delle più alte sanzioni pubblicitarie irrogate dalla DPC irlandese. L'analisi giuridica applicata dalla DPC è ormai saldamente ancorata alla giurisprudenza della CGUE e alla prassi delle Autorità di controllo. I controlli tecnici e organizzativi che avrebbero evitato la violazione sono ben documentati, ampiamente disponibili e modesti nel costo rispetto alla sanzione. Le Autorità che in passato erano considerate clementi hanno dimostrato, con questa e altre decisioni recenti, che l'era della clemenza è finita. La domanda per qualsiasi titolare che impieghi profilazione comportamentale, marketing personalizzato, lead scoring o qualunque altro trattamento sistematico di dati UE non è più se il regolatore guarderà. La domanda è se la rimedi azione sarà completata prima — o dopo — che guardi.

Fonti (documenti primari)

• Commissione irlandese per la protezione dei dati, comunicato stampa del 24 ottobre 2024 — "Irish Data Protection Commission fines LinkedIn Ireland €310 million" — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Commissione irlandese per la protezione dei dati, pagina della decisione — "Inquiry into LinkedIn Ireland Unlimited Company - October 2024" — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Commissione irlandese per la protezione dei dati, decisione finale (PDF), 22 ottobre 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Commissione irlandese per la protezione dei dati, registro delle sanzioni con stato del ricorso — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, risposta ufficiale del 24 ottobre 2024 — "Our Response to the Irish Data Protection Commission's Decision" — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, "Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission", 24 ottobre 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, "LinkedIn claims data watchdog's €310m fine is 'penal' sanction", 16 dicembre 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, "High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision" — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• High Court irlandese, LinkedIn Ireland Unlimited Company contro Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Regolamento (UE) 2016/679 (GDPR) — articoli 5, 6, 13, 14, 35, 58, 60, 83 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• CGUE, causa C-604/22, IAB Europe contro Gegevensbeschermingsautoriteit, sentenza del 7 marzo 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• CGUE, causa C-252/21, Meta Platforms Inc. e altri contro Bundeskartellamt, sentenza del 4 luglio 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — pagina di campagna "Personnal Data" — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — annuncio del deposito iniziale dei reclami GAFAM (28 maggio 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Comitato europeo per la protezione dei dati, Opinione 08/2024 sul consenso valido nel contesto dei modelli "consenso o pagamento" (adottata il 17 aprile 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en

Da leggere dopo

La decisione LinkedIn è un nodo di un cluster strettamente collegato di sviluppi regolatori europei. I seguenti articoli coprono i temi connessi — partite da quello più vicino alla vostra preoccupazione attuale.

• Dark pattern e consenso ai cookie nel 2026 — l'errore UX del consenso di LinkedIn nasce dalla stessa architettura che produce le sanzioni sui banner dei cookie. Approfondimento sui flussi di consenso conformi. (/blog/dark-patterns-cookies-2026)
• Articolo 22 del GDPR incontra l'AI Act: decisioni automatizzate nel 2026 — la pubblicità comportamentale è profilazione automatizzata, e dal 2 agosto 2026 l'AI Act sovrappone un secondo regime di conformità. Qui si forma la prossima grande ondata applicativa. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• La scadenza dell'inventario IA del 2 agosto 2026 — chi opera targeting, scoring o personalizzazione ha bisogno di un inventario IA prima dell'applicazione dell'AI Act. Ecco come costruirlo. (/blog/ai-inventory-deadline-august-2026)
• Stato della trasposizione NIS2 in tutta l'UE nel 2026 — la repressione contro le Big Tech è il titolo; NIS2 è la prossima onda che raggiunge le aziende intermedie e le PMI in tutti i 27 Stati membri. (/blog/nis2-transposition-status-eu-2026)
• GDPR + NIS2 + AI Act: lo stack di conformità integrato — gestire tre programmi in silos costa più che gestirne uno integrato. Qui l'architettura strategica. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)