Torna agli articoli
Sanzioni GDPR in Italia: bilancio completo delle multe del Garante e come evitarle
GDPR Garante Privacy Sanzioni Multe Conformità Audit

Sanzioni GDPR in Italia: bilancio completo delle multe del Garante e come evitarle

DPLIANCEFornitore di soluzioni Data e IA sovrane
6 min di lettura

24 milioni di euro di sanzioni nel 2024: il Garante Privacy non rallenta

Il Garante per la protezione dei dati personali non avvisa più. Sanziona.

Nel 2024, 835 provvedimenti, 468 provvedimenti correttivi e sanzionatori per un totale di 24 milioni di euro. Nel 2023, la sanzione record di 79 milioni di euro contro Enel Energia. L’Italia si conferma tra i Paesi più attivi d’Europa sul fronte ispettivo.

L’Italia è al quarto posto in Europa per sanzioni GDPR cumulative dal 2018, con un totale stimato di circa 3,5 miliardi di euro a livello UE. Il Garante gestisce oltre 4.000 reclami all’anno e collabora attivamente con la Guardia di Finanza per le ispezioni.

Ecco il bilancio completo: i casi emblematici, i motivi ricorrenti e come proteggersi.

Le sanzioni record del Garante Privacy

Enel Energia: 79,1 milioni di euro (febbraio 2024)

La sanzione più alta mai inflitta dal Garante Privacy. Enel Energia è stata multata per 79,1 milioni di euro per gravi carenze nel trattamento dei dati personali di clienti di luce e gas ai fini di telemarketing.

L’indagine, avviata dalla Guardia di Finanza, ha rivelato che Enel Energia aveva acquisito contratti da agenzie non appartenenti alla propria rete commerciale ufficiale, che utilizzavano database illeciti. Le ispezioni hanno evidenziato gravi falle di sicurezza nei sistemi informatici per la gestione dei clienti e l’attivazione dei servizi. Le violazioni hanno coinvolto l’attivazione di almeno 9.300 contratti non autorizzati.

Nota importante: Il Tribunale di Roma ha successivamente annullato una parte della sanzione (26,5 milioni) per ragioni procedurali. Tuttavia, il principio resta: il telemarketing illecito espone a sanzioni milionarie.

Lezione: Il telemarketing basato su database di dubbia provenienza è ad altissimo rischio. La responsabilità ricade sul committente, non solo sull’agenzia.

OpenAI (ChatGPT): 15 milioni di euro (dicembre 2024)

Il Garante ha concluso l’istruttoria contro OpenAI imponendo una sanzione di 15 milioni di euro per il trattamento dei dati personali degli utenti di ChatGPT.

Le violazioni: OpenAI utilizzava dati personali contenuti nelle conversazioni con ChatGPT per addestrare il modello senza base giuridica adeguata (Art. 6 GDPR). Non erano stati implementati meccanismi efficaci di verifica dell’età, esponendo minori sotto i 13 anni a risposte potenzialmente inadeguate.

Nota: Il Tribunale di Roma ha prima sospeso e poi annullato la sanzione nel marzo 2025. Tuttavia, il caso ha stabilito un precedente importante per il trattamento dei dati nell’addestramento dell’IA.

Lezione: L’intelligenza artificiale non è esente dal GDPR. Ogni modello addestrato su dati personali deve avere una base giuridica chiara.

Clearview AI: 20 milioni di euro (2022)

Come la CNIL francese, anche il Garante italiano ha sanzionato Clearview AI con 20 milioni di euro per la raccolta massiva di foto da internet per costruire una banca dati biometrica. Il Garante ha inoltre vietato ogni ulteriore raccolta di dati di residenti italiani.

Lezione: Le autorità europee collaborano — una sanzione in un Paese può essere replicata in altri.

Settore sanitario: oltre 22 milioni di euro (2024)

Nel 2024, le strutture sanitarie italiane hanno ricevuto sanzioni per un totale di oltre 22 milioni di euro, con una media di 200.000 euro per struttura, per mancata adozione di misure tecniche e organizzative adeguate a proteggere i dati dei pazienti.

Lezione: I dati sanitari sono dati sensibili (Art. 9 GDPR). Le misure di sicurezza devono essere proporzionate alla loro sensibilità.

Fornitore energetico: 5 milioni di euro (2024)

Un fornitore di servizi energetici è stato multato per 5 milioni di euro per l’utilizzo di dati obsoleti dei clienti — conservati oltre i termini di legge e utilizzati per finalità non più giustificate.

Lezione: La conservazione illimitata dei dati è una violazione permanente.

I 5 motivi di sanzione più frequenti in Italia

1. Telemarketing illecito

Il primo motivo per importo cumulativo. Enel Energia (79,1 M€) da sola supera tutte le altre categorie. Le chiamate commerciali senza consenso, le liste di dubbia provenienza e le agenzie non controllate sono i problemi ricorrenti.

Come proteggersi: Verificare la provenienza di ogni database di marketing. Rispettare il Registro delle Opposizioni. Per il tracciamento web, utilizzare una CMP conforme come Cookilio.

2. Sicurezza insufficiente dei dati

Settore sanitario (22 M€ nel 2024), oltre a numerose sanzioni minori. Le falle di sicurezza — accessi non controllati, mancanza di crittografia, notifica tardiva delle violazioni — sono il secondo motivo più frequente.

Come proteggersi: Monitoraggio degli accessi, crittografia, test di sicurezza regolari e un piano di risposta agli incidenti documentato.

3. Trattamento di dati senza base giuridica

OpenAI (15 M€, poi annullata), Clearview AI (20 M€). Il trattamento di dati personali senza una delle sei basi giuridiche previste dall’Art. 6 GDPR è una violazione autonoma.

Come proteggersi: Per ogni trattamento, identificare e documentare la base giuridica.

In crescita anche in Italia. Il Garante ha pubblicato linee guida specifiche sui cookie nel 2021, allineate con quelle delle altre autorità europee.

Come proteggersi: Cookilio blocca tutti i tracker non essenziali prima del consenso e presenta il rifiuto allo stesso livello dell’accettazione.

5. Trasferimenti di dati extra-UE

L’utilizzo di strumenti statunitensi (Google Analytics, AWS, Mailchimp) senza garanzie adeguate resta un rischio significativo, specialmente dopo Schrems II.

Come proteggersi: Mirage Analytics è ospitato su Scaleway in Francia — nessun dato lascia l’UE.

Come evitare una sanzione del Garante: la checklist

Livello 1: urgenze (< 1 settimana)

  • Audit del sito webComplio esegue l’audit in minuti con report di conformità.
  • CMP conformeCookilio blocca tutti i tracker prima del consenso.
  • Sostituire Google AnalyticsMirage Analytics senza cookie, ospitato in Europa, 19 €/mese.
  • Informativa sulla privacy — Completa, specifica, in linguaggio chiaro.

Livello 2: conformità strutturale (< 1 mese)

  • Registro dei trattamenti — Obbligatorio (Art. 30 GDPR).
  • Contratti con responsabili del trattamento — DPA conformi con ogni fornitore.
  • Tempi di conservazione — Definiti per ogni categoria di dati.
  • Processo per i diritti degli interessati — Indirizzo dedicato, risposta entro un mese.

Livello 3: conformità proattiva (continuo)

  • DPO — Obbligatorio per enti pubblici e aziende con trattamenti su larga scala.
  • DPIA — Valutazione d’impatto per trattamenti ad alto rischio.
  • Formazione — Regolare, documentata, per tutto il personale.
  • Audit periodici — La conformità si deteriora nel tempo.

Il vero costo della non conformità

Le sanzioni sono solo la punta dell’iceberg. In Italia, i provvedimenti del Garante sono pubblicati e possono essere ripresi dalla stampa.

  • Sanzione del Garante: da migliaia di euro a decine di milioni
  • Audit del sito con Complio: 89 € in 10 minuti
  • CMP conforme con Cookilio: implementazione in 5 minuti
  • Analytics sovrano con Mirage Analytics: 19 €/mese

La conformità non è un costo. È un’assicurazione.

FAQ

Qual è la multa massima del GDPR?

Fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale. In Italia, il Garante ha imposto fino a 79,1 milioni di euro (Enel Energia, 2024).

Il Garante sanziona le piccole imprese?

Sì. Le PMI sono soggette agli stessi obblighi e il Garante non distingue per dimensione aziendale nelle sue ispezioni.

Quali settori sono più a rischio?

Energia e telemarketing (le sanzioni più elevate), sanità (22 M€ nel 2024), tecnologia/IA (OpenAI, Clearview AI) e servizi finanziari.

Come posso verificare se il mio sito è conforme?

Complio esegue automaticamente un audit di conformità con report dettagliato e raccomandazioni prioritarie.

Da leggere ancheI 10 errori GDPR più comuni delle aziende | Checklist GDPR sito web | Audit GDPR sito web: guida completa 2026

Fonti: Garante Privacy — Provvedimenti, Federprivacy — Relazione annuale 2024, Garante — Sanzione Enel Energia, Garante — Sanzione OpenAI, Frareg — Sanzioni GDPR 2025. Pubblicato il 30 marzo 2026.

Scriveteci

contact@dpliance.com
Contattateci