Sanzioni e Statistiche di Applicazione del GDPR 2026: I Dati Definitivi sulla Protezione dei Dati nell'UE
Dall'inizio dell'applicazione nel maggio 2018, il Regolamento Generale sulla Protezione dei Dati ha generato oltre 4 miliardi di EUR in sanzioni, decine di migliaia di decisioni di applicazione e piu di 130.000 notifiche di violazione dei dati all'anno. Il GDPR rimane il punto di riferimento per la regolamentazione della protezione dei dati a livello mondiale, e i suoi dati di applicazione rivelano modelli che ogni organizzazione che tratta dati personali dell'UE dovrebbe comprendere.
Questa pagina raccoglie statistiche verificate sulle sanzioni GDPR, azioni di applicazione, ripartizioni per paese, notifiche di violazione dei dati, costi di conformita e attivita regolatoria. Ogni dato proviene dal Comitato Europeo per la Protezione dei Dati (EDPB), dalle autorita nazionali per la protezione dei dati e da rapporti di settore verificati.
Sanzioni GDPR Totali
| Statistica | Fonte |
|---|---|
| Sanzioni GDPR totali registrate (da sempre): circa EUR 4 miliardi | Privacy Affairs GDPR Fines Tracker |
| Numero totale di sanzioni individuali registrate: 1.701 | Privacy Affairs GDPR Fines Tracker |
| Sanzioni totali emesse nel solo 2023 (DPA del SEE): EUR 1.973.832.107 | EDPB Annual Report 2023, pp. 36-37 |
| Numero totale di sanzioni emesse nel 2023: 1.763 | EDPB Annual Report 2023, pp. 36-37 |
| Sanzioni derivanti da decisioni vincolanti dell'EDPB dal 2018: oltre EUR 2,5 miliardi | EDPB Annual Report 2023, p. 14 |
| Quota delle sanzioni da decisioni vincolanti EDPB sul totale: circa il 55% | EDPB Annual Report 2023, p. 14 |
| Sanzione GDPR piu bassa mai registrata: EUR 28 (Hungary, novembre 2020) | Privacy Affairs GDPR Fines Tracker |
Le 20 Sanzioni GDPR Piu Elevate di Sempre
| Pos. | Azienda | Importo (EUR) | Paese/DPA | Anno | Motivo |
|---|---|---|---|---|---|
| 1 | Meta Platforms (Facebook) | 1.200.000.000 | Ireland (DPC) | 2023 | Trasferimento illecito di dati degli utenti UE negli USA tramite Clausole Contrattuali Standard |
| 2 | Amazon Europe | 746.000.000 | Luxembourg (CNPD) | 2021 | Non conformita al GDPR riguardo alla pubblicita mirata senza consenso adeguato |
| 3 | Meta (Instagram) | 405.000.000 | Ireland (DPC) | 2022 | Trattamento dei dati personali dei minori; impostazioni pubbliche predefinite per gli account dei minori |
| 4 | Meta (Facebook) | 390.000.000 | Ireland (DPC) | 2023 | Utilizzo del "contratto" come base giuridica per il trattamento di pubblicita comportamentale |
| 5 | TikTok Technology | 345.000.000 | Ireland (DPC) | 2023 | Pratiche di design ingannevoli rivolte ai minori di eta compresa tra 13 e 17 anni |
| 6 | Uber | 290.000.000 | Netherlands (AP) | 2024 | Trasferimento illecito dei dati personali degli autisti europei negli Stati Uniti |
| 7 | Meta (WhatsApp) | 225.000.000 | Ireland (DPC) | 2021 | Mancanza di trasparenza; informazioni inadeguate fornite a utenti e non utenti |
| 8 | France (CNIL) - Google LLC | 50.000.000 | France (CNIL) | 2019 | Base giuridica insufficiente; mancanza di trasparenza e consenso per la personalizzazione degli annunci |
| 9 | Criteo | 40.000.000 | France (CNIL) | 2023 | Tracciamento degli utenti senza consenso valido per la pubblicita mirata |
| 10 | H&M | 35.258.708 | Germany (HmbBfDI) | 2020 | Sorveglianza estesa dei dipendenti; registrazione di dettagli della vita privata |
| 11 | Enel Energia | 26.500.000 | Italy (Garante) | 2021 | Telemarketing aggressivo senza consenso |
| 12 | British Airways | 22.046.000 | UK (ICO) | 2020 | Misure di sicurezza insufficienti; circa 500.000 clienti coinvolti nella violazione dei dati |
| 13 | Marriott International | 20.450.000 | UK (ICO) | 2020 | Sicurezza insufficiente; 30 milioni di record del SEE esposti dal 2014 |
| 14 | Clearview AI | 20.000.000 | France (CNIL) | 2022 | Trattamento illecito di dati biometrici; raccolta di immagini facciali senza consenso |
| 15 | Clearview AI | 20.000.000 | Italy (Garante) | 2022 | Trattamento biometrico illecito (stesse pratiche della Francia) |
| 16 | Clearview AI | 20.000.000 | Greece (HDPA) | 2022 | Trattamento biometrico illecito (stesse pratiche di Francia e Italia) |
| 17 | CaixaBank | 6.000.000 | Spain (AEPD) | 2021 | Trattamento dei dati senza consenso valido |
| 18 | Spotify | ~5.000.000 | Sweden (IMY) | 2023 | Violazione del diritto di accesso dei clienti ai sensi dell'Articolo 15 del GDPR |
| 19 | Moderna Forsakringar | ~3.000.000 | Sweden (IMY) | 2023 | Mancata garanzia di sicurezza adeguata; 650.000 record di clienti accessibili |
| 20 | OPENBANK | 2.500.000 | Spain (AEPD) | 2023 | Mancata abilitazione di comunicazioni sicure per i dati finanziari |
Fonti: EDPB Annual Report 2023; Privacy Affairs GDPR Fines Tracker; GDPR Enforcement Tracker (enforcementtracker.com)
Sanzioni GDPR per Paese (2023)
La tabella seguente mostra l'attivita sanzionatoria di ogni autorita per la protezione dei dati del SEE nel 2023, basata sui dati ufficiali comunicati all'EDPB.
Per Importo Totale delle Sanzioni (2023)
| Pos. | Paese | Numero di Sanzioni | Importo Totale delle Sanzioni (2023) |
|---|---|---|---|
| 1 | Ireland | 6 | EUR 1.551.782.500 |
| 2 | Netherlands | 8 | EUR 243.160.000 |
| 3 | France | 37 | EUR 79.164.500 |
| 4 | Spain | 367 | EUR 29.817.410 |
| 5 | Italy | 146 | EUR 25.200.000 |
| 6 | Sweden | 11 | EUR 10.780.000 |
| 7 | Germany (tutti i Lander) | 469 | EUR 9.743.930 |
| 8 | Norway | 7 | EUR 8.500.000 |
| 9 | Croatia | 28 | EUR 8.266.350 |
| 10 | Denmark | 5 | EUR 2.100.000 |
| 11 | Hungary | 95 | EUR 1.380.334 |
| 12 | Greece | 12 | EUR 636.000 |
| 13 | Iceland | 12 | EUR 537.000 |
| 14 | Finland | 3 | EUR 464.600 |
| 15 | Romania | 68 | EUR 444.622 |
| 16 | Portugal | 48 | EUR 367.450 |
| 17 | Austria | 55 | EUR 254.075 |
| 18 | Poland | 24 | EUR 213.820 |
| 19 | Estonia | 12 | EUR 213.300 |
| 20 | Bulgaria | 93 | EUR 159.931 |
| 21 | Czech Republic | 23 | EUR 140.000 |
| 22 | Slovakia | 47 | EUR 122.665 |
| 23 | Cyprus | 11 | EUR 120.250 |
| 24 | Belgium | 3 | EUR 80.000 |
| 25 | Lithuania | 13 | EUR 64.060 |
| 26 | Slovenia | 77 | EUR 56.910 |
| 27 | Malta | 3 | EUR 32.500 |
| 28 | Latvia | 3 | EUR 22.900 |
| 29 | Luxembourg | 3 | EUR 6.500 |
| 30 | Liechtenstein | 1 | EUR 500 |
| TOTALE | 1.763 | EUR 1.973.832.107 |
Fonte: EDPB Annual Report 2023, pp. 36-37
Classifica Storica per Importo Totale delle Sanzioni
| Pos. | Paese | Sanzioni Totali (da sempre) |
|---|---|---|
| 1 | Ireland | EUR 2.510.165.800 |
| 2 | Luxembourg | EUR 746.312.300 |
| 3 | France | EUR 293.594.300 |
| 4 | Italy | EUR 144.195.096 |
| 5 | United Kingdom | EUR 75.452.800 |
Fonte: Privacy Affairs GDPR Fines Tracker
Classifica Storica per Numero di Sanzioni
| Pos. | Paese | Numero Totale di Sanzioni |
|---|---|---|
| 1 | Spain | 594 |
| 2 | Italy | 244 |
| 3 | Romania | 126 |
| 4 | Germany | 122 |
| 5 | Hungary | 66 |
Fonte: Privacy Affairs GDPR Fines Tracker
Articoli del GDPR Piu Violati
I dati di applicazione rivelano modelli costanti riguardo agli articoli del GDPR piu frequentemente citati nelle sanzioni.
| Articolo | Descrizione | Modello di Applicazione | Fonte |
|---|---|---|---|
| Art. 5 | Principi del trattamento (liceita, correttezza, trasparenza, limitazione delle finalita, minimizzazione dei dati) | Articolo piu frequentemente citato nelle sanzioni in assoluto | Privacy Affairs Tracker; EDPB AR 2023 |
| Art. 6 | Liceita del trattamento (base giuridica) | Secondo piu comune - alla base di molte sanzioni di alto valore | Privacy Affairs Tracker; enforcementtracker.com |
| Art. 32 | Sicurezza del trattamento | Terzo piu comune - frequentemente citato nelle sanzioni relative a violazioni | EDPB AR 2023 case digest, p. 34 |
| Art. 13/14 | Obblighi informativi (trasparenza) | Molto comune in tutte le DPA | Privacy Affairs Tracker |
| Art. 15 | Diritto di accesso | Comune - guidato dai reclami dei consumatori (es. Spotify EUR 5M) | EDPB AR 2023, p. 56 |
| Art. 33/34 | Obblighi di notifica delle violazioni | Comune nei casi relativi a violazioni dei dati | EDPB AR 2023 case digest, p. 34 |
| Art. 25 | Protezione dei dati fin dalla progettazione e per impostazione predefinita | In aumento - citato nei casi TikTok e simili | EDPB AR 2023, pp. 17-18 |
| Art. 44-49 | Trasferimenti internazionali (Capo V) | Alla base delle sanzioni di valore piu elevato (Meta EUR 1,2 miliardi) | EDPB AR 2023, p. 16 |
Nota: le DPA applicano spesso gli Articoli 32, 33 e 34 congiuntamente nelle decisioni relative a violazioni dei dati. Il case digest 2023 dell'EDPB ha analizzato 90 decisioni One-Stop-Shop specificamente sulla sicurezza del trattamento e la notifica delle violazioni.
Fonte: EDPB Annual Report 2023; Privacy Affairs Tracker
Azioni di Applicazione e Reclami GDPR
Attivita delle DPA Nazionali (2023)
| Paese | Reclami Ricevuti | Indagini | Sanzioni |
|---|---|---|---|
| Spain | 18.879 | 291 | 367 sanzioni + 266 ordini di conformita |
| Sweden | 3.553 | 210 | 11 sanzioni |
| Austria | 1.732 | 536 | 55 sanzioni |
| Bulgaria | 1.497 | 890 | 93 sanzioni |
| Cyprus | 437 | 14 (+11 in loco) | 54 decisioni (11 sanzioni) |
| Croatia | 279 | 447 | 28 sanzioni |
Fonte: EDPB Annual Report 2023, Sezione 3.4, pp. 38-56
Cooperazione Transfrontaliera (2023)
| Metrica | Valore |
|---|---|
| Casi transfrontalieri creati nel 2023 | 366 |
| Procedure One-Stop-Shop totali (da sempre fino al 2023) | 1.023 |
| Decisioni finali OSS (da sempre fino al 2023) | 442 |
| Percentuale di decisioni OSS passate alla risoluzione delle controversie dell'EDPB | ~1% |
| Decisioni vincolanti totali emesse dall'EDPB (da sempre) | 11 (incluse 2 decisioni urgenti ai sensi dell'Articolo 66) |
| Decisioni vincolanti adottate nel 2023 | 3 |
| Pareri di coerenza totali adottati (da sempre fino al 2023) | 182 |
| Procedure facilitate dal sistema IMI nel 2023 | 4.580+ |
Fonte: EDPB Annual Report 2023, pp. 14, 16, 19-20, 33
Notifiche di Violazione dei Dati
| Statistica | Fonte |
|---|---|
| Oltre 130.000 notifiche di violazione dei dati nel 2023 | DLA Piper GDPR Fines and Data Breach Survey (gennaio 2024), ampiamente citato |
| Circa 120.000 notifiche di violazione nel 2022 | DLA Piper (gennaio 2023) |
| Il numero di notifiche di violazione e aumentato ogni anno dall'inizio dell'applicazione del GDPR nel maggio 2018 | Sondaggi annuali DLA Piper |
Nota: i dati aggregati a livello UE sulle notifiche di violazione dei dati non vengono pubblicati dall'EDPB. Il sondaggio annuale di DLA Piper e la fonte principale per i dati sulle notifiche di violazione tra le diverse DPA.
Costi delle Violazioni dei Dati
IBM Cost of a Data Breach Report 2025
| Statistica | Fonte |
|---|---|
| Costo medio globale di una violazione dei dati: $4,4 milioni USD | IBM Cost of a Data Breach Report 2025 |
| Variazione anno su anno: diminuzione del 9% (grazie a una identificazione e contenimento piu rapidi) | IBM 2025 |
| Risparmio sui costi grazie a strumenti di sicurezza basati sull'IA: $1,9 milioni USD per violazione rispetto alle organizzazioni senza IA | IBM 2025 |
| Organizzazioni con incidenti di sicurezza legati all'IA ma prive di controlli di accesso all'IA: 97% | IBM 2025 |
| Organizzazioni prive di politiche di governance dell'IA: 63% | IBM 2025 |
IBM Cost of a Data Breach Report 2024
| Statistica | Fonte |
|---|---|
| Costo medio globale di una violazione dei dati: $4,88 milioni USD | IBM Cost of a Data Breach Report 2024 |
| Tempo medio per identificare una violazione: 194 giorni | IBM 2024 |
| Ciclo di vita medio di una violazione (identificazione + contenimento): 292 giorni | IBM 2024 |
Sanzioni GDPR per Settore
I modelli di applicazione mostrano che le aziende tecnologiche rappresentano la stragrande maggioranza del valore totale delle sanzioni, mentre alcune DPA nazionali si concentrano su settori specifici.
| Settore | Sanzioni Rilevanti | Problematiche Principali |
|---|---|---|
| Tecnologia/Big Tech | Meta (EUR 1,2 miliardi + EUR 405M + EUR 390M + EUR 225M), TikTok (EUR 345M), Google (EUR 50M), Amazon (EUR 746M), Uber (EUR 290M), Criteo (EUR 40M) | Trasferimenti di dati, consenso, trasparenza, dati dei minori, pubblicita comportamentale |
| Telecomunicazioni | Molteplici sanzioni in Spain, Italy | Marketing non richiesto, violazioni dei dati |
| Servizi Finanziari | CaixaBank (EUR 6M), OPENBANK (EUR 2,5M) | Violazioni del consenso, carenze di sicurezza |
| Retail | H&M (EUR 35,3M) | Sorveglianza dei dipendenti |
| Energia | Enel Energia (EUR 26,5M) | Telemarketing aggressivo |
| Settore Pubblico | Vari comuni ed enti governativi | Videosorveglianza, conservazione dei dati, trasparenza |
| Sanita | Vari ospedali (Netherlands, Portugal) | Accesso ai dati dei pazienti, sicurezza |
Meta da sola rappresenta oltre EUR 2,2 miliardi in sanzioni GDPR cumulative - piu della meta del totale mai emesso.
L'AEPD spagnola, la DPA piu attiva per volume (367 sanzioni nel 2023), si rivolge principalmente a telecomunicazioni, servizi finanziari e piccole imprese per violazioni legate al marketing diretto.
Risorse e Budget delle DPA
Il sondaggio 2023 dell'EDPB sulle Autorita per la Protezione dei Dati rivela un divario significativo tra l'ambizione regolatoria e le risorse di applicazione.
| Statistica | Fonte |
|---|---|
| DPA che dichiarano che il loro budget NON e sufficiente: 75% (21 su 28 DPA) | EDPB Annual Report 2023, p. 57 |
| DPA che dichiarano che il loro personale NON e sufficiente: 89% (25 su 28 DPA) | EDPB Annual Report 2023, p. 57 |
| DPA con gli stessi livelli di personale del 2022 nonostante il carico di lavoro crescente: 7 DPA | EDPB Annual Report 2023, p. 57 |
| Budget dell'EDPB (2023): EUR 7,67 milioni | EDPB Annual Report 2023, p. 10 |
| Personale del Segretariato EDPB: 46 | EDPB Annual Report 2023, p. 9 |
| Pool di Esperti di Supporto dell'EDPB: circa 500 nella lista di riserva | EDPB Annual Report 2023, p. 31 |
Attivita dei DPO (Responsabile della Protezione dei Dati)
L'Azione di Applicazione Coordinata 2023 dell'EDPB si e concentrata specificamente sui Responsabili della Protezione dei Dati, producendo la piu ampia indagine sui DPO a livello europeo mai realizzata.
| Statistica | Fonte |
|---|---|
| DPA partecipanti all'azione di applicazione sui DPO: 25 in tutto il SEE | EDPB Annual Report 2023, p. 30 |
| Risposte ricevute da DPO e organizzazioni: oltre 17.000 | EDPB Annual Report 2023, p. 30 |
| Base utenti dell'EDPB HUB: oltre 1.400 membri | EDPB Annual Report 2023, p. 11 |
Quadro Sanzionatorio del GDPR
| Livello | Sanzione Massima | Si Applica A |
|---|---|---|
| Livello superiore | EUR 20.000.000 o il 4% del fatturato annuo globale (se superiore) | Violazioni dei principi di trattamento dei dati, condizioni per il consenso, diritti degli interessati, trasferimenti internazionali |
| Livello inferiore | EUR 10.000.000 o il 2% del fatturato annuo globale (se superiore) | Violazioni degli obblighi del titolare/responsabile del trattamento, obblighi degli organismi di certificazione, obblighi degli organismi di controllo |
Fonte: Articoli 83(4) e 83(5) del GDPR
Date Chiave e Cronologia del GDPR
| Data | Evento |
|---|---|
| 14 aprile 2016 | Il Parlamento Europeo ha adottato il GDPR |
| 4 maggio 2016 | Il GDPR e stato pubblicato nella Gazzetta Ufficiale |
| 25 maggio 2018 | Il GDPR e diventato applicabile (inizio dell'applicazione) |
| Gennaio 2020 | Prima grande ondata di sanzioni (Google EUR 50M nel 2019, H&M EUR 35M nel 2020) |
| Luglio 2021 | Sanzione Amazon EUR 746M (la piu alta fino a Meta 2023) |
| Maggio 2023 | Sanzione Meta EUR 1,2 miliardi (la piu alta sanzione GDPR di sempre) |
| Luglio 2023 | Adottata la decisione di adeguatezza del EU-US Data Privacy Framework |
| 2023 | Anno record: EUR 1,97 miliardi in sanzioni, 1.763 sanzioni individuali |
Domande Frequenti
D: Quanti soldi sono stati raccolti con le sanzioni GDPR?
R: All'inizio del 2026, sono state imposte circa EUR 4 miliardi in sanzioni GDPR dall'inizio dell'applicazione nel maggio 2018. Nel solo 2023, le autorita per la protezione dei dati del SEE hanno emesso EUR 1,97 miliardi in sanzioni attraverso 1.763 decisioni individuali. Tuttavia, e importante notare che "imposte" non significa sempre "riscosse" - molte sanzioni elevate sono oggetto di ricorsi legali in corso.
D: Qual e la sanzione GDPR piu alta mai emessa?
R: La sanzione GDPR piu alta e di EUR 1,2 miliardi, emessa contro Meta Platforms (Facebook) dalla Irish Data Protection Commission nel maggio 2023 per il trasferimento illecito dei dati degli utenti dell'UE negli Stati Uniti. Questa sanzione ha superato il precedente record di EUR 746 milioni contro Amazon da parte del Luxembourg nel 2021.
D: Quale paese emette il maggior numero di sanzioni GDPR?
R: Per numero di sanzioni, la Spagna e l'autorita piu attiva con 594 sanzioni totali (367 nel solo 2023), seguita dall'Italia (244), dalla Romania (126), dalla Germania (122) e dall'Ungheria (66). Tuttavia, per valore totale delle sanzioni, l'Irlanda e in testa con EUR 2,51 miliardi grazie alle grandi sanzioni contro le aziende Big Tech con sede nel paese, seguita dal Lussemburgo (EUR 746M) e dalla Francia (EUR 294M).
D: Quante notifiche di violazione dei dati ci sono all'anno?
R: Secondo il sondaggio annuale di DLA Piper, oltre 130.000 notifiche di violazione dei dati sono state presentate in tutta l'UE/SEE nel 2023, in aumento rispetto a circa 120.000 nel 2022. Il numero e aumentato ogni anno dall'inizio dell'applicazione del GDPR.
D: Quanto costa in media una violazione dei dati?
R: Secondo l'IBM Cost of a Data Breach Report 2025, il costo medio globale di una violazione dei dati e di $4,4 milioni USD. Le organizzazioni che utilizzano strumenti di sicurezza basati sull'IA risparmiano circa $1,9 milioni per violazione rispetto a quelle senza IA. Il tempo medio per identificare una violazione e di 194 giorni, con un ciclo di vita totale di 292 giorni.
D: Quali articoli del GDPR vengono violati piu spesso?
R: L'Articolo 5 (principi del trattamento) e l'articolo piu frequentemente citato nelle sanzioni GDPR, seguito dall'Articolo 6 (liceita del trattamento) e dall'Articolo 32 (sicurezza del trattamento). Le sanzioni di valore piu elevato tendono a coinvolgere violazioni degli Articoli 44-49 relativi ai trasferimenti internazionali di dati.
D: I budget delle DPA sono sufficienti per l'applicazione?
R: No. Secondo il sondaggio 2023 dell'EDPB, il 75% delle autorita per la protezione dei dati dichiara che il proprio budget e insufficiente e l'89% dichiara che il proprio personale e insufficiente. Sette DPA avevano gli stessi livelli di personale dell'anno precedente nonostante carichi di lavoro crescenti.
Tutte le statistiche presenti in questa pagina provengono da organismi ufficiali dell'UE per la protezione dei dati e da rapporti di settore verificati. Le fonti principali includono l'EDPB Annual Report 2023, Privacy Affairs GDPR Fines Tracker, GDPR Enforcement Tracker (enforcementtracker.com), IBM Cost of a Data Breach Reports (2024, 2025), DLA Piper GDPR Fines and Data Breach Surveys e i rapporti annuali delle DPA nazionali. Questa pagina viene aggiornata regolarmente man mano che nuovi dati di applicazione diventano disponibili.
Ultimo aggiornamento: marzo 2026