Relazione annuale del Garante privacy: sanzioni in crescita e faro sull’intelligenza artificiale. Cosa devono aspettarsi enti e imprese

Il 2 luglio il Garante ha presentato alla Camera la Relazione sull’attività 2025: 37,7 milioni di euro di sanzioni riscosse (+54,5% sul 2024), 506 provvedimenti correttivi e sanzionatori, notizie di reato quadruplicate. L’IA definita “la nuova infrastruttura del potere”. Ecco i numeri e le azioni concrete per PA e imprese.

 

Il 2 luglio 2026 il Garante per la protezione dei dati personali ha presentato alla Camera dei Deputati la Relazione al Parlamento sull’attività svolta nel 2025. Non è un adempimento di rito: la Relazione è la fotografia più attendibile di dove l’Autorità concentra controlli e sanzioni, e quindi di dove conviene concentrare le verifiche di conformità nei prossimi mesi.

Il dato che colpisce di più è la crescita dell’enforcement. Nel 2025 l’Autorità ha adottato 807 provvedimenti collegiali, di cui 506 correttivi e sanzionatori, e ha riscosso sanzioni per 37,7 milioni di euro (per l’esattezza 37.760.961 euro), il 54,5% in più rispetto ai 24,4 milioni del 2024. Ha inoltre dato riscontro a 4.288 reclami e a 145.846 segnalazioni, riguardanti tra l’altro il marketing e le reti telematiche, i dati pubblicati online dalle pubbliche amministrazioni, la sanità, la giustizia, il cyberbullismo e il revenge porn, la sicurezza informatica, il settore bancario e finanziario e il mondo del lavoro. Un segnale particolarmente serio arriva dal fronte penale: le comunicazioni di notizie di reato all’autorità giudiziaria sono state 65, contro le 16 del 2024, e ben 54 hanno riguardato la diffusione non consensuale di immagini o video sessualmente espliciti.

 

Indicatore 2025 2024 Variazione
Provvedimenti collegiali 807 835 -3,4%
Provvedimenti correttivi e sanzionatori 506 468 +8,1%
Sanzioni riscosse 37,7 milioni di euro (37.760.961) 24,4 milioni di euro +54,5%
Reclami riscontrati 4.288 4.090 +4,8%
Segnalazioni riscontrate 145.846 93.877 +55,4%
Notizie di reato all’autorità giudiziaria 65 (di cui 54 per diffusione non consensuale di immagini intime) 16 più che quadruplicate
Segnalazioni per diffusione o minaccia di diffusione di materiale intimo 854 823 +3,8%
Data breach notificati 2.415 2.204 circa +10%
Casi di telemarketing illecito risolti 104.433
Blocchi preventivi della diffusione di materiale intimo (delibere revenge porn) 514

 

Fonte: dati 2025 dalla Sintesi per la stampa della Relazione annuale 2025 del Garante (garanteprivacy.it, doc. web 10266612, 2 luglio 2026); dati 2024 dalla Sintesi per la stampa della Relazione 2024 (garanteprivacy.it, doc. web 10150195, 15 luglio 2025).

 

Nel suo discorso, il Presidente Pasquale Stanzione ha definito l’intelligenza artificiale “la nuova infrastruttura del potere”. Non è solo una formula: il 2025 è stato l’anno degli interventi del Garante sull’IA relazionale, sui deepfake e sulle app di “nudificazione”, le applicazioni che sfruttano l’IA generativa per creare falsi nudi a partire da fotografie di persone reali. Su questo fronte l’Autorità ha chiesto espressamente al legislatore un potere nuovo: quello di interdire dall’Italia il collegamento ai siti che diffondono questi contenuti, per spezzare la catena virale delle condivisioni prima che il danno diventi irreparabile. Accanto ai temi emergenti restano i filoni consolidati: telemarketing aggressivo, tutela dei lavoratori, verifica dell’età dei minori online e protezione dei dati sanitari.

Dietro i numeri ci sono provvedimenti che parlano direttamente a imprese ed enti. Sul fronte del lavoro, il Garante ha vietato in via d’urgenza ad Amazon Italia Logistica il trattamento dei dati di oltre 1.800 lavoratori dello stabilimento di Passo Corese, raccolti in modo sistematico anche su salute, attività sindacale e vita familiare; ha ammonito una start-up che proponeva un componente aggiuntivo per Slack e Teams capace di stimare, con l’IA e l’analisi semantica delle chat, il livello di stress dei dipendenti; ha sanzionato l’accesso alle e-mail del dipendente licenziato e il monitoraggio dello stile di guida. Sul fronte della biometria, è stato sospeso il sistema di riconoscimento facciale FaceBoarding dell’aeroporto di Milano Linate, che conservava in un archivio centralizzato i dati di oltre 24.500 passeggeri. E l’anno si era aperto con la limitazione del trattamento verso le società cinesi che gestiscono DeepSeek, seguita dal blocco dell’app di nudificazione Clothoff e da un avvertimento rivolto agli utilizzatori delle piattaforme di deepfake.

Due passaggi del discorso del Presidente, intitolato “Fiducia (nel) digitale. Protezione dei dati, IA e democrazia”, meritano un’attenzione particolare. In sanità, il richiamo alla legge n. 132 del 2025 sull’intelligenza artificiale, che riserva al medico il momento decisionale e vieta la selezione algoritmica nell’accesso alle cure con effetti discriminatori: chi introduce strumenti di IA in ambito clinico deve garantire spiegabilità e sorveglianza umana. Nella scuola, il parere favorevole alle Linee guida sull’impiego dell’IA nelle istituzioni scolastiche, con minimizzazione dei dati e divieto di pratiche invasive come il riconoscimento delle emozioni. Il telemarketing illecito resta intanto il fronte quantitativamente più pesante, con 104.433 casi risolti nel 2025, mentre il contesto cyber si fa più ostile: nel primo semestre 2025, ricorda il discorso, gli attacchi in Italia sono cresciuti del 53% e gli incidenti con impatto confermato del 98%.

Che cosa significa, in concreto, per chi gestisce dati personali? La Relazione indica con chiarezza i settori dove il rischio di controlli è più alto, e la crescita del 2025 dice che la tendenza non si invertirà. Per i Comuni e gli enti pubblici il punto critico resta la pubblicazione online di atti e dati: è una delle prime voci di reclamo e segnalazione, e va presidiata con procedure di controllo prima della pubblicazione all’albo e nelle sezioni di trasparenza. Per le strutture sanitarie la priorità è la gestione degli accessi ai dati dei pazienti e delle comunicazioni. Per le imprese che fanno marketing, la catena dei consensi e la gestione delle liste restano l’area più sanzionata. Per tutti, la crescita delle notizie di reato ricorda che alcune violazioni – il controllo a distanza dei lavoratori, l’accesso abusivo ai sistemi, le false dichiarazioni al Garante – non si fermano alla sanzione amministrativa ma possono avere conseguenze penali per le persone fisiche coinvolte.

Il consiglio operativo è di usare la Relazione come una mappa: verificare la propria esposizione sui filoni indicati, aggiornare il registro dei trattamenti dove sono comparsi strumenti di IA, controllare le procedure di pubblicazione online e la gestione dei consensi marketing, e assicurarsi che le figure interne sappiano come riconoscere e gestire una richiesta degli interessati o un’ispezione. Come sempre, arrivare preparati costa molto meno che rimediare dopo.

Enrico Capirone – Presidente iSimply srl, DPO

 

Fonte ufficiale: Garante per la protezione dei dati personali, Relazione annuale 2025 – https://www.garanteprivacy.it/home/attivita-e-documenti/documenti/relazioni-annuali