Privacy e GDPR: 7 anni dopo, tra promesse mancate e nuove minacce digitali

A sette anni dall’entrata in vigore del GDPR, la promessa di una tutela efficace della privacy per i cittadini europei appare ancora lontana. Nonostante sanzioni miliardarie e investimenti massicci da parte delle aziende, il numero di violazioni resta elevato e i dati personali continuano a essere esposti a rischi crescenti.

Dalle password compromesse alle tecnologie di tracciamento, la sfida della protezione dei dati è più attuale che mai. In questo articolo analizziamo l’impatto del Regolamento, i numeri delle sanzioni, le minacce emergenti e le proposte per un futuro digitale più sicuro, anche alla luce del Privacy Day Forum del 6 giugno ad Arezzo.

Cos’è la privacy e perché ci riguarda tutti

La privacy è il diritto a controllare i propri dati personali: chi li raccoglie, come vengono trattati, e con quale finalità. In un’epoca in cui ogni clic online genera informazioni sensibili, tutelare la privacy significa proteggere la libertà, la dignità e la sicurezza individuale. Senza regole efficaci, si rischiano furti di identità, sorveglianza non autorizzata, manipolazioni e abusi di potere.

È in questo contesto che il 25 maggio 2018 è entrato in vigore il GDPR (Regolamento Generale sulla Protezione dei Dati), nato per rafforzare i diritti digitali dei cittadini europei e armonizzare le normative in tutta l’UE.

Un bilancio dopo 7 anni di GDPR

A sette anni dall’entrata in vigore, il GDPR si è rivelato ambizioso ma incompleto. Le sanzioni non sono mancate: 2.560 multe per un totale di oltre 6 miliardi di euro, secondo Enforcement Tracker.

I paesi più attivi:

• Spagna (932 multe)

• Italia (400)

• Romania (197)

Le 5 sanzioni più elevate:

1. Meta – €1,2 miliardi (2023)

2. Amazon – €746 milioni (2021)

3. Meta – €405 milioni (2022)

4. Meta – €390 milioni (2023)

5. TikTok – €345 milioni (2023)

Il GDPR prevede multe fino a 20 milioni di euro o al 4% del fatturato annuo globale, ma nonostante l’apparente rigore, molte violazioni continuano a ripetersi. Il problema principale non è solo sanzionare, ma prevenire.

Minacce crescenti: 19 miliardi di password violate

Nel solo ultimo anno, oltre 19 miliardi di password sono state compromesse a livello globale. Questo dato mostra quanto sia fragile la sicurezza digitale, anche in presenza di normative stringenti.

Uno studio Cisco rivela che il 94% delle aziende teme di perdere clienti in caso di gestione scorretta dei dati, mentre il 71% dei consumatori afferma che smetterebbe di affidarsi a un brand che non protegge la propria privacy.

GDPR: costi, investimenti e innovazione

Secondo un’indagine IAPP ed Ernst & Young, il GDPR ha richiesto ingenti investimenti:

• €480.000 in media per azienda (già nel 2017)

• 6,5 miliardi di euro complessivi su 30.000 aziende

Il lato positivo? Il GDPR ha spinto all’innovazione nella gestione dei dati, creando un mercato in forte espansione: il software per la protezione dei dati è atteso crescere da 5,37 miliardi $ nel 2025 a 45,13 miliardi $ nel 2032 (+35,5% annuo).

GDPR 2025: cosa dicono gli esperti e l’evento di Arezzo

Il commento degli esperti e l’evento di Arezzo: formazione e prevenzione al centro del dibattito

«Il GDPR ha sicuramente aumentato la consapevolezza sulla privacy, ma le sanzioni da sole non bastano», commenta Frareg, una delle principali realtà italiane nel settore della consulenza e della formazione in materia di protezione dei dati.

A sette anni dall’entrata in vigore del Regolamento, emergono nuove sfide che richiedono non solo strumenti repressivi, ma un cambio culturale profondo nelle organizzazioni.

Proprio per questo i corsi di adeguamento alla privacy rivestono oggi un ruolo ancora più importante: non si tratta solo di rispettare formalmente le norme, ma anche di:

• integrare la protezione dei dati nei processi aziendali,

• formare il personale,

• aggiornarsi su nuove minacce digitali,

• costruire una cultura della compliance che riduca i rischi prima ancora che si verifichino.

In assenza di formazione mirata, anche gli investimenti più ingenti in cybersecurity possono rivelarsi inefficaci.

Servono ora misure più incisive, tra cui:

• Blocco dei trattamenti per le aziende recidive

• Sanzioni penali per le violazioni gravi e intenzionali

• Maggiori controlli preventivi, per intercettare le criticità prima che esplodano

Questi temi sono stati al centro del Privacy Day Forum, organizzato da Federprivacy il 6 giugno 2025 ad Arezzo, che si è proposto come uno dei principali momenti di confronto in Italia sulla protezione dei dati.

L’evento, con oltre mille partecipanti, ha evidenziato come la formazione continua sia ormai essenziale per costruire una cultura solida della privacy, capace di prevenire le violazioni prima ancora che punirle.

Dal sondaggio promosso da Federprivacy è emerso che:

• il 63 % degli operatori ritiene essenziale promuovere un approccio etico all’intelligenza artificiale;

• il 73,9 % chiede maggior rispetto delle regole e ispezioni più frequenti da parte delle autorità

Tra i temi discussi ad Arezzo:

• il ruolo strategico della compliance nel garantire un’innovazione responsabile, soprattutto nell’ambito dell’IA;

• la necessità di un controllo preventivo, calibrato sulle attività critiche, anziché punizioni successive;

• la sinergia tra strumenti di formazione, certificazioni e tecnologie di sicurezza, per trasformare la responsabilità da obbligo normativo a vantaggio competitivo

Il Forum ha arricchito tutto il settore inserendolo in un percorso operativo: più formazione, più cultura, più strumenti. Un approccio che mette al centro la prevenzione e rende il GDPR non solo credibile, ma realmente efficace.