In totale, dal 2018, le sanzioni GDPR hanno superato i 5,88 miliardi di euro. La multa record di 1,2 miliardi di euro inflitta a Meta Platforms Ireland Limited nel 2023 ha fortemente influenzato i dati del 2024, contribuendo al calo osservato. Le grandi aziende tecnologiche e i social media rimangono i principali bersagli delle sanzioni più pesanti: quasi tutte le dieci multe più elevate dal 2018 hanno coinvolto questo settore. Solo nel 2024, l'Irlanda ha multato LinkedIn per 310 milioni di euro e Meta per 251 milioni di euro. Oltre al settore tecnologico, il GDPR ha interessato anche altri ambiti, come i servizi finanziari e l’energia. Ad esempio, una banca spagnola ha ricevuto due multe per 6,2 milioni di euro per carenze di sicurezza, mentre un fornitore di servizi energetici italiano è stato sanzionato per 5 milioni di euro per l’utilizzo di dati obsoleti.

Il Regno Unito, invece, si è distinto per il basso numero di sanzioni, con il Commissario per l’Informazione, John Edwards, che ha pubblicamente espresso dubbi sull’efficacia delle multe come strumento deterrente, “poiché potrebbero trascinare l'ufficio in anni di contenziosi”. Un aspetto rilevante del 2024 è l’accresciuta attenzione alla responsabilità dei dirigenti. L’Autorità olandese per la protezione dei dati ha avviato un’indagine per valutare la responsabilità personale dei dirigenti di Clearview AI dopo una multa di 30,5 milioni di euro all’azienda, aprendo la strada a un possibile cambiamento radicale nell’applicazione del GDPR. Infine, il numero medio di notifiche di violazione dei dati è aumentato leggermente, passando da 335 a 363 al giorno, suggerendo una maggiore consapevolezza del rischio da parte delle aziende.

I Paesi Bassi, la Germania e la Polonia restano i paesi con il maggior numero di notifiche dal 25 maggio 2018, con rispettivamente 33.471, 27.829 e 14.286 notifiche nell'ultimo anno.

Commentando l’indagine, Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia, ha dichiarato: "Per la prima volta, i dati di quest'anno non hanno segnato nuovi record, e qualcuno potrebbe pensare che ci sia un rallentamento nell'applicazione del GDPR. Nulla di più lontano dalla realtà. Dall'aumento delle sanzioni in settori al di fuori del big tech e dei social media, all'uso del GDPR come strumento di regolamentazione dell'IA, alle significative sanzioni in Germania, Italia e Paesi Bassi, fino all'allontanamento del Regno Unito da un approccio basato sulle multe – il GDPR rimane un panorama dinamico ed in continua evoluzione".



"Personalmente, ricorderò il 2024 come l'anno in cui l'applicazione del GDPR è diventata personale. Con l’Autorità olandese che promuove la responsabilità individuale per la gestione di Clearview AI, il 2025 potrebbe essere l'anno in cui i regolatori si concentreranno maggiormente sul 'naming and shaming' e sulla responsabilità personale per migliorare la conformità alla protezione dei dati."