10 anni di GDPR:
bilancio e prospettive per le PMI italiane

10 anni di GDPR: la timeline che ha cambiato la privacy europea

Il 24 maggio 2016 entrava in vigore il Regolamento (UE) 2016/679, il GDPR (General Data Protection Regulation). Da quel giorno cittadini, imprese e pubbliche amministrazioni avevano due anni per prepararsi alla nuova disciplina europea sulla protezione dei dati personali, che sarebbe diventata direttamente applicabile dal 25 maggio 2018. Una scadenza che molti ricordano ancora, soprattutto chi negli ultimi mesi di quei due anni di transizione ha visto arrivare in casella decine di email del tipo «aggiorna le tue preferenze».

In Italia il Codice Privacy (D.Lgs. 196/2003) è stato adeguato dal D.Lgs. 101/2018, che ha integrato il GDPR nel diritto interno conservando un Garante per la protezione dei dati personali con poteri rafforzati. Nei dieci anni successivi alla pubblicazione del Regolamento si sono susseguite tappe che hanno ridefinito la geografia europea dei dati: la sentenza Schrems II della Corte di Giustizia (16 luglio 2020) che ha invalidato il Privacy Shield, l’istituzione di nuovi Standard Contractual Clauses nel 2021, l’adozione del Data Privacy Framework UE-USA nel 2023 e infine la pubblicazione, nel 2024, dell’AI Act e dell’Opinion 28/2024 dell’EDPB sui modelli di intelligenza artificiale.

È una storia di evoluzione continua. E proprio per questo non è una storia che si possa archiviare: dopo dieci anni il GDPR non è una pratica conclusa, è un sistema operativo in aggiornamento permanente.

Le sanzioni che hanno fatto giurisprudenza

Il dato cumulativo è da brivido: secondo il GDPR Enforcement Tracker — il database indipendente mantenuto da CMS Legal — a maggio 2026 le sanzioni inflitte in tutta Europa hanno superato i 6 miliardi di euro, distribuiti su quasi 2.900 procedimenti. Sono soldi che fotografano dieci anni di trattamenti che la legge ritiene illeciti — o quantomeno non sufficientemente protetti.

I casi più alti vivono nei radar di chiunque si occupi di compliance:

• 1Meta Platforms Ireland — 1,2 miliardi € (maggio 2023). La sanzione più alta nella storia del GDPR, inflitta dal Garante irlandese (DPC) per il trasferimento illecito di dati personali verso gli Stati Uniti sulla base di clausole contrattuali standard, dopo l’invalidazione del Privacy Shield decretata da Schrems II. È il prezzo della dipendenza europea dalle Big Tech statunitensi.
• 2TikTok — 530 milioni € (maggio 2025). Trasferimento di dati di utenti europei verso la Cina senza adeguate garanzie. Il caso ha riaperto il tema delle giurisdizioni non equiparabili al GDPR e ha posto i CdA davanti a una domanda nuova: i nostri fornitori SaaS dove conservano davvero i dati?
• 3Meta / Instagram — 405 milioni € (settembre 2022). Per il trattamento dei dati di minori. Una sanzione che ha avuto effetti culturali oltre quelli finanziari: il design dei prodotti digitali rivolti a minori ha cominciato a includere il principio della «privacy by default» come variabile di progetto, non come dichiarazione.
• 4TIM SpA — 27,8 milioni € (gennaio 2020). La sanzione più alta in Italia, inflitta dal Garante a una grande società di telecomunicazioni per «numerosi trattamenti illeciti» legati al telemarketing aggressivo: contatti senza consenso, liste sporche, lead aggregati da terze parti senza tracciabilità. Un caso scuola che ha messo in guardia tutto il comparto B2C italiano.

Per inquadrare il dato italiano: secondo l’Enforcement Tracker, a maggio 2026 il Garante italiano ha inflitto sanzioni per oltre 311 milioni di euro, distribuite su 538 procedimenti — un dato che colloca l’Italia al quarto posto in UE per importo e al secondo per numero di sanzioni, dopo la Spagna. Numeri che dovrebbero suggerire prudenza, non leggerezza.

La privacy come «stronzata»: la cultura ancora immatura

Detto questo, c’è una verità scomoda che chi lavora ogni giorno con le PMI italiane conosce bene: dopo dieci anni, in molte aziende il GDPR è ancora visto come una noia burocratica. Una scocciatura da delegare al consulente esterno che si occupa anche della sicurezza sul lavoro — lo stesso che mette gli estintori, controlla la sedia ergonomica e, già che c’è, «sistema anche la privacy».

Il copione è noto: arrivano moduli prestampati identici per qualsiasi settore (dall’officina meccanica allo studio dentistico), informative copiate da un cliente all’altro, registri dei trattamenti compilati una volta e mai più aggiornati, nomine di responsabili che nessuno ha mai letto. Chi li fa firmare non sa cosa ci sia scritto, chi li firma li archivia senza leggerli. Quando un dipendente o un cliente chiede un chiarimento, la risposta è una variante della stessa frase: «Scusi, ma è questa roba della privacy, poi però lei magari va a mettere la sua foto su Facebook».

È un atteggiamento schizofrenico — preoccuparsi della firma sul modulo prestampato e disinteressarsi dei dati che si lasciano sui social, sui SaaS gratuiti, sulle chat di lavoro non aziendali — e ha una radice precisa: in dieci anni la maggior parte delle PMI italiane non ha mai investito incultura della privacy. Ha investito (poco) in adempimenti formali, scaricati su terzi spesso non specializzati. Il risultato è una conformità apparente che il primo audit serio, o il primo incidente, smonta in poche ore.

La buona notizia è che le imprese che hanno trattato il GDPR come un’occasione per riorganizzare i processi — non come una scocciatura — oggi si trovano avvantaggiate. Hanno il registro dei trattamenti come strumento operativo, sanno dove sono i dati, hanno contratti DPA strutturati con i fornitori cloud, gestiscono i data breach con processi rodati. E quando arriva la NIS2, l’ISO 27001 o l’AI Act, hanno già la mappa.

Maturità privacy delle PMI: dove siamo nel 2026

I numeri ufficiali raccontano una situazione di lenta ma costante maturazione. Nella sua Relazione annuale 2024 al Parlamento, il Garante per la protezione dei dati personali ha gestito oltre 4.000 reclami, adottato 835 provvedimenti (di cui 468 correttivi e sanzionatori), condotto 130 ispezioni e applicato sanzioni per circa 24 milioni di euro. Una quota significativa è concentrata sul telemarketing aggressivo (oltre 6 milioni di euro nel solo 2024) e sui data breach mal gestiti.

Sul versante delle PMI, il quadro è coerente con quello che il Cyber Index PMI 2026 fotografa per la sicurezza informatica: solo il 16% delle PMI italiane ha una postura di sicurezza adeguata, e la quota cala drasticamente sulle micro-imprese sotto i 10 addetti. Privacy e sicurezza sono due facce della stessa medaglia: le aziende mature su entrambe sono ancora una minoranza qualificata.

Le criticità ricorrenti che emergono dalle ispezioni del Garante e dagli audit di settore sono sempre le stesse: registro dei trattamenti incompleto o non aggiornato, informative agli interessati generiche, mancanza di DPIA su trattamenti ad alto rischio (videosorveglianza, biometria, profilazione clienti), contratti con fornitori (DPA) inesistenti o boilerplate, formazione del personale ridotta a una mail annuale.

GDPR, NIS2 e ISO 27001: i tre pilastri convergenti

La novità reale del prossimo decennio non sarà un nuovo regolamento aggiuntivo, ma la convergenza dei framework che oggi appaiono ancora separati nella testa di molti decisori. GDPR, NIS2 e ISO/IEC 27001:2022 convergono su un punto operativo: la sicurezza dell’informazione come processo continuo.

• Articolo 32 GDPR. Richiede misure tecniche e organizzative «adeguate al rischio». Una formulazione volutamente ampia che lascia al titolare del trattamento la responsabilità di scegliere — ma anche di documentare — quali misure adottare.
• Articolo 21 Direttiva NIS2 (D.Lgs. 138/2024). Impone misure di gestione del rischio cyber proporzionate, con un elenco esplicito di domini (gestione incidenti, continuità, supply chain, formazione, crittografia). Si veda anche il nostro approfondimento sul CSIRT in outsourcing.
• ISO/IEC 27001:2022 — controllo A.5.34. «Privacy e protezione delle PII» è uno dei 93 controlli operativi della nuova versione 2022 della norma. Per chi è certificato ISO 27001 — ATWS lo è, insieme alle norme 27017 e 27018 sui servizi cloud — il presidio di privacy e sicurezza è parte integrante del Sistema di Gestione, non un’attività parallela.

Il valore strategico di trattare i tre framework come un unico programma è enorme: la stessa valutazione del rischio nutre GDPR, NIS2 e ISO 27001, la stessa procedura di incident response copre data breach (GDPR) e incidenti significativi (NIS2), la stessa governance dei fornitori risponde all’art. 28 GDPR (DPA) e all’art. 21 NIS2 (supply chain). Tre obblighi, una sola macchina operativa.

Le sfide del prossimo decennio: AI Act, LLM, deepfake

Il GDPR del 2016 è stato scritto in un mondo pre-LLM, pre-deepfake, pre-AI generativa. I principi che ha fissato — minimizzazione, finalità, base giuridica, accountability — hanno retto, ma le tecnologie di trattamento sono cambiate in modo radicale. Le sfide del secondo decennio sono almeno cinque.

• 1Training dei modelli AI su dati personali. L’EDPB con l’Opinion 28/2024 ha chiarito che l’addestramento di un modello di intelligenza artificiale su dati personali richiede una base giuridica specifica (legittimo interesse o consenso) e che l’output può ancora contenere dati personali identificabili anche se il dataset è stato anonimizzato. Per le PMI significa che ogni nuovo strumento AI (interno o SaaS) va valutato con la stessa serietà di una DPIA tradizionale.
• 2Scraping di dati pubblici per lead generation e marketing. Il Garante ha già sanzionato nel 2026 una società italiana per la raccolta di dati personali da social media a fini di lead generation. Quando il dato è «pubblico» non significa che sia «utilizzabile»: la finalità originaria conta, eccome.
• 3Deepfake e dati biometrici sintetici. Voce clonata di un dirigente, video sintetici di un’amministratrice delegata, conferme di bonifico realistiche al telefono: la categoria dei dati biometrici sintetici entra nel perimetro GDPR e in quello dell’AI Act come categoria di rischio elevato.
• 4Responsabilità personale di amministratori e dirigenti. L’art. 23 del D.Lgs. 138/2024 (NIS2) ha introdotto in Italia la responsabilità personale degli organi di amministrazione per la violazione degli obblighi di gestione del rischio cyber. Una recente sentenza della Corte dei conti di Bolzano del 2026 ha applicato lo stesso principio alle sanzioni privacy in ambito sanitario pubblico. È un cambio di paradigma.
• 5Sovranità del dato e cloud europeo. Dopo Schrems II e il Data Privacy Framework UE-USA, il tema del «dove» risiedono i dati è tornato al centro. La nostra posizione è netta: cloud su data center europei, crittografia in transito e a riposo, controllo accessi privilegiati, audit periodici.

Cosa fare oggi nelle PMI: checklist in 5 punti

Per chi vuole uscire dalla logica del «modulo prestampato» e fare seriamente, ecco una checklist operativa per il 2026.

• 1Aggiornare il Registro dei trattamenti. Non come adempimento formale, ma come mappa operativa: ogni nuovo SaaS aziendale, ogni nuovo fornitore, ogni nuova attività di marketing va riflesso nel registro entro 30 giorni. Senza mappa, non c’è governance.
• 2Eseguire DPIA sui trattamenti ad alto rischio. Videosorveglianza, biometria, profilazione, decisioni automatizzate, dati di minori, AI generativa applicata ai clienti: tutto questo richiede una DPIA scritta, archiviata, aggiornata.
• 3Verificare i contratti con i fornitori (DPA, art. 28). In particolare i fornitori cloud, SaaS e di servizi gestiti vanno governati con DPA puntuali, che definiscano misure di sicurezza, sub-responsabili, localizzazione dei dati. Per chi opera nel perimetro NIS2 questo si lega anche all’elenco dei fornitori rilevanti sulla piattaforma ACN.
• 4Formare il personale — sul serio. Non un PDF da firmare una volta all’anno, ma sessioni periodiche con casi reali: phishing drills, simulazioni di incident response, esercitazioni sulla risposta a richieste di esercizio diritti (accesso, cancellazione, portabilità). Il personale non formato è la prima causa di data breach.
• 5Integrare incident response GDPR e NIS2. Un data breach può essere contemporaneamente notificabile al Garante (entro 72 ore) e al CSIRT Italia (pre-notifica entro 24 ore, formale entro 72 ore). Un’unica procedura interna serve a entrambi i canali — purché sia testata, non solo scritta.

Come AtWorkStudio supporta il GDPR-by-design

AtWorkStudio non eroga consulenza GDPR generica e non è una società di privacy. Il nostro contributo è di tipo tecnico-operativo: trattiamo i dati dei clienti come responsabili del trattamento (art. 28 GDPR) e mettiamo a disposizione un’infrastruttura che riduce, già per disegno, la superficie di rischio privacy. Per i clienti che ci scelgono come fornitore qualificato, il fatto di operare con certificazioni ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN QC1 sui servizi cloud SaaS e con un documento di misure tecniche e organizzative pubblicato e contrattualmente vincolante, riduce drasticamente l’attrito di compliance lato cliente.

Operiamo da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT. Il GDPR, per noi, è un sistema operativo che gira da dieci anni — e che continueremo a far girare ogni giorno.