L’Annual Report 2025 dell’EDPB documenta un impegno che si estende dalla produzione normativa interna al coordinamento tra le autorità nazionali, integrando la partecipazione ai processi legislativi dell’Unione con un’intensa attività di relazione verso gli stakeholder internazionali.

Piuttosto che una semplice rendicontazione, il documento delinea il consolidamento di un ruolo sempre più centrale dell’organismo nell’ecosistema normativo europeo.

Il GDPR come architrave: perché il Board cambia postura

I numeri confermano la portata del lavoro svolto. Il registro EDPB conta 414 casi transfrontalieri aperti, 1.299 procedure One-Stop-Shop avviate ai sensi dell’art. 60 GDPR, 572 decisioni finali, 29 pareri di coerenza ex art. 64(1), 15 procedimenti davanti alla Corte di Giustizia dell’Unione Europea, oltre 1,15 miliardi di euro in sanzioni irrogate dalle autorità nazionali, cinque pareri su decisioni di adeguatezza e oltre 500 riunioni gestite dal Segretariato nel corso dell’anno.

Il Board cambia perché cambiano gli effetti reali della regolazione dei dati. Regolando i dati personali si regolano le condizioni di accesso al mercato digitale, le asimmetrie di potere tra piattaforme e utenti, le basi giuridiche su cui si costruisce l’intelligenza artificiale, i margini di manovra dei grandi operatori tecnologici.

Il GDPR diventa una leva di regolazione economica e sociale e il Board ne prende atto ampliando il proprio perimetro d’azione ben oltre la mera funzione di coordinamento interpretativo tra le autorità di controllo degli Stati membri.

Il GDPR nel progetto dell’euro digitale

Il perimetro si estende anche oltre il mercato digitale privato. Nel 2025 il Board ha adottato con l’EDPS un parere congiunto sul regolamento istitutivo dell’euro digitale e ha commissionato uno studio sulla fattibilità tecnica della modalità offline basata su token, architettura che sostiene esplicitamente perché garantisce anonimato e resistenza alla tracciabilità paragonabili al contante fisico.

Quando l’EDPB interviene sulle scelte progettuali della moneta digitale europea, la protezione dei dati smette di essere una questione settoriale e diventa una variabile strutturale nelle decisioni di architettura istituzionale e di politica monetaria.

Il GDPR nel diritto sportivo internazionale

Su richiesta della Commissione europea, il Board ha adottato a febbraio 2025 le Raccomandazioni sul Codice Mondiale Antidoping WADA 2027, valutando la compatibilità del Codice e del relativo Standard Internazionale per la Protezione dei Dati con il GDPR

Il Board ha riconosciuto alcuni miglioramenti rispetto alla versione precedente ma ha sollevato criticità su consenso, limitazione delle finalità e attribuzione dei ruoli, sottolineando la necessità che gli Stati membri garantiscano che le misure nazionali antidoping adottate in attuazione del Codice siano conformi al GDPR.

La protezione dei dati entra così anche nel diritto sportivo internazionale, condizionando le modalità con cui gli Stati membri europei attuano le regole antidoping a livello nazionale.

Il GDPR nelle organizzazioni internazionali

Nel 2025 il Board ha adottato un parere sulla bozza di decisione di adeguatezza della Commissione europea riguardante l’Organizzazione Europea dei Brevetti. Si tratta della prima decisione di adeguatezza nella storia del GDPR riferita non a un paese terzo ma a un’organizzazione internazionale.

Il Board ha rilevato che il quadro di protezione dei dati dell’EPO è largamente allineato con quello europeo, inclusi diritti e principi fondamentali.

Il risultato dimostra che le disposizioni del GDPR sui trasferimenti internazionali di dati possono estendersi anche a soggetti di diritto internazionale, aprendo una strada che potrebbe riguardare in futuro altre organizzazioni dello stesso tipo.

Dal coordinamento alla regia: il nuovo ruolo dell’EDPB nel digitale europeo

Il 2025 ha prodotto risultati concreti in questa direzione. Le prime linee guida congiunte con la Commissione europea sull’interazione tra DMA e GDPR, le linee guida sul DSA e il GDPR e i lavori in corso sull’AI Act mostrano un Board che non si limita a interpretare il GDPR in modo isolato ma ne presidia le connessioni con l’intero quadro normativo digitale.

Per le organizzazioni che operano nel mercato europeo questo significa che le questioni di conformità non si esauriscono più nel perimetro del singolo regolamento ma vanno lette nell’insieme delle regole che il Board sta progressivamente raccordando.

La semplificazione normativa

Nel 2025, la necessità di alleggerire gli oneri amministrativi per sostenere la competitività delle imprese è diventata una priorità nell’agenda europea.

L’EDPB ha risposto a questa sfida adottando a luglio la Helsinki Statement e partecipando attivamente al dibattito sul pacchetto Digital Omnibus. Insieme all’EDPS, il Board ha anche formalizzato un parere sulla proposta della Commissione di modificare alcuni regolamenti chiave, incluso il GDPR, avviando parallelamente consultazioni pubbliche per individuare gli strumenti pratici più utili, come template e modelli documentali, per gestire la conformità.

Il segnale lanciato dal report è inequivocabile. La semplificazione deve riguardare esclusivamente le modalità con cui la conformità viene dimostrata e documentata, senza intaccare minimamente i livelli di protezione garantiti o la sostanza degli obblighi in capo ai titolari.

Ridurre la burocrazia non può significare un indebolimento dell’accountability. Chi interpreta queste aperture procedurali come un allentamento delle regole sostanziali compie un errore di valutazione che rischia di produrre conseguenze pesanti nel momento dei controlli.

L’intelligenza artificiale è il banco di prova reale

Nel report 2025 l’intelligenza artificiale è il terreno su cui l’interpretazione del GDPR produce gli effetti più concreti e più rilevanti. Le scelte del Board su basi giuridiche, trasparenza e diritti degli interessati condizionano direttamente come i sistemi di AI possono essere progettati, addestrati e messi in produzione.

L’AI non è infatti un settore separato quanto piuttosto il nuovo contesto in cui i pilastri del GDPR si scontrano con una complessità tecnica che il legislatore del 2016 non poteva prevedere integralmente. Oggi il Board è chiamato a sciogliere nodi estremamente pratici che vanno dalla ricerca di una base giuridica solida per l’addestramento dei modelli alla gestione della trasparenza per output di natura probabilistica.

Per chi sviluppa o implementa queste tecnologie le indicazioni dell’EDPB non sono più un semplice passaggio burocratico ma un vincolo che incide direttamente sulla progettazione tecnica. Lo dimostra il framework di gestione del rischio specifico per i Large Language Models (LLMs) pubblicato ad aprile 2025 che analizza casi d’uso reali come i chatbot per il customer care e i sistemi di monitoraggio scolastico offrendo misure di mitigazione concrete.

L’approccio del Board si sta facendo anche collaborativo e “open” attraverso i nuovi curricula formativi sulla sicurezza dei sistemi AI e sulla conformità legale destinati a DPO e professionisti della cyber security. Il fatto che questi documenti siano stati importati in un repository Git dedicato per permettere una revisione continua da parte della comunità esterna segna il passaggio definitivo a una regolazione dinamica.

Le linee guida sull’interazione tra GDPR e AI Act attese per il 2026 si innesteranno su questo solco operativo obbligando le organizzazioni a valutare le proprie scelte architetturali ben prima della messa in produzione dei sistemi.

Il design come oggetto diretto di enforcement

Le Raccomandazioni del dicembre 2025 sull’obbligatorietà degli account nell’e-commerce segnano un cambio di rotta netto, spostando il focus dalle informative alle scelte progettuali. Non basta più comunicare all’utente la creazione di un profilo perché diventa necessario dimostrare che quella specifica architettura sia davvero indispensabile e proporzionata rispetto al fine perseguito.

Questa stessa impostazione emerge dalle linee guida su pseudonimizzazione e blockchain, dove le scelte tecniche incidono direttamente sui diritti delle persone ben oltre gli adempimenti formali.

Anche il Coordinated Enforcement Framework lanciato a marzo sul diritto alla cancellazione conferma questa direzione, dato che in quell’ambito la conformità si misura sulla struttura del sistema.

I numeri dell’enforcement e la realtà oltre le sanzioni

Sebbene gli 1,15 miliardi di euro di sanzioni irrogate nel 2025 catturino l’attenzione, la vera notizia risiede nel consolidamento del meccanismo di cooperazione. L’efficacia della regolazione europea non si misura più soltanto sul valore economico delle multe, ma sulla massa critica raggiunta nella gestione dei casi transfrontalieri e nelle procedure davanti alla Corte di Giustizia.

In questo scenario, strumenti come il Coordinated Enforcement Framework e il Support Pool of Experts hanno smesso di essere semplici canali di comunicazione per diventare veri motori di allineamento metodologico.

La progressione strategica dei lavori, che si sposta dal diritto alla cancellazione nel 2025 agli obblighi di trasparenza nel 2026, rivela una pianificazione accurata dell’enforcement. Le autorità nazionali stanno affinando le competenze tecniche necessarie per analizzare i flussi di dati reali e le infrastrutture informatiche, superando il tradizionale controllo sulla documentazione formale.

Per chi opera nel mercato europeo questo cambio di passo è determinante, perché dimostra che limitarsi a “mettere a posto le carte” non garantisce alcuna protezione. Se la sostanza manca, rimediare a ispezione già avviata è una missione quasi impossibile.

Oltre la compliance: le implicazioni strategiche

L’Annual Report 2025 restituisce l’immagine di un sistema che ha cambiato natura senza mutare nome. Il GDPR rimane formalmente lo stesso ma è diventato la spina dorsale del diritto digitale europeo e condiziona ormai lo sviluppo dell’intelligenza artificiale e i rapporti di forza tra i grandi operatori e il resto dell’economia.

Per chi si occupa di dati la realtà operativa ha subito una sterzata netta. Le indicazioni che il Board sta elaborando proprio ora peseranno sulle scelte tecniche che le organizzazioni compiono oggi, molto prima che le linee guida sull’AI Act del 2026 diventino ufficiali.

Allo stesso tempo la semplificazione burocratica non va scambiata per un calo della guardia perché snellire le procedure non significa affatto intaccare la sostanza dell’accountability.

Con un enforcement sempre più tecnico e allineato tra le diverse autorità nazionali l’attenzione si sposta definitivamente dai documenti ai flussi reali e alle architetture dei sistemi. In questo scenario il report 2025 smette di essere un consuntivo e diventa una mappa per capire dove si sta muovendo la vigilanza europea.