Violazioni del GDPR: nel 2025 oltre 300 multe per 1,1 miliardi di euro

Le statistiche di GDPR Enforcement Tracker indicano che nel 2025 le autorità per la protezione dei dati dei paesi dello Spazio Economico Europeo (SEE) hanno comminato 335 sanzioni per violazioni del GDPR per un ammontare complessivo di 1,1 miliardi di euro.

I dati cumulativi sembrano rilevare un'attività sanzionatoria da parte delle autorità di controllo durante lo scorso anno con una media di circa una sanzione al giorno per un importo medio di 3,2 milioni di euro. Se si analizzano le 10 multe più elevate del 2025, emerge che il 91% del totale si concentra però in sole 3 sanzioni: 

• TikTok (ByteDance) per 530 milioni di euro comminata dall’autorità irlandese (Data Protection Commission) per violazioni della normativa sui trasferimenti di dati personali degli utenti dello Spazio Economico Europeo (SEE) alla Cina e ai requisiti di trasparenza richiesti dal GDPR;
• Google per 325 milioni di euro, per violazioni contestate dal garante francese (CNIL) sulla normative sui cookie nella fase di creazione degli account e la visualizzazione di annunci pubblicitari su gmail senza un consenso valido degli utenti;
• Shein per 150 milioni di euro, inflitta sempre dalla CNIL per pratiche non conformi sul posizionamento dei cookie senza il consenso dell'utente, e l'uso di “cookie wall" come condizione per accedere ai servizi.

Oltre a questi provvedimenti sanzionatori che si sono aggiudicati il "podio" nel 2025, e che da soli totalizzano la ragguardevole cifra di 1 miliardo di euro, nella classifica delle dieci multe più elevate comminate lo scorso anno seguono: 

• Vodafone per 45 milioni di euro, inflitta dal Commissario federale per la protezione dei dati e la libertà di informazione della Germania per non aver controllato le agenzie partner che avevano usato i dati personali dei clienti senza consenso e per delle vulnerabilità che hanno permesso di accedere ai profili eSIM degli utenti; 
• AENA per 10 milioni di euro, fatta dal Garante della privacy spagnolo (AEPD) per l’utilizzo illecito di dati biometrici (riconoscimento facciale incluso) in un progetto pilota che aveva coinvolto diversi aeroporti, senza aver effettuato neanche una valutazione d’impatto come richiesto dal GDPR; 
• Poczta Polska per oltre 6 milioni di euro, irrogata dall’autorità polacca all’operatore postale nazionale per l'elaborazione senza una valida base giuridica di dati personali di 30 milioni di cittadini dal database PESEL nell'organizzazione di una tornata elettorale del 2020 per consentire agli elettori di esprimere i loro voti per corrispondenza durante la pandemia di Covid-19; 
• Luka Inc. per 5 milioni di euro, inflitta dal Garante italiano alla società sviluppatrice del chatbot Replika per assenza di valida base giuridica, carenze informative e insufficiente tutela dei minori, in uno dei primi casi europei di enforcement rilevante nel settore dell’AI generativa; 
• Operatore di telecomunicazioni per 4,5 milioni di euro, fatta dall’autorità croata (AZOP) per molteplici violazioni del GDPR, riguardanti tra le varie trasferimenti di dati all’estero senza adeguate garanzie, mancanza di valutazione del rischio, informazioni agli interessati non trasparenti, raccolta illecita di copie di documenti d'identità e certificati di assenza di procedimenti penali senza una valida base giuridica, nonché omissione di controlli sulle misure di sicurezza di un responsabile del trattamento; 
• ING Bank Śląski per 4,3 milioni di euro, irrogata alla banca dal garante polacco per aver scansionato i documenti di identità dei clienti e dei potenziali clienti senza valutazione del rischio e senza verificare se tale trattamento di dati fosse giustificato dai requisiti richiesti per le misure di sicurezza finanziaria ai sensi della legge antiriciclaggio e finanziamento del terrorismo (AML); 
• McDonald’s Polska Sp. z o.o. per 4 milioni di euro, comminata sempre dal Garante polacco (UODO) per gravi irregolarità nella gestione dei dati dei candidati a posizioni di lavoro, riguardanti anche procedure di selezione del personale affidate a soggetti terzi senza garantire adeguati accordi contrattuali e senza un controllo effettivo sulle modalità di trattamento. Inoltre, l’Autorità ha richiamato l’art. 38 del GDPR sul ruolo e l’indipendenza del Data Protection Officer.

Le statistiche disponibili su GDPR Enforcement Tracker possono subire variazioni perché alcune sanzioni sono state emesse nella parte conclusiva dell’anno e che potrebbero non essere ancora state registrate sul portale, ma il quadro generale del 2025 è ormai consolidato.

Se dalle medie assolute si tolgono i 10 provvedimenti sanzionatori più elevati, la media di ciascuna multa si ridimensiona a 298mila euro, importo che rende il quadro più realistico, per comprendere il trend delle autorità di controllo e determinare la potenziale forbice dell’entità delle sanzioni che possono attendersi le imprese in caso di violazioni in tema di protezione dei dati personali.