Il Regolamento generale sulla protezione dei dati (GDPR) ha ridefinito il modo in cui le organizzazioni di tutto il mondo gestiscono i dati personali quando è entrato in vigore nel maggio 2018. A distanza di quasi otto anni, le autorità di controllo europee hanno emesso multe cumulative per un totale di 7,1 miliardi di euro e le notifiche di violazioni sono aumentate fino a raggiungere una media di 443 al giorno nel 2025, con un incremento del 22% rispetto all'anno precedente. Questi numeri rivelano una verità fondamentale per i team di sicurezza: la conformità al GDPR non è un esercizio di documentazione. Richiede il rilevamento continuo delle minacce, una risposta rapida agli incidenti e la capacità operativa di identificare le violazioni prima della scadenza del termine di notifica di 72 ore. Questa guida mappa i requisiti di sicurezza del GDPR alle capacità di rilevamento, con gli ultimi dati sull'applicazione e gli sviluppi normativi di cui i professionisti della sicurezza avranno bisogno nel 2026.
La conformità al GDPR è l'adesione di un'organizzazione al Regolamento generale sulla protezione dei dati dell'Unione Europea, che disciplina le modalità di raccolta, trattamento, conservazione e protezione dei dati personali dei residenti nell'UE e nel SEE. Richiede l'implementazione di misure di sicurezza tecniche e organizzative, la definizione di basi di trattamento legittime, il rispetto dei diritti degli interessati e il mantenimento della capacità di rilevare e segnalare le violazioni dei dati entro i termini previsti.
Il regolamento ha sostituito la precedente direttiva sulla protezione dei dati 95/46/CE e ha introdotto meccanismi di applicazione significativamente più rigorosi. Da quando è entrato in vigore il 25 maggio 2018, il GDPR ha generato multe cumulative per un totale di 7,1 miliardi di euro negli Stati membri dell'UE e del SEE, affermandosi come il quadro normativo più incisivo al mondo in materia di protezione dei dati.
L'articolo 5 stabilisce sette principi fondamentali che regolano tutto il trattamento dei dati personali:
Il sesto principio, integrità e riservatezza, è il punto in cui la sicurezza informatica e i requisiti di conformità al GDPR si intersecano direttamente. Esso impone una "sicurezza adeguata" per i dati personali, che il GDPR descrive in modo più dettagliato negli articoli 25 e 32.
Il GDPR protegge i dati personali, definiti in senso lato come qualsiasi informazione che possa identificare direttamente o indirettamente una persona vivente. Ciò include nomi, indirizzi e-mail, indirizzi IP, dati sulla posizione, dati biometrici, dati genetici e cartelle cliniche.
L'articolo 9 designa categorie speciali di dati sensibili, tra cui l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose, i dati sanitari e i dati biometrici utilizzati per l'identificazione, che richiedono protezioni elevate e il consenso esplicito per il trattamento.
Le organizzazioni dovrebbero comprendere la distinzione tra dati pseudonimizzati (che il GDPR continua a considerare dati personali) e dati realmente anonimizzati (che non rientrano nell'ambito di applicazione del GDPR). Questa distinzione è importante per le decisioni relative all'architettura di sicurezza.
Il GDPR garantisce inoltre agli interessati diritti specifici: accesso ai propri dati, rettifica delle inesattezze, cancellazione (il "diritto all'oblio"), portabilità dei dati, diritto di opporsi al trattamento e limitazione del trattamento. Ciascun diritto comporta obblighi corrispondenti per i team di sicurezza, che devono garantire che i dati possano essere individuati, modificati o cancellati in tutti i sistemi.
L'ambito di applicazione territoriale del GDPR ai sensi dell'articolo 3 si estende ben oltre i confini dell'UE. Tre criteri determinano se un'organizzazione deve conformarsi:
Le aziende statunitensi che trattano dati di clienti dell'UE, tracciano i visitatori dei siti web dell'UE o impiegano lavoratori con sede nell'UE devono conformarsi al GDPR. Ciò vale indipendentemente dalle dimensioni dell'azienda o dal fatto che essa abbia una presenza fisica nell'UE.
Ogni Stato membro dell'UE e del SEE dispone di un'autorità di controllo indipendente (denominata anche autorità di protezione dei dati o DPA) responsabile dell'applicazione del GDPR nella propria giurisdizione. Ne sono un esempio la Commissione irlandese per la protezione dei dati (DPC), la CNIL francese e la BfDI tedesca. Le organizzazioni devono designare un'autorità di controllo capofila in base alla sede della loro sede principale.
Un responsabile della protezione dei dati (DPO) deve essere nominato quando un'organizzazione è un'autorità pubblica, svolge un monitoraggio sistematico su larga scala di individui o tratta categorie speciali di dati sensibili su larga scala. Il DPO supervisiona la strategia di conformità normativa, conduce audit e funge da punto di contatto per le autorità di controllo.
Le organizzazioni con meno di 250 dipendenti beneficiano attualmente di alcune esenzioni in materia di conservazione dei dati. La proposta dell'UE Digital Omnibus (novembre 2025) aumenterebbe tale soglia a 750 dipendenti, se adottata.
Sebbene molte guide sul GDPR si concentrino sulla gestione del consenso e sui diritti degli interessati, gli articoli del regolamento relativi alla sicurezza informatica creano gli obblighi più diretti per i team addetti alle operazioni di sicurezza. Questi articoli non prescrivono tecnologie specifiche, ma richiedono misure "adeguate" basate sulla valutazione dei rischi.
Articolo 5, paragrafo 1, lettera f) - integrità e riservatezza. Questo principio fondamentale richiede una "sicurezza adeguata" dei dati personali, compresa la protezione contro il trattamento non autorizzato o illegale, la perdita accidentale, la distruzione o il danneggiamento. Esso costituisce la base giuridica per tutte le misure tecniche di sicurezza.
Articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita. La sicurezza deve essere integrata nei sistemi di trattamento sin dall'inizio, non aggiunta in un secondo momento. Ciò vale per l'architettura di rete, i controlli di accesso e le capacità di monitoraggio.
Articolo 32 - Sicurezza del trattamento. L'articolo più rilevante dal punto di vista operativo per i team di sicurezza, l'articolo 32 richiede quattro categorie specifiche di misure tecniche:
Articolo 33 - Notifica della violazione all'autorità di controllo. Le organizzazioni devono notificare all'autorità di controllo competente entro 72 ore dal momento in cui "vengono a conoscenza" di una violazione dei dati personali, a meno che la violazione non comporti un rischio per le persone fisiche. La notifica deve includere la natura della violazione, i recapiti del responsabile della protezione dei dati, le probabili conseguenze e le misure adottate o proposte per porvi rimedio. Si tratta della regola delle 72 ore del GDPR, il cui rispetto richiede capacità di risposta agli incidenti che la maggior parte dei programmi di conformità basati su checklist non possiede.
Nel 2025, le autorità di controllo europee hanno ricevuto in media 443 notifiche di violazioni al giorno, con un aumento del 22% rispetto all'anno precedente e il volume più alto dall'entrata in vigore del GDPR.
Articolo 34 - Notifica della violazione agli interessati. Quando una violazione comporta un "rischio elevato" per i diritti e le libertà delle persone, le organizzazioni devono anche informare direttamente gli interessati coinvolti.
Articolo 35 - Valutazione d'impatto sulla protezione dei dati (DPIA). Le attività di trattamento ad alto rischio richiedono una valutazione strutturata dei rischi prima dell'inizio del trattamento.
Tabella: Come il rilevamento e la risposta di rete supportano gli articoli sulla sicurezza del GDPR
Il termine di 72 ore previsto dall'articolo 33 per la notifica delle violazioni pone una sfida operativa fondamentale: le organizzazioni non possono notificare ciò che non sono in grado di rilevare. Il termine decorre dal momento in cui l'organizzazione "viene a conoscenza" di una violazione, secondo le linee guida 9/2022 dell'EDPB. I processi di rilevamento manuale, o l'assenza di processi di rilevamento, riducono il tempo a disposizione per le indagini, la valutazione dell'impatto e la notifica alle autorità di regolamentazione.
Un flusso di lavoro strutturato in otto fasi trasforma la notifica delle violazioni del GDPR da un'attività reattiva e frenetica a un processo ripetibile.
Flusso di lavoro dall'individuazione alla notifica per la conformità all'articolo 33 del GDPR. Testo alternativo: flusso di lavoro in otto fasi, dall'individuazione iniziale della minaccia alla notifica all'autorità di controllo, che mostra come ogni fase sia conforme agli articoli 32 e 33 del GDPR.
Il monitoraggio continuo della rete soddisfa direttamente il requisito di resilienza di cui all'articolo 32, paragrafo 1, lettera b), fornendo una visibilità costante sul comportamento del sistema di elaborazione. Il rilevamento automatico riduce il MTTD, concedendo ai team di sicurezza più tempo a disposizione per le indagini e le notifiche, anziché per la scoperta.
Le prove forensi ricavate dai metadati di rete supportano i requisiti di contenuto dell'articolo 33, paragrafo 3: le organizzazioni possono fornire alle autorità di controllo dettagli specifici sulla portata della violazione, sui flussi di dati interessati e sulle misure di contenimento.
L'analisi comportamentale rileva esfiltrazione dei dati modelli mappati su MITRE ATT&CK Esfiltrazione tattica (0010). Le tecniche chiave includono l'esfiltrazione tramite canali C2 (T1041), esfiltrazione tramite protocolli alternativi (T1048), esfiltrazione tramite servizi web (T1567) e l'esfiltrazione automatizzata (T1020). Ognuno di questi casi rappresenta una potenziale violazione del GDPR quando sono coinvolti dati personali.
Il rapporto IBM 2025 Cost of Data Breach Report ha rilevato che il 20% delle organizzazioni vittime di violazioni ha subito incidenti legati all'AI ombra, ovvero strumenti di intelligenza artificiale non autorizzati adottati senza la supervisione dell'IT. Queste violazioni legate all'AI ombra hanno aggiunto 670.000 dollari ai costi medi delle violazioni. Quando i dipendenti utilizzano strumenti di IA non autorizzati per elaborare dati personali, le organizzazioni si trovano ad affrontare un problema complesso: l'articolo 30 del GDPR richiede la conservazione dei registri di tutte le attività di trattamento, cosa impossibile quando i flussi di dati basati sull'IA sono invisibili al team di sicurezza.
Il costo medio globale delle violazioni ha raggiunto i 4,44 milioni di dollari nel 2025, mentre la media statunitense ha toccato i 10,22 milioni di dollari. È importante sottolineare che il 32% delle organizzazioni vittime di violazioni ha pagato multe normative, con il 48% di tali multe che ha superato i 100.000 dollari. Le capacità di rilevamento che portano alla luce flussi di dati non autorizzati, compresi quelli provenienti dall'IA ombra, riducono direttamente sia l'impatto delle violazioni che l'esposizione normativa.
Le organizzazioni dovrebbero implementare modelli di notifica predefiniti e trigger di flusso di lavoro automatizzati per ridurre il divario tra rilevamento e notifica.
L'articolo 83 stabilisce una struttura sanzionatoria a due livelli che varia in base al fatturato dell'organizzazione.
Tabella: Struttura delle sanzioni previste dal GDPR con esempi di applicazione nel 2025
Il sondaggio sulle sanzioni GDPR condotto da DLA Piper nel gennaio 2026 rivela che la pressione esercitata dalle autorità di controllo ha continuato a intensificarsi:
La violazione della Chiesa d'Inghilterra illustra un diverso modello di applicazione: controlli tecnici insufficienti, assenza di un solido sistema di gestione dei dati e processi di convalida da parte di terzi poco efficaci hanno portato alla divulgazione non autorizzata di dati sensibili relativi alla sicurezza. Questo caso dimostra che l'applicazione della legge mira alle carenze nella sicurezza operativa, non solo ai trasferimenti di dati che fanno notizia.
I costi di conformità al GDPR variano notevolmente a seconda delle dimensioni dell'organizzazione, del settore e del volume di elaborazione dei dati. Le stime vanno da 1,3 milioni a 25 milioni di dollari per l'implementazione iniziale, anche se la metodologia varia in modo significativo tra i vari sondaggi. Il CMS GDPR Enforcement Tracker fornisce un database completo e consultabile di tutte le azioni di applicazione pubblicate.
I team addetti alla sicurezza devono affrontare sempre più spesso obblighi normativi che si sovrappongono in diversi quadri normativi dell'UE. Comprendere dove queste normative convergono e dove divergono consente di evitare duplicazioni nel lavoro di conformità.
La proposta Digital Omnibus della Commissione Europea rappresenta il cambiamento potenziale più significativo al GDPR dalla sua entrata in vigore. Le principali modifiche proposte includono:
La proposta ha suscitato sia sostegno che critiche. La Commissione Europea la presenta come una misura volta a ridurre gli oneri amministrativi mantenendo al contempo le protezioni fondamentali. L'Electronic Frontier Foundation sostiene che essa "svuota i diritti alla privacy del GDPR" restringendo le definizioni dei dati e indebolendo la segnalazione delle violazioni. Le organizzazioni dovrebbero monitorare l'esito della consultazione e pianificare entrambi gli scenari.
Sia il GDPR che il NIS2 richiedono la segnalazione degli incidenti di sicurezza, misure tecniche e organizzative adeguate e la gestione dei rischi della catena di approvvigionamento. La differenza fondamentale: il GDPR tutela i diritti relativi ai dati personali, mentre il NIS2 si concentra sulla sicurezza informatica operativa per le entità essenziali e importanti.
Tabella: Confronto tra gli obblighi normativi sovrapposti dell'UE per i team di sicurezza informatica
Fonte: Cyberday.ai Confronto tra i quadri normativi dell'UE in materia di sicurezza informatica
Il GDPR protegge i dati personali dei residenti nell'UE e nel SEE con un modello basato sul consenso preventivo, mentre il California Consumer Privacy Act (CCPA) protegge i residenti in California con un modello di opt-out. Il GDPR si applica a livello globale in base alla posizione dell'interessato. Il CCPA si applica alle aziende che soddisfano specifici requisiti di fatturato o volume di dati all'interno della California. Le sanzioni previste dal GDPR sono significativamente più elevate e la definizione di dati personali del GDPR è più ampia rispetto a quella di informazioni personali del CCPA.
I dati IBM relativi al 2025 hanno rilevato che le violazioni dell'IA ombra hanno aggiunto 670.000 dollari ai costi medi. Le organizzazioni che implementano sistemi di IA devono far fronte a un duplice obbligo ai sensi del GDPR e della legge UE sull'IA, in particolare per quanto riguarda la formazione dell'IA sui dati personali, le disposizioni relative al processo decisionale automatizzato di cui all'articolo 22 e i requisiti di trasparenza. La visibilità a livello di rete dei flussi di dati dell'IA è essenziale per gestire contemporaneamente entrambi i quadri normativi.
Questa checklist assegna priorità ai requisiti delle operazioni di sicurezza insieme agli obblighi di documentazione. Gli audit di conformità trimestrali che coprono ogni area aiutano a mantenere una posizione di conformità continua.
Non esiste una "certificazione di conformità al GDPR" ufficiale rilasciata dalle autorità dell'UE. Tuttavia, l'articolo 42 consente agli organismi di certificazione approvati di offrire certificazioni che dimostrano la conformità a specifici aspetti del GDPR. Le certificazioni ISO 27001 e ISO 27701 sono comunemente utilizzate come prove a sostegno.
Il panorama della conformità al GDPR sta cambiando più rapidamente nel 2026 che in qualsiasi altro momento dall'entrata in vigore del regolamento. Tre sviluppi determineranno le priorità delle operazioni di sicurezza nei prossimi 12-24 mesi.
Il risultato del Digital Omnibus ridefinirà la notifica delle violazioni. Se adottata, la proposta di estensione del periodo di notifica da 72 a 96 ore darà alle organizzazioni più tempo per indagare, ma il consolidamento "report once, share many" (segnalare una volta, condividere molte volte) tra NIS2, GDPR, DORA ed eIDAS richiederà un'infrastruttura unificata per la segnalazione degli incidenti. Le organizzazioni dovrebbero creare flussi di lavoro dal rilevamento alla notifica che superino i requisiti attuali, anziché adeguarsi ai minimi previsti dalla normativa, in modo che qualsiasi modifica delle tempistiche diventi un vantaggio operativo anziché un motivo di rallentamento.
La governance dell'IA diventerà parte integrante della protezione dei dati. Le tempistiche di applicazione della legge sull'IA dell'UE continuano a evolversi, con requisiti di sistema ad alto rischio che ora puntano al dicembre 2027. Le organizzazioni che utilizzano l'IA per elaborare dati personali devono far fronte a obblighi convergenti sia ai sensi del GDPR che della legge sull'IA. L'IA ombra, già responsabile del 20% delle violazioni e di 670.000 dollari di costi aggiuntivi per ogni incidente, si intensificherà con l'accelerazione dell'adozione dell'IA. Il monitoraggio a livello di rete che rileva i flussi di dati IA non autorizzati passerà da best practice a requisito di conformità.
L'infrastruttura di rilevamento diventerà un requisito normativo, non solo una best practice. L'aumento del 22% delle notifiche giornaliere di violazioni, che nel 2025 raggiungeranno quota 443 al giorno, riflette la crescente maturità delle capacità di rilevamento delle organizzazioni. Le autorità di vigilanza si aspettano sempre più che le organizzazioni dimostrino capacità di rilevamento proattive, non solo processi di notifica reattivi. Gli investimenti nel monitoraggio continuo, nell'analisi comportamentale e nel triage automatizzato garantiranno rendimenti simultanei in ambito GDPR, NIS2 e nei framework emergenti.
Le organizzazioni stanno passando da valutazioni periodiche della conformità basate su liste di controllo a modelli di conformità continua basati su capacità di rilevamento e risposta. I programmi più efficaci integrano i flussi di lavoro relativi alla conformità e alla sicurezza, utilizzando il rilevamento automatico per attivare i processi di conformità anziché trattarli come flussi di lavoro separati.
Questo cambiamento riflette un riconoscimento più ampio da parte del settore: gli articoli della normativa relativi alla sicurezza (in particolare l'articolo 32) richiedono capacità tecniche continue, non audit puntuali. Rilevare le minacce in tempo reale, mappare tali rilevamenti agli obblighi di conformità e generare prove pronte per l'audit nel corso del processo è ciò che distingue i programmi di conformità maturi da quelli che scoprono le violazioni settimane o mesi dopo il fatto.
La filosofia "assumere il compromesso" Vectra AI è perfettamente in linea con i requisiti del GDPR in materia di rilevamento e risposta alle violazioni. Anziché considerare la conformità come un esercizio di documentazione, l'approccio "detection-first" utilizza Attack Signal Intelligence identificare in tempo reale le minacce ai dati personali in ambienti ibridi, che comprendono reti, cloud, identità e SaaS. Ciò riduce il tempo medio di rilevamento di oltre il 50% e aumenta del 52% (IDC) le minacce identificate in modo proattivo, supportando direttamente i requisiti operativi degli articoli 32 e 33. Quando le organizzazioni sono in grado di rilevare le minacce più rapidamente, preservano la finestra di notifica di 72 ore per l'indagine e la risposta, invece di impiegarla per la scoperta. La piattaforma SOC integra rilevamento, triage e indagine in un unico flusso di lavoro che si mappa direttamente al processo di rilevamento-notifica richiesto dal GDPR.
La conformità al GDPR non è un risultato statico. Si tratta di una capacità operativa continua che richiede il rilevamento costante delle minacce, una risposta strutturata agli incidenti e la capacità di adattarsi all'evoluzione del panorama normativo. L'aumento del 22% delle notifiche di violazioni nel corso del 2025, le multe per un totale di 1,2 miliardi di euro e la proposta Digital Omnibus in sospeso sono tutti segnali che indicano che le autorità di vigilanza si aspettano di più dalle organizzazioni, non di meno.
Per i team di sicurezza, la strada da seguire è chiara: sviluppare capacità di rilevamento che superino i tempi previsti dalle normative, mappare i controlli di sicurezza su framework sovrapposti e considerare la conformità come una funzione integrata delle operazioni di sicurezza piuttosto che come un'attività di documentazione separata. Le organizzazioni che oggi investono nella sicurezza basata sul rilevamento saranno in una posizione migliore per affrontare qualsiasi cambiamento normativo che potrà verificarsi in futuro.
Scopri come le funzionalità di rilevamento e risposta della rete Vectra AI supportano la conformità al GDPR e i requisiti più ampi delle operazioni di sicurezza.
La conformità al GDPR significa che un'organizzazione soddisfa tutti i requisiti del Regolamento generale sulla protezione dei dati dell'UE per la raccolta, l'elaborazione, l'archiviazione e la protezione dei dati personali dei residenti nell'UE e nel SEE. Ciò include l'implementazione di misure di sicurezza tecniche e organizzative adeguate ai sensi dell'articolo 32, la definizione di basi giuridiche per tutte le attività di trattamento dei dati, la conservazione dei registri delle attività di trattamento ai sensi dell'articolo 30 e lo sviluppo di capacità di risposta agli incidenti che consentano la notifica delle violazioni entro 72 ore ai sensi dell'articolo 33. La conformità va oltre la documentazione e si estende alle operazioni di sicurezza attive: le organizzazioni devono dimostrare di essere in grado di rilevare le violazioni, valutarne l'impatto e notificarle alle autorità di controllo con dettagli specifici sulla portata e sulle misure correttive. Da quando il GDPR è entrato in vigore nel maggio 2018, le autorità di controllo europee hanno emesso multe cumulative per un totale di 7,1 miliardi di euro, sottolineando che l'applicazione della normativa è in corso e si sta intensificando.
I sette principi di cui all'articolo 5 sono: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; accuratezza; limitazione della conservazione; integrità e riservatezza; responsabilità. Questi principi regolano tutte le attività di trattamento dei dati personali e costituiscono la base della conformità al GDPR. Il sesto principio, integrità e riservatezza, è particolarmente rilevante per i team di sicurezza perché richiede una "sicurezza adeguata", compresa la protezione contro il trattamento non autorizzato o illegale, la perdita accidentale, la distruzione o il danneggiamento. L'articolo 32 rende ulteriormente operativo questo principio richiedendo misure tecniche specifiche, tra cui la crittografia, la pseudonimizzazione e la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi di trattamento. Le organizzazioni che si concentrano solo sulla gestione del consenso e sulla documentazione senza affrontare i principi di sicurezza corrono un rischio significativo in termini di applicazione.
Sì. Il GDPR si applica a qualsiasi organizzazione in tutto il mondo che offra beni o servizi ai residenti dell'UE o del SEE o ne monitori il comportamento, indipendentemente dalla sede fisica dell'organizzazione. Le aziende statunitensi che trattano i dati dei clienti dell'UE, tracciano i visitatori dei siti web dell'UE tramite analisi o cookie, impiegano lavoratori con sede nell'UE o vendono a clienti negli Stati membri dell'UE devono conformarsi al GDPR. L'articolo 3 stabilisce esplicitamente questa portata extraterritoriale. Le aziende statunitensi soggette al GDPR devono designare un rappresentante nell'UE e potrebbero dover nominare un responsabile della protezione dei dati a seconda della natura e della portata delle loro attività di trattamento dei dati. Il meccanismo di applicazione funziona attraverso la cooperazione tra le autorità di controllo dell'UE e i quadri giuridici internazionali, e sono state inflitte con successo sanzioni pecuniarie a organizzazioni non UE.
L'articolo 33 impone alle organizzazioni di notificare all'autorità di controllo competente entro 72 ore dal momento in cui vengono a conoscenza di una violazione dei dati personali, a meno che la violazione non comporti un rischio per i diritti e le libertà delle persone. La notifica deve includere quattro elementi: la natura della violazione, comprese le categorie e il numero approssimativo di interessati coinvolti, il responsabile della protezione dei dati o altro punto di contatto, le probabili conseguenze della violazione e le misure adottate o proposte per affrontarla e mitigarla. Il termine di 72 ore decorre dal momento della "consapevolezza", non dal momento in cui si è verificata la violazione. Questa distinzione rende fondamentali le capacità di rilevamento: le organizzazioni con un tempo medio di rilevamento (MTTD) più lungo hanno a disposizione meno tempo delle 72 ore per le indagini e la notifica. La proposta dell'UE Digital Omnibus estenderebbe questo termine a 96 ore se adottata, anche se la consultazione rimane aperta fino all'11 marzo 2026.
Il GDPR impone una struttura sanzionatoria a due livelli ai sensi dell'articolo 83. Le violazioni di livello inferiore, tra cui inadempienze nella conservazione dei dati, misure di sicurezza inadeguate e violazioni degli accordi con i responsabili del trattamento, possono comportare sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo, a seconda di quale sia l'importo più elevato. Le violazioni di livello superiore, tra cui la violazione dei principi di trattamento dei dati, i trasferimenti illegali di dati e la violazione dei diritti degli interessati, possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale dei due importi sia maggiore. In pratica, l'applicazione della normativa è stata sostanziale: solo nel 2025 sono state comminate ammende per 1,2 miliardi di euro, con TikTok che ha ricevuto la più alta ammenda individuale di 530 milioni di euro per aver trasferito i dati degli utenti del SEE in Cina senza adeguate protezioni. Oltre alle sanzioni pecuniarie, le autorità di controllo possono ordinare alle organizzazioni di cessare completamente le attività di trattamento, il che può avere conseguenze devastanti dal punto di vista operativo.
Il GDPR protegge i dati personali dei residenti nell'UE e nel SEE utilizzando un modello basato sul consenso preventivo (opt-in), mentre il California Consumer Privacy Act protegge i residenti in California utilizzando un modello opt-out. Il GDPR si applica a livello globale in base alla posizione dell'interessato: qualsiasi organizzazione in tutto il mondo che tratta dati di residenti nell'UE deve conformarsi. Il CCPA si applica alle aziende che soddisfano specifiche soglie di fatturato (25 milioni di dollari di fatturato annuo) o soglie di volume di dati all'interno della California. La definizione di dati personali del GDPR è più ampia e include esplicitamente indirizzi IP, identificatori di cookie e ID dei dispositivi. Le sanzioni previste dal GDPR sono significativamente più elevate (fino a 20 milioni di euro o al 4% del fatturato globale) rispetto a quelle previste dal CCPA (fino a 7.500 USD per ogni violazione intenzionale). Entrambe le normative garantiscono agli individui diritti sui propri dati, ma il GDPR offre diritti più completi, tra cui la portabilità dei dati e il diritto alla limitazione del trattamento.
I costi di conformità variano notevolmente in base alle dimensioni dell'organizzazione, al settore, alla complessità dell'elaborazione dei dati e all'attuale maturità della sicurezza. Le stime per l'implementazione iniziale variano da circa 100.000 dollari per le organizzazioni più piccole a 1 milione di dollari o più per le grandi imprese, con costi annuali ricorrenti compresi tra 150.000 e 500.000 dollari o più per mantenere la conformità. Alcune indagini di settore citano costi di conformità totali compresi tra 1,3 milioni e 25 milioni di dollari per le grandi imprese, anche se la metodologia varia in modo significativo da un'indagine all'altra. Il costo della non conformità supera in genere di gran lunga l'investimento per la conformità: solo nel 2025 sono state emesse multe per 1,2 miliardi di euro in tutta l'UE e il 32% delle organizzazioni che hanno violato la normativa ha pagato multe regolamentari. Le organizzazioni dovrebbero considerare la spesa per la conformità come una riduzione del rischio piuttosto che come un puro costo, soprattutto considerando che nel 2025 i costi delle violazioni sono stati in media di 4,44 milioni di dollari a livello globale e di 10,22 milioni di dollari negli Stati Uniti.