In Europa si registrano in media 443 violazioni di dati personali al giorno, con un aumento del 22% su base annua. È quanto emerge dall’ottava edizione del GDPR Fines and Data Breach Survey pubblicato dallo studio legale DLA Piper, che segnala un netto cambio di passo dopo anni di stabilità nelle notifiche. Negli ultimi 12 mesi, le autorità di controllo europee hanno inflitto sanzioni GDPR per circa 1,2 miliardi di euro, un dato in linea con quello del 2024 e indicativo di un livello di enforcement costantemente elevato. Dall’entrata in vigore del GDPR nel maggio 2018 fino a gennaio 2026, l’ammontare complessivo delle multe ha raggiunto 7,1 miliardi di euro. A guidare la classifica resta l’autorità irlandese per la protezione dei dati (DPC), che da sola ha irrogato sanzioni per 4,04 miliardi di euro. L'Italia è quinta con sanzioni totali per 277 milioni di euro. La multa più elevata mai inflitta rimane quella da 1,2 miliardi di euro comminata nel 2023 a Meta. Nel 2025, sempre la DPC ha emesso la sanzione più alta dell’anno: 530 milioni di euro contro una società di social media per violazioni delle norme sui trasferimenti internazionali di dati personali. Tra il 28 gennaio 2025 e il 27 gennaio 2026, le notifiche di data breach sono salite da una media di 363 a 443 al giorno. Un incremento che, pur non essendo direttamente causale, si inserisce in un contesto segnato da tensioni geopolitiche, dall’evoluzione delle minacce abilitate dall’intelligenza artificiale e da una serie di attacchi informatici di grande impatto mediatico che hanno causato gravi interruzioni operative a livello globale. Secondo il report di DLA Piper, questo aumento conferma l’emergere di un livello di rischio cyber senza precedenti, rafforzando la necessità per le organizzazioni di investire in sicurezza e resilienza operativa. Paesi Bassi, Germania e Polonia si confermano i Paesi con il maggior numero di violazioni notificate nel periodo analizzato. Le sanzioni GDPR per 1,2 miliardi di euro inflitte nel 2025 risultano sostanzialmente in linea con l’anno precedente. L’assenza di una crescita ulteriore non segnala un rallentamento, ma piuttosto la stabilità di un enforcement particolarmente rigoroso, a conferma della determinazione delle autorità europee ad applicare sanzioni significative, nonostante le critiche provenienti da fuori UE. Come negli anni passati, l’azione di enforcement si è concentrata soprattutto sulle grandi aziende tecnologiche e dei social media, che rappresentano nove delle dieci sanzioni GDPR più elevate mai irrogate. Pur restando al centro dell’attenzione regolatoria, la big tech non è più l’unico obiettivo. Le autorità stanno ampliando il raggio d’azione a settori come servizi finanziari, telecomunicazioni, utilities e fornitori di servizi tecnologici. Il 2025 segna inoltre un passaggio rilevante: per la prima volta è stata inflitta una sanzione di rilievo per il trasferimento di dati personali verso un Paese terzo non statunitense. La multa da 530 milioni di euro riguarda il trasferimento di dati verso la Cina, senza garanzie di un livello di protezione sostanzialmente equivalente a quello europeo. Un segnale che le restrizioni GDPR sui trasferimenti internazionali rappresentano una sfida globale, non limitata ai flussi di dati verso gli Stati Uniti. (19 mar - red)