Il Report 2025: cosa dicono davvero i numeri
L’EDPB ha pubblicato il 9 aprile 2026 il Report Annuale 2025, intitolato “Clarity in action: Supporting stakeholders through guidance and dialogue”. Un documento di 44 pagine che fotografa lo stato dell’enforcement GDPR in Europa. Qui trovate i numeri ufficiali e cosa significano per la vostra compliance GDPR.
€1,15 miliardi di sanzioni
Il dato da cui partire: le DPA nazionali europee hanno inflitto nel 2025 sanzioni per un totale di €1.145.760.374. Un miliardo e 145 milioni. Non è un record assoluto, ma è una cifra consolidata che smentisce l’idea del GDPR come “tigre di carta”.
Sanzioni per paese — i numeri ufficiali
| Paese | N. multe | Importo totale |
|---|---|---|
| Ireland | 4 | €530.773.000 |
| France | 84 | €486.854.500 |
| Germany (tutti i Länder) | 499 | €48.117.083 |
| Spain | 324 | €45.203.465 |
| Italy | 190 | €14.977.860 |
| Croatia | 13 | €6.725.500 |
| Finland | 3 | €3.765.000 |
| Estonia | 5 | €3.088.100 |
| Slovakia | 542 | €468.953 |
Cosa dicono questi numeri
Ireland domina per valore con sole 4 decisioni. Il motivo è la TikTok Decision del DPC: €530 milioni per trasferimenti di dati verso la Cina senza valutazione adeguata dei rischi. Una sola sanzione pesa quanto tutte le altre irlandesi messe insieme. Il meccanismo One-Stop-Shop concentra in Irlanda i casi Big Tech.
France è seconda con €486,8 milioni in 84 casi. La CNIL è la DPA più “muscolare” in termini di enforcement continuativo, con azioni coordinate su cookies, data security e monitoring dei dipendenti.
Germany è strutturalmente diversa: 499 multe spalmate su tutti i Länder, importi medi contenuti. Enforcement capillare ma meno eclatante.
Italy: 190 sanzioni per €15 milioni. Il dato non include la sanzione da €31,8 milioni a Intesa Sanpaolo del marzo 2026, fuori dal periodo di rilevazione.
Cooperazione cross-border
| Metrica | Valore |
|---|---|
| Casi cross-border creati (IMI) | 414 |
| Procedure One-Stop-Shop avviate (Art. 60) | 1.299 |
| Decisioni OSS finali | 572 |
| LSA/CSA identification procedures | 1.173 |
| Mutual assistance (Art. 61) | 376 |
| Assistenza su base volontaria | 4.200 |
| Binding decisions adottate dall’EDPB | 0 |
Il dato più interessante è l’ultimo: zero binding decisions nel 2025. Nel biennio 2023-2024 erano state uno strumento di pressione su alcune DPA capofila. Nel 2025 nessuna. Segnale di maggior allineamento tra DPA, o di minor tensione dopo i casi eclatanti precedenti? Probabilmente entrambi.
Il numero di procedure OSS avviate (1.299) contro le 572 decisioni finali mostra che il meccanismo è attivo ma con tempi di chiusura lunghi. Per le aziende multinazionali significa che un reclamo in uno Stato membro può attivare un procedimento coordinato che dura anni.
Helsinki Statement: cosa arriva nel 2026
L’EDPB ha adottato al meeting di alto livello di Helsinki (1-2 luglio 2025) una statement che ridefinisce la strategia su 3 pilastri:
Pilastro 1 — GDPR made easy
Semplificazione della compliance. Deliverable 2026:
- DPIA template ufficiale EDPB (early 2026)
- Data breach notification template (2026)
- Ulteriori template e materiali pratici durante l’anno
Pilastro 2 — Greater consistency & enforcement
Maggiore coerenza tra DPA. Deliverable 2026:
- Form sul sito EDPB per segnalare inconsistenze tra guidance nazionale ed EDPB (early 2026)
- Workshop su gestione complaint tra DPA (marzo 2026)
Pilastro 3 — Strengthened stakeholder dialogue
Dialogo con le parti interessate. Deliverable 2026:
- Report su consultazione pubblica guidelines blockchain
- Report su stakeholder event anonimizzazione/pseudonimizzazione
Cross-regulatory cooperation
Un pilastro trasversale. Nel 2025 l’EDPB ha pubblicato le prime Joint Guidelines EDPB-Commissione su DMA-GDPR (ottobre 2025). Nel 2026 arrivano le Joint Guidelines su AI Act + GDPR, in corso con l’AI Office.
Le linee guida adottate nel 2025
L’EDPB ha adottato 6 set di linee guida rilevanti nel 2025:
- Guidelines 01/2025 — Pseudonimizzazione (gennaio 2025)
- Recommendations 01/2025 — WADA 2027 Anti-Doping Code (febbraio 2025)
- Guidelines 02/2025 — Blockchain technologies (aprile 2025)
- Guidelines 02/2024 — Art. 48 GDPR finale, trasferimenti a autorità di paesi terzi (giugno 2025)
- Guidelines 03/2025 — Interplay DSA-GDPR (settembre 2025)
- Joint Guidelines EDPB-Commissione — DMA-GDPR (ottobre 2025)
Le opinioni adequacy
L’EDPB ha adottato 5 opinioni adequacy nel 2025:
- UK GDPR — Opinion 26/2025 (ottobre), adeguatezza confermata fino a dicembre 2031
- UK LED — Opinion 27/2025 (ottobre), adeguatezza per Law Enforcement Directive
- European Patent Organisation — Opinion 07/2025 (maggio), prima opinione per un’organizzazione internazionale
- Brasile — Opinion 28/2025 (novembre)
- WADA 2027 Anti-Doping Code — Recommendations 01/2025
Cosa significa per la vostra azienda
Se siete in regola
Verificate comunque. Le aree sotto scrutinio cambiano ogni anno. Il CEF 2026 (Coordinated Enforcement Framework) dell’EDPB è focalizzato su trasparenza e informative. 25 DPA partecipano. Se la vostra informativa privacy non è aggiornata da un paio d’anni, è il momento di rivederla.
Se non avete mai fatto un audit serio
€1,15 miliardi di sanzioni GDPR in un anno solo significano che il rischio non è teorico. L’adeguamento GDPR richiede periodicità, non è un progetto one-shot. Un audit identifica le lacune prima che le trovi un’autorità.
Se trasferite dati fuori UE
Il caso TikTok €530M del DPC è il segnale che i trasferimenti internazionali restano il tema più esplosivo del GDPR. Se la vostra TIA (Transfer Impact Assessment) è vecchia o mai fatta, iniziate dal censimento di tutti i vendor e sub-processor che trasferiscono dati extra-UE.
Se operate in più Stati UE
414 casi cross-border significano che il meccanismo One-Stop-Shop è attivo e in crescita. La vostra DPA capofila potrebbe ricevere un reclamo da un’altra autorità in qualsiasi momento. Coerenza tra i vari Stati membri non è più opzionale.
In sintesi
Il GDPR ha otto anni. L’enforcement è maturo, coordinato e in crescita. L’EDPB con la Helsinki Statement segnala un’apertura al dialogo e alla semplificazione (DPIA template, guidance congiunte con la Commissione). Ma la semplificazione non è un alleggerimento — è una razionalizzazione. Le sanzioni parlano chiaro.
La consulenza GDPR specializzata vi aiuta a essere dalla parte giusta di questi numeri — non dopo un’ispezione, ma prima.
Fonte primaria: EDPB Annual Report 2025 (PDF completo)