Sanzioni

Sanzioni del Garante privacy 2025: casi, importi e lezioni per le aziende

Sanzioni del Garante privacy nel 2025: i casi principali e gli importi (Enel 79 mln, TIM, Clearview, OpenAI, Replika, rider) e cosa imparare per evitare le multe.

Nel 2025 il Garante per la protezione dei dati personali ha adottato 807 provvedimenti collegiali e riscosso oltre 37 milioni di euro di sanzioni, a fronte di 2.415 notifiche di data breach (+10% sull’anno precedente) e di 506 provvedimenti a contenuto correttivo o sanzionatorio. Non è un dato isolato: dietro le cifre-record contro le grandi imprese — la sanzione da 79.107.101 euro a Enel Energia resta la più alta mai comminata in Italia — cresce un’attività ispettiva capillare che colpisce operatori del telemarketing, piattaforme di intelligenza artificiale, società di food delivery e, sempre più spesso, pubbliche amministrazioni ed enti locali. Questa guida ricostruisce i casi principali, gli importi effettivi e le lezioni operative che ogni titolare del trattamento dovrebbe trarne per non finire nella prossima relazione annuale.

Le sanzioni del Garante non sono episodi isolati né colpiscono soltanto le multinazionali. Il meccanismo dell’articolo 83 del Regolamento (UE) 2016/679 consente all’Autorità di irrogare multe fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, e la casistica italiana mostra che il rischio si concentra in aree ricorrenti: consenso al marketing, sicurezza delle banche dati, trasparenza degli algoritmi, base giuridica dei trattamenti basati su IA e verifica dell’età dei minori. Comprendere dove il Garante ha colpito nel biennio 2024-2025 è il modo più concreto per capire dove concentrare le proprie misure tecniche e organizzative.

I principali casi sanzionatori del Garante

La tabella seguente riepiloga i provvedimenti più rilevanti, con importi verificati e riferimento al provvedimento pubblicato sul sito dell’Autorità.

Società Importo Anno / provvedimento Violazione Settore
Enel Energia 79.107.101 € provv. 11 gennaio 2024 Telemarketing illecito e gravi carenze di sicurezza delle banche dati Energia
TIM 27.802.946 € provv. 15 gennaio 2020 Telemarketing selvaggio, gestione delle black list, consenso forzato Telecomunicazioni
Clearview AI 20.000.000 € provv. 10 febbraio 2022 Riconoscimento facciale e dati biometrici senza base giuridica Intelligenza artificiale
OpenAI (ChatGPT) 15.000.000 € provv. dicembre 2024 Assenza di base giuridica, difetto di trasparenza, nessuna verifica dell’età Intelligenza artificiale
Replika / Luka Inc. 5.000.000 € provv. 19 maggio 2025 Assenza di base giuridica, informativa inadeguata, no verifica dell’età Intelligenza artificiale
Foodinho (gruppo Glovo) 2.600.000 € provv. 10 giugno 2021 Gestione algoritmica dei rider, mancata trasparenza Gig economy
Deliveroo Italy 2.500.000 € provv. 22 luglio 2021 Trattamento illecito dei dati dei rider, geolocalizzazione Gig economy
Comune di Bologna 40.000 € 2025 Carenze nel trattamento di dati personali Pubblica amministrazione
Comune di Curtarolo 15.000 € 2025 Carenze nel trattamento di dati personali Pubblica amministrazione

Ogni riga racconta una modalità di violazione diversa. È utile leggerle per aree tematiche, perché è così che il Garante organizza la propria attività ispettiva.

Telemarketing: Enel e TIM, le sanzioni-record

Il telemarketing è, da anni, la prima fonte di sanzioni milionarie in Italia. La multa a Enel Energia, pari a 79.107.101 euro (provvedimento dell’11 gennaio 2024), è la più alta mai irrogata dal Garante. L’Autorità ha contestato campagne promozionali fondate su consensi inesistenti o inattendibili, l’uso di procacciatori abusivi che alimentavano il database commerciale con nominativi acquisiti illecitamente e gravi carenze nella sicurezza delle banche dati, incapaci di distinguere i contatti legittimi da quelli irregolari.

Sulla stessa linea si colloca la sanzione a TIM, pari a 27.802.946 euro (provvedimento del 15 gennaio 2020): chiamate promozionali a utenti che non avevano prestato il consenso o che erano iscritti nelle liste di opposizione, gestione inefficace delle black list e il meccanismo “Tim Party”, in cui il consenso era di fatto forzato. Il Garante ha imposto venti misure correttive oltre alla multa. La lezione comune ai due casi è netta: il consenso deve essere libero, specifico, informato e documentabile, e la catena dei fornitori commerciali va governata, non subita. Chi vuole costruire consensi validi trova esempi pratici nella nostra guida al consenso GDPR con esempi.

Intelligenza artificiale: Clearview, OpenAI e Replika

Il secondo grande fronte è quello dell’IA, dove il Garante è stato tra le autorità più attive in Europa. La sanzione a Clearview AI, pari a 20.000.000 di euro (provvedimento del 10 febbraio 2022), ha colpito il sistema di riconoscimento facciale costruito raccogliendo miliardi di immagini dal web senza alcuna base giuridica, in violazione dei principi di trasparenza, limitazione delle finalità e limitazione della conservazione. L’Autorità ha ordinato la cancellazione dei dati relativi alle persone in Italia e vietato ogni ulteriore raccolta.

Il caso OpenAI (ChatGPT), sanzione di 15.000.000 di euro (provvedimento del dicembre 2024), riguarda l’assenza di base giuridica per l’addestramento del modello, il difetto di trasparenza verso gli interessati e l’assenza di meccanismi di verifica dell’età dei minori; il Garante ha imposto anche una campagna informativa di sei mesi. Va segnalato che la sanzione è stata sospesa dal Tribunale di Roma nel marzo 2025 e il giudizio è tuttora pendente: un dettaglio che ricorda come i provvedimenti dell’Autorità siano soggetti a controllo giurisdizionale.

Infine Replika / Luka Inc., sanzione di 5.000.000 di euro (provvedimento del 19 maggio 2025): il chatbot “compagno virtuale” trattava dati senza base giuridica alla data del 2 febbraio 2023, con un’informativa inadeguata e nessun sistema di verifica dell’età, particolarmente critico vista la natura del servizio. Il Garante ha aperto un’ulteriore istruttoria sull’addestramento del modello. Il filo conduttore dei tre casi è chiaro: chi sviluppa o impiega IA deve individuare una base giuridica solida, garantire trasparenza reale e proteggere i minori. Prima di mettere in produzione un sistema ad alto rischio è spesso indispensabile una valutazione d’impatto sulla protezione dei dati.

Gig economy: la gestione algoritmica dei rider

Il terzo fronte è quello del lavoro tramite piattaforma. La sanzione a Foodinho, del gruppo Glovo, pari a 2.600.000 euro (provvedimento del 10 giugno 2021) ha riguardato la gestione algoritmica di circa 19.000 rider: il sistema di reputazione assegnava punteggi e ordini senza trasparenza, senza garanzie sull’esattezza dell’algoritmo e senza diritto a un intervento umano significativo. Sullo stesso terreno, Deliveroo Italy è stata sanzionata per 2.500.000 euro (provvedimento del 22 luglio 2021) per il trattamento illecito dei dati di circa 8.000 rider, con geolocalizzazione rilevata ogni dodici secondi e conservata per sei mesi, oltre all’opacità del sistema decisionale automatizzato.

Questi due provvedimenti hanno anticipato temi oggi centrali nell’AI Act: gli algoritmi che incidono sulle persone devono essere trasparenti, verificabili e sottoposti a supervisione umana. La conservazione della geolocalizzazione ogni dodici secondi per sei mesi è, inoltre, un esempio di violazione del principio di minimizzazione e di limitazione della conservazione: aspetti che approfondiamo nella guida sulla conservazione dei dati e i limiti temporali.

Settore pubblico: comuni ed enti locali

Il dato più utile per la maggior parte delle organizzazioni non arriva dalle multe milionarie, ma dai piccoli enti. Nel 2025 il Garante ha sanzionato il Comune di Bologna per 40.000 euro e il Comune di Curtarolo per 15.000 euro per carenze nel trattamento dei dati personali. Sono importi modesti in valore assoluto, ma dimostrano che l’Autorità controlla anche gli enti locali e che l’assenza di misure tecniche e organizzative documentabili viene sanzionata a prescindere dalla dimensione. Molti provvedimenti sul settore pubblico nascono da pubblicazioni improprie di dati sull’albo pretorio, gestione impropria della videosorveglianza o data breach non notificati: temi su cui una corretta gestione della videosorveglianza secondo il Garante e una procedura di notifica delle violazioni al Garante fanno la differenza.

Lezioni per le aziende

Dai casi del biennio 2024-2025 si ricavano cinque insegnamenti operativi.

  1. Consenso al marketing. È l’area più sanzionata. Il consenso deve essere libero, specifico, informato e revocabile, e va conservata la prova di come è stato raccolto. La catena dei procacciatori e dei call center va governata con audit periodici.
  2. Sicurezza delle banche dati. Enel insegna che una base dati incapace di distinguere contatti legittimi da irregolari è essa stessa una violazione. Servono controlli di accesso, tracciamento e verifica della provenienza dei dati.
  3. Trasparenza algoritmica. I casi Foodinho e Deliveroo mostrano che ogni decisione automatizzata che incide sulle persone richiede spiegabilità, garanzie di esattezza e intervento umano.
  4. Base giuridica dell’IA. Clearview, OpenAI e Replika convergono su un punto: senza una base giuridica solida, l’addestramento e l’uso di sistemi di IA sono illeciti.
  5. Verifica dell’età dei minori. Ricorre in OpenAI e Replika: i servizi accessibili a un pubblico ampio devono prevedere meccanismi effettivi di age verification.

La difesa più efficace non è un adempimento isolato, ma la capacità di dimostrare l’accountability: registri aggiornati, DPIA tracciate, consensi documentati, violazioni gestite con metodo. In un procedimento davanti al Garante, la differenza tra una sanzione piena e una attenuata sta spesso nella prova che i processi esistevano prima dell’incidente. Una piattaforma come Legiscope, con hosting nell’Unione Europea, consente di generare il registro delle attività di trattamento in pochi minuti e di mantenere la documentazione pronta per un’eventuale ispezione; un buon punto di partenza è dotarsi di un modello di registro dei trattamenti e valutare un software di conformità GDPR adeguato alla propria dimensione.

Domande frequenti

Qual è la sanzione più alta mai comminata dal Garante?

La sanzione più alta è quella a Enel Energia, pari a 79.107.101 euro, disposta con provvedimento dell’11 gennaio 2024 per telemarketing illecito e gravi carenze nella sicurezza delle banche dati. È la multa-record nella storia dell’Autorità italiana e supera nettamente le altre sanzioni note, comprese quelle a TIM (27,8 milioni) e Clearview AI (20 milioni).

Quanto può arrivare a costare una violazione del GDPR?

L’articolo 83 del Regolamento (UE) 2016/679 prevede due fasce: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per le violazioni meno gravi, e fino a 20 milioni di euro o al 4% del fatturato per quelle più gravi (si applica l’importo maggiore). In Italia le sanzioni effettive vanno da poche migliaia di euro per i piccoli enti a decine di milioni per le grandi imprese. Al costo diretto vanno aggiunti il danno reputazionale e le misure correttive imposte, che spesso pesano più della multa.

Il Garante sanziona solo le grandi aziende?

No. Sebbene le cifre-record riguardino grandi operatori, nel 2025 il Garante ha sanzionato anche comuni ed enti locali, come Bologna (40.000 euro) e Curtarolo (15.000 euro). La maggior parte dei procedimenti nasce da reclami e segnalazioni che coinvolgono organizzazioni di dimensioni ordinarie, PMI comprese. La dimensione dell’ente incide sull’importo, non sull’esposizione al controllo.

Come si riduce il rischio di una sanzione?

Costruendo un’accountability documentabile: registro dei trattamenti aggiornato, DPIA per i trattamenti a rischio elevato, consensi raccolti e conservati correttamente, procedura di notifica dei data breach entro 72 ore e audit periodici dei fornitori. La possibilità di dimostrare che i processi esistevano prima dell’incidente è, nella pratica del Garante, il principale fattore di attenuazione. Per stimare l’investimento necessario è utile confrontare le fasce di costo di un software GDPR.

Conclusione

Le sanzioni del Garante nel 2025 disegnano una mappa precisa del rischio: telemarketing e sicurezza delle banche dati (Enel, TIM), intelligenza artificiale senza base giuridica (Clearview, OpenAI, Replika), gestione algoritmica dei lavoratori (Foodinho, Deliveroo) e, ormai stabilmente, il settore pubblico locale. Le 807 decisioni collegiali e gli oltre 37 milioni di euro riscossi confermano un’attività ispettiva capillare, che non risparmia le organizzazioni di dimensioni ordinarie. La conclusione operativa è semplice: le multe non colpiscono chi commette un errore isolato, ma chi non sa dimostrare di avere processi. Costruire un’accountability documentata — registri, DPIA, consensi, procedure di data breach — è oggi la forma di assicurazione più concreta contro la prossima sanzione. Tra i comparti più esposti figura la sanità: si veda l’analisi delle sanzioni del Garante in ambito sanitario.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →