Il 25 maggio 2025 il Regolamento generale sulla protezione dei dati (GDPR) compie sette anni. Nato con l’obiettivo ambizioso di rafforzare i diritti dei cittadini europei in materia di privacy e di armonizzare la normativa tra i Paesi UE, il GDPR ha rappresentato una svolta epocale nel rapporto tra utenti, aziende e dati personali. Tuttavia, dopo sette anni e oltre 6 miliardi di euro in sanzioni comminate, ci si interroga sull’effettiva efficacia del regolamento.
Una macchina sanzionatoria imponente, ma disomogenea
Secondo i dati aggiornati da Enforcement Tracker, dal 2018 a oggi le autorità garanti della privacy dei vari Paesi UE hanno inflitto sanzioni per più di 6 miliardi di euro. I principali destinatari di queste multe sono stati colossi del tech, come Meta, Amazon, Google e TikTok, ma non sono mancate sanzioni anche a danno di PMI e pubbliche amministrazioni.
Tuttavia, l’analisi della distribuzione geografica e tematica delle sanzioni mostra un’applicazione frammentata. Alcuni Paesi, come l’Irlanda e il Lussemburgo – sedi europee di molte big tech – hanno giocato un ruolo centrale nelle indagini, mentre altri sembrano ancora in ritardo nell’attuazione effettiva del regolamento.
Diritti rafforzati, ma consapevolezza ancora debole
Sulla carta, il GDPR ha esteso i diritti dei cittadini: accesso ai propri dati, diritto all’oblio, portabilità, opposizione al trattamento automatizzato. Eppure, la consapevolezza di tali diritti tra gli utenti resta bassa. Molti cittadini non conoscono le procedure per esercitarli o si sentono scoraggiati dalla burocrazia.
Anche nelle aziende, soprattutto tra le piccole realtà e i liberi professionisti, il GDPR viene spesso vissuto come un obbligo formale più che come una cultura da integrare. L’adozione di misure concrete per la protezione dei dati resta, in molti casi, insufficiente o meramente di facciata.
Il nodo della tecnologia: il GDPR è già “vecchio”?
In un mondo dominato da intelligenza artificiale, big data e profilazione algoritmica, il GDPR mostra sempre più chiaramente i segni del tempo. Quando il regolamento è stato concepito – tra il 2012 e il 2016 – il contesto tecnologico era molto diverso: l’intelligenza artificiale era ancora in una fase embrionale, l’AI generativa non esisteva nella forma attuale e il trattamento massivo dei dati avveniva in maniera più centralizzata e tracciabile. Oggi, invece, ci troviamo immersi in un ecosistema digitale radicalmente cambiato, dove ogni interazione online genera enormi volumi di dati che vengono raccolti, analizzati e impiegati per fini sempre più sofisticati.
Le nuove sfide sono molteplici. L’uso massivo di dati biometrici, come il riconoscimento facciale, vocale o comportamentale, solleva interrogativi etici e giuridici profondi, soprattutto in contesti pubblici e non consensuali. La sorveglianza predittiva, utilizzata in settori come la sicurezza, il credito o la sanità, può portare a discriminazioni algoritmiche e violazioni della libertà personale, difficilmente compatibili con i principi di proporzionalità e minimizzazione del GDPR.
Inoltre, l’emergere di sistemi decentralizzati, come le piattaforme basate su intelligenze artificiali autonome, rende sempre più complesso identificare con precisione il “titolare del trattamento” o il “responsabile del trattamento” – figure chiave su cui si fonda l’intero impianto normativo del GDPR. Senza un soggetto chiaramente identificabile, anche le tutele previste per l’interessato rischiano di restare teoriche.
Il rischio, dunque, è che le regole scritte nel 2016 – pur ancora valide nei principi – non siano più pienamente adeguate a governare gli scenari tecnologici attuali e futuri. Le norme attuali faticano a tenere il passo con un’innovazione che corre molto più velocemente del diritto. È necessaria una riflessione seria sull’evoluzione del quadro normativo, affinché i diritti fondamentali dei cittadini europei continuino a essere effettivamente garantiti anche nell’era dell’intelligenza artificiale.
Quale futuro per la protezione dei dati?
Alla luce di queste considerazioni, è lecito chiedersi se non sia giunto il momento di un aggiornamento del GDPR o, quantomeno, di un suo rafforzamento strutturale. Il regolamento resta un pilastro fondamentale della tutela dei dati personali in Europa, ma la velocità con cui si stanno evolvendo le tecnologie digitali impone un ripensamento del modello normativo attuale.
Un possibile percorso potrebbe consistere in una maggiore integrazione del GDPR con le nuove normative europee, come il Digital Services Act (DSA), il Digital Markets Act (DMA) e, soprattutto, l’AI Act. Questi strumenti normativi, ancora in fase di piena attuazione, mirano a regolare ambiti complementari: il DSA si occupa della responsabilità delle piattaforme online, il DMA della concorrenza digitale e l’AI Act dell’uso etico e sicuro dell’intelligenza artificiale. Un approccio sinergico tra questi regolamenti e il GDPR potrebbe dare vita a un ecosistema giuridico più coerente, efficace e moderno, capace di rispondere con maggiore prontezza alle sfide emergenti.
Al centro di questa evoluzione dovrebbe esserci la promozione di una cultura della privacy “by design” e “by default”, come già previsto – ma spesso disatteso – dal GDPR stesso. Non si tratta più solo di adempiere a obblighi documentali o di ottenere consensi formali, ma di ripensare i processi tecnologici e organizzativi fin dalla fase di progettazione, con la protezione dei dati come valore intrinseco e non come componente accessoria.
Un simile cambiamento richiede anche un investimento significativo in formazione, competenze digitali e consapevolezza, sia da parte dei cittadini sia da parte delle imprese e della pubblica amministrazione. Solo così sarà possibile passare da una logica sanzionatoria a una logica realmente preventiva e costruttiva, in cui la protezione dei dati non sia vista come un ostacolo all’innovazione, ma come una sua condizione abilitante.
Il GDPR ha rappresentato un passo fondamentale per la tutela dei dati personali, ma dopo sette anni la sua efficacia reale è messa in discussione. Le sanzioni milionarie non sono bastate a innescare un cambiamento profondo e diffuso.
Serve ora un impegno condiviso tra istituzioni, imprese e cittadini per dare piena attuazione allo spirito del regolamento: restituire alle persone il controllo dei propri dati in un mondo sempre più digitale.
Alice Colussi – Centro Studi CGN
