Il Comitato europeo per la protezione dei dati ha pubblicato oggi, 9 aprile 2026, la sua relazione annuale relativa all’anno 2025. Il documento – quarantaquattro pagine di dati, orientamenti, casi nazionali e prospettive – fotografa dodici mesi in cui il panorama normativo europeo ha continuato ad espandersi rapidamente, aggiungendo complessità a un ecosistema già denso di obblighi e sovrapposizioni tra regolamenti diversi. Il comitato è l’organismo indipendente che riunisce le autorità di protezione dei dati di tutti gli Stati membri dell’Unione, coordina l’applicazione del GDPR su scala continentale e adotta orientamenti vincolanti o di indirizzo su questioni che toccano milioni di organizzazioni e miliardi di persone.
Il Digital Omnibus e la battaglia sulla definizione di dato personale
Il punto più rilevante sul piano politico riguarda la proposta della Commissione europea nota come Digital Omnibus, lanciata a novembre 2025 con l’obiettivo dichiarato di ridurre gli oneri amministrativi per le imprese. Tra le misure previste c’era una modifica alla definizione stessa di dato personale contenuta nel GDPR. Il comitato, insieme al Garante europeo della protezione dei dati, ha adottato un parere congiunto all’inizio del 2026 che ha chiesto esplicitamente ai co-legislatori di non approvare quella modifica. La motivazione è diretta: la proposta va molto al di là di un aggiustamento tecnico, non riflette la giurisprudenza della Corte di giustizia dell’Unione europea e, se approvata, restringerebbe in modo significativo il concetto di dato personale, riducendo di fatto la platea di soggetti e trattamenti coperti dalle tutele attuali.
Si tratta di una presa di posizione politicamente pesante, che arriva mentre il processo legislativo è ancora aperto e mentre la Commissione spinge per alleggerire la compliance in nome della competitività europea. Il comitato ha detto, con chiarezza, che semplificazione e deregolamentazione sono cose diverse.
Zero decisioni vincolanti: cooperazione cresciuta o meno trasparenza?
Nel 2025 il comitato non ha adottato nessuna decisione vincolante. Il rapporto lo presenta come un segnale incoraggiante: le autorità nazionali hanno imparato a convergere sulle questioni transfrontaliere senza che il meccanismo di escalation si attivasse, il che dimostrerebbe una maturità operativa del sistema. Può essere letto anche da una prospettiva diversa, però. Le decisioni vincolanti sono strumenti formali che producono riferimenti pubblici, motivazioni scritte, orientamenti giurisprudenziali accessibili a tutti. Meno decisioni vincolanti significa meno materiale di riferimento per avvocati, compliance officer e imprese che cercano certezza giuridica su situazioni complesse. Il comitato ha migliorato la cooperazione interna, ma ha al tempo stesso ridotto la produzione di precedenti formali.
TikTok e i 530 milioni: la sanzione più alta dell’anno
Il totale aggregato delle sanzioni irrogate nel 2025 dalle autorità nazionali di protezione dei dati ha raggiunto 1,15 miliardi di euro. Il numero impressiona, ma nasconde una distribuzione tutt’altro che uniforme, sia geograficamente sia per tipologia di soggetto colpito.
La voce che da sola domina il quadro è quella irlandese. L’autorità di Dublino ha concluso un procedimento avviato nel settembre 2021 contro TikTok Technology Limited, infliggendo una multa da 530 milioni di euro per i trasferimenti di dati degli utenti dello Spazio economico europeo verso la Cina, effettuati senza le garanzie richieste dal GDPR. Quasi la metà dell’intero totale europeo annuale, prodotta da un singolo caso, istruito in quasi quattro anni di procedimento e ancora appellabile al momento della pubblicazione del rapporto. È il provvedimento sanzionatorio più pesante mai inflitto a un’azienda del settore social media al di fuori della famiglia Meta, e conferma che la questione dei trasferimenti verso paesi terzi – in particolare verso la Cina – rimane uno dei fronti più caldi dell’enforcement europeo.
La Francia si posiziona al secondo posto per volume complessivo, con 84 procedimenti conclusi e sanzioni per quasi 487 milioni di euro. Il dato riflette la struttura operativa della CNIL, che mantiene tra le autorità europee uno dei ritmi di lavoro più sostenuti. Tra i casi segnalati nel rapporto figura una sanzione da un milione di euro a una società di sviluppo software per violazione degli obblighi di sicurezza nella gestione dei dati personali, e una da 100.000 euro a un’azienda retail per l’installazione di telecamere nascoste in un punto vendita, con contestuale violazione dei principi di minimizzazione dei dati e mancato coinvolgimento del responsabile della protezione dei dati.
La Germania, con i suoi Länder e l’autorità federale che operano in parallelo, totalizza 499 procedimenti e circa 48 milioni di euro. I numeri mostrano un sistema che interviene con frequenza elevata su violazioni di dimensione media. Tra i casi rilevanti: l’autorità federale ha inflitto sanzioni per 15 e 30 milioni di euro a un operatore di telecomunicazioni per controllo insufficiente sui responsabili del trattamento e per vulnerabilità nel processo di autenticazione dei clienti, che aveva permesso accessi non autorizzati ai profili eSIM. L’autorità di Amburgo ha invece sanzionato con 492.000 euro un istituto finanziario per violazioni nel processo di decisione automatizzata sul credito: i clienti si erano visti rifiutare richieste di carta di credito attraverso algoritmi privi di supervisione umana, e l’azienda non aveva adempiuto agli obblighi informativi previsti dall’articolo 22 del GDPR.
La Spagna ha prodotto 324 procedimenti per oltre 45 milioni di euro totali. Il caso più significativo riguarda AENA, la società pubblica di gestione aeroportuale, sanzionata con oltre 10 milioni di euro per l’uso di un sistema di riconoscimento facciale per il controllo degli accessi dei passeggeri in alcune aree degli aeroporti, senza aver dimostrato la necessità e la proporzionalità della misura rispetto agli obiettivi perseguiti. Il provvedimento include anche la sospensione temporanea di tutti i trattamenti di dati biometrici fino al completamento di una valutazione d’impatto conforme all’articolo 35 del GDPR. Nello stesso paese, Carrefour ha ricevuto una multa da 3,2 milioni di euro per una serie di violazioni della sicurezza ripetute nel tempo e per comunicazione inadeguata alle persone coinvolte nelle violazioni stesse.
Il dato che attraversa tutti questi numeri, e che il rapporto non esplicita ma lascia leggere, è che l’applicazione del GDPR in Europa rimane strutturalmente frammentata. Un trattamento identico può produrre conseguenze sanzionatorie molto diverse a seconda dello Stato membro in cui viene contestato, della dimensione dell’autorità che istruisce il caso e del tempo che quell’autorità riesce a dedicare al singolo procedimento. La dichiarazione di Helsinki e le iniziative di coordinamento del 2025 vanno esattamente in questa direzione, ma i risultati concreti sul piano dell’uniformità applicativa si misurano in anni, non in mesi.
Italia: tanti procedimenti, sanzioni contenute e un Garante che punta sulla compliance
E l’Italia? Nel panorama europeo l’Italia occupa una posizione peculiare, che si differenzia da tutte le altre. Nel 2025 il Garante ha concluso 190 procedimenti, terzo posto in Europa per numero di interventi, ma il totale delle sanzioni si ferma a quasi 15 milioni di euro, con una media per procedimento intorno agli 80.000 euro. Lontano dai livelli francesi e irlandesi.
I due casi citati dal rapporto sono emblematici. ACEA Spa ha ricevuto 3 milioni di euro per telemarketing aggressivo con utilizzo illecito di dati nel settore energia, categoria che il Garante presidia con continuità da anni. BBVA è stata sanzionata con 100.000 euro per mancata risposta a una richiesta di accesso ai propri dati da parte di un utente. Casi ordinari, che non producono giurisprudenza di sistema.
Quello che il rapporto non cita è altrettanto significativo: nessun procedimento di grande rilevanza contro piattaforme tecnologiche, nessuna sanzione nell’ordine delle decine di milioni. Il blocco temporaneo di ChatGPT nel 2023 e i procedimenti su Clearview AI avevano proiettato il Garante italiano in una posizione di avanguardia nel dibattito europeo. Nel 2025 quella visibilità sembra essersi attenuata.
La spiegazione più probabile, però, è strutturale. Le grandi multinazionali tecnologiche con sede in Irlanda o Lussemburgo ricadono quasi sempre sotto altre giurisdizioni attraverso il meccanismo dello sportello unico, tenendo l’Italia fuori dai procedimenti che fanno notizia. Il Garante lavora su imprese italiane di dimensione media, pubbliche amministrazioni, operatori energetici e sanitari, con un approccio orientato alla compliance diffusa più che alla deterrenza esemplare. Un modello che ha senso in un tessuto economico fatto prevalentemente di piccole e medie imprese, ma che produce scarsa visibilità europea e pochi precedenti formali di riferimento.
La taskforce sull’intelligenza artificiale generativa e il problema delle entità senza sede in Europa
Nel 2025 il mandato della taskforce nata originariamente per coordinare le indagini su ChatGPT è stato esteso a tutta la categoria dell’intelligenza artificiale generativa. L’obiettivo dichiarato è costruire una piattaforma di scambio tra autorità nazionali che permetta di coordinare indagini e comunicazione esterna sulle attività di enforcement in questo settore. Il punto operativamente rilevante è che il focus si concentra in modo specifico sulle entità senza stabilimento in Europa. Questo significa che il comitato sta lavorando a meccanismi per esercitare giurisdizione su aziende che offrono servizi ai cittadini europei ma che non hanno una sede legale all’interno dell’Unione, aggirando così il meccanismo dello sportello unico che ha finora canalizzato la maggior parte dei procedimenti verso un numero ristretto di autorità, principalmente quella irlandese.
Il carico operativo interno: quasi triplicato, con le stesse strutture
Un dato che emerge dalla sezione dedicata al segretariato e che nessun comunicato stampa ha evidenziato: le richieste di assistenza gestite sui sistemi informatici interni sono passate da 4.200 nel 2024 a oltre 10.000 nel 2025. Il segretariato ha organizzato più di 500 riunioni, gestito 15 procedimenti davanti alla Corte di giustizia dell’Unione europea e supportato un volume crescente di consultazioni pubbliche, eventi con stakeholder e lavori preparatori sui nuovi orientamenti. La responsabile del segretariato, Isabelle Vereecken, ha segnalato nel rapporto che i livelli attuali di personale non corrispondono più alle esigenze reali, e ha ricordato che un aumento di organico per il 2026 è stato ottenuto solo a fronte di vincoli di bilancio stringenti. Un organismo che decide su miliardi di euro di sanzioni e su norme che toccano l’intera economia digitale europea lavora con risorse che crescono molto più lentamente dei compiti assegnati.
Il 2026 si apre quindi con una serie di dossier già sul tavolo: le linee guida congiunte con la Commissione sull’interazione tra il regolamento sull’intelligenza artificiale e le norme sulla protezione dei dati, i template operativi promessi con la dichiarazione di Helsinki e la trattativa ancora aperta sul Digital Omnibus. Se la posizione assunta sul punto della definizione di dato personale verrà mantenuta nelle sedi istituzionali, il comitato si troverà in una posizione di conflitto esplicito con la Commissione su uno dei punti più sensibili della riforma normativa in corso.
