GDPR: rassegna stampa N° 9 / 2025
Rassegna stampa mensile
Privacy e Protezione dei dati personali
Privacy tra nuovi equilibri e vecchie vulnerabilità
Cari custodi della privacy,
settembre si è aperto con un messaggio chiaro: la protezione dei dati non è solo un adempimento, ma una responsabilità collettiva che attraversa istituzioni, imprese e cittadini. Dalle aule di giustizia ai corridoi delle pubbliche amministrazioni, la cronaca del mese racconta di un ecosistema digitale che cerca equilibrio tra regole, tecnologie e fiducia.
La Corte dei conti ha ricordato che ignorare le prescrizioni del Garante può tradursi in danno erariale, mentre la Cassazione ha riaffermato che la casella e-mail del lavoratore è personale e inviolabile. È un doppio richiamo al senso di accountability, troppo spesso sacrificato tra superficialità organizzativa e controlli sproporzionati.
Sul fronte europeo, il Data Privacy Framework ha superato la prova del Tribunale UE, garantendo continuità ai trasferimenti transatlantici, mentre l’EDPB e il GEPD chiedono chiarezza nella proposta di modifica del GDPR, affinché la semplificazione non diventi erosione delle tutele. Parallelamente, la “sentenza Deloitte” della Corte di Giustizia segna una svolta storica: la pseudonimizzazione non è un’etichetta formale, ma una questione di concreta identificabilità.
La cronaca italiana non è meno significativa: dal Comune di Pompei sanzionato per anni di inerzia nella nomina del DPO, alla conferma del Garante sulla necessità di chiarezza nei cookie banner, fino alle nuove Linee guida sull’IA nelle scuole e al via libera alla piattaforma CEREBRO per le indagini patrimoniali. Tutti segnali di un’Autorità che coniuga rigore e pragmatismo, mostrando che innovazione e tutela possono convivere.
Sul piano sociale, cresce la consapevolezza che la cybersecurity è un valore economico e non un costo. Il Data Act, ora operativo, promette un nuovo equilibrio tra accessibilità e responsabilità dei dati, mentre la legge italiana sull’intelligenza artificiale riporta al centro il tema dei diritti fondamentali e della sicurezza. Ma all’orizzonte si profila anche il dibattito più controverso dell’anno: il regolamento europeo Chat Control, che riaccende la tensione tra tutela dei minori e diritto alla riservatezza.
Settembre ci consegna dunque un quadro complesso ma coerente: tra sanzioni e norme, tra algoritmi e accountability, la privacy resta il linguaggio della fiducia. È la bussola che orienta scelte, comportamenti e tecnologie, ricordandoci che la vera sicurezza digitale nasce da regole comprensibili, proporzionate e condivise.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
RASSEGNA STAMPA SETTEMBRE
1° settembre 2025 | Fonte: www.cybersecurity360.it
Non adeguarsi alle prescrizioni del Garante è danno erariale, lo dice la Corte dei conti
La Corte dei conti della Valle d’Aosta con una recente sentenza è netta nel dire che si configura un’ipotesi di danno erariale quando una PA, in questo caso la Regione della Valle d’Aosta, paga la sanzione del Garante privacy e il dirigente non si attiene alle prescrizioni dell’Autorità. Non ci sono più scuse: non adeguarsi alle prescrizioni dell’Autorità Garante per la protezione dei dati può costare caro alle tasche di un dirigente. Così ha deciso la Corte dei Conti, sezione giurisdizionale per la regione Valle d’Aosta, con la sentenza n. 36 del 12 agosto 2025. Una sentenza che fa riflettere per quanto non si tratti di un caso isolato, esistendo già un precedente in tal senso. Ma capiamo meglio di che si è trattato e il perché.
2 settembre 2025 | Fonte: www.garanteprivacy.it
Privacy violata: così puoi agire se trovi la tua foto o un deepfake col tuo volto su un sito porno
Il principio è semplice: ciascuno ha diritto di tracciare i confini tra l’intimo, il privato e il pubblico decidendo cosa di sé non condividere con nessuno, cosa condividere con pochi, cosa condividere con tutti. Nessuno dovrebbe, per nessuna ragione, violare questi confini. I fatti di cronaca delle ultime settimane, tuttavia, raccontano che purtroppo accade, accade spesso e accade in maniera abominevole, disumana e violenta anche attraverso la pubblicazione online di immagini sessualmente esplicite all’insaputa delle persone ritratte e in assenza di qualsivoglia loro consenso. In tante e in tanti, quindi, in questi giorni si stanno chiedendo cosa fare se ci si trova vittima di una simile orribile invasione della propria intimità. Inutile e, forse, controproducente creare o alimentare illusioni: la verità è che quando ciò che dovrebbe restare intimo diventa pubblico nella dimensione digitale, poi renderlo di nuovo intimo può essere drammaticamente difficile, talvolta impossibile.
Intervento di Guido Scorza, Componente del Garante per la protezione dei dati personali
(Il Fatto quotidiano – Blog, 2 settembre 2025)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10163331
2 settembre 2025 | Fonte: www.agendadigitale.ue
Migliori password manager del 2025: guida alla sicurezza online
Un password manager è una “cassaforte digitale” che protegge credenziali e dati sensibili offrendo funzioni come generazione di password sicure, compilazione automatica e sincronizzazione multi-dispositivo. Guida a NordPass, LastPass, Kaspersky e 1Password che garantiscono crittografia avanzata e modello zero-knowledge. n password manager è un’applicazione software o un servizio che aiuta a gestire le nostre credenziali online. È stato progettato per risolvere il problema della “password fatigue” (stanchezza da password) e per migliorare la sicurezza digitale.
https://www.agendadigitale.eu/sicurezza/migliori-password-manager/
3 settembre 2025 | Fonte: www.cybersecurity360.it
Data Privacy Framework: il Tribunale UE respinge il ricorso e salva i trasferimenti dati UE-USA
Confermato il livello adeguato di protezione dei dati negli Stati Uniti: respinta la richiesta di annullamento presentata da Philippe Latombe. La decisione conferma che, alla data del DPF, gli USA garantivano un livello adeguato di protezione dei dati personali trasferiti dall’UE verso organizzazioni americane. Respingendo il ricorso contro la decisione di adeguatezza della Commissione UE del 10 luglio 2023, il Tribunale dell’Unione Europea ha confermato la validità del Data Privacy Framework, il nuovo quadro normativo per il trasferimento dati tra UE e USA.
Secondo il Tribunale europeo, il nuovo framework garantisce un livello di protezione “essenzialmente equivalente” a quello garantito in Europa dal GDPR e dalla normativa sulla protezione dei dati personali.
Al momento, dunque, dopo le sentenze Schrems I e Schrems II, sembrerebbe essere scongiurato un nuovo “effetto Schrems III” e, di fatto, il Tribunale ha salvato il trasferimento dati UE-USA.
https://www.cybersecurity360.it/news/data-privacy-framework-tiro-salvezza-superato/
3 settembre 2025 | Fonte: www.altalex.com
Modifiche al GDPR: EDPB e GEPD chiedono chiarezza su deroga ai registri PMI
Il Comitato europeo per la protezione dei dati (EDPB) ed il Garante europeo della protezione dei dati (GEPD) hanno recentemente indirizzato alla Commissione europea una lettera congiunta in merito alla proposta legislativa di semplificazione dell’obbligo di tenuta dei registri delle attività di trattamento, attualmente disciplinato dall’articolo 30 del Regolamento (UE) 2016/679 (GDPR).
4 settembre 2025 | Fonte: www.federprivacy.it
Due maxi batoste per violazioni della privacy costano a Google oltre 700 milioni di euro in un solo giorno
In un solo giorno sono arrivate ben due batoste per Google, accusato di violazioni della privacy su due fronti completamente diversi, ma che in totale costeranno oltre 700 milioni di euro al colosso tecnologico di Mountain View. Da un lato la Francia, con una pesante sanzione della Commission Nationale de l’Informatique et des Libertés (CNIL), e dall’altro gli Stati Uniti, dove una giuria californiana ha imposto un maxi-risarcimento a favore degli utenti. La sanzione della CNIL in Francia – Il 3 settembre 2025 l’autorità francese per la protezione dei dati, CNIL, ha inflitto a Google e alla sua controllata irlandese una multa di 325 milioni di euro. Al centro del procedimento l’uso di cookie nella fase di creazione degli account e la visualizzazione di annunci pubblicitari su Gmail senza un consenso valido degli utenti. La CNIL ha dato sei mesi di tempo all’azienda per adeguarsi, fissando in 100.000 euro al giorno la sanzione in caso di mancato rispetto. Google ha replicato sottolineando di aver già introdotto strumenti per rifiutare gli annunci personalizzati e modifiche al layout di Gmail. La class action negli Stati Uniti – Sempre lo stesso giorno, una giuria federale californiana ha condannato Google a pagare 425 milioni di dollari (pari a circa 364 milioni di euro) nell’ambito di una class action. L’accusa: aver continuato a raccogliere dati degli utenti anche dopo la disattivazione dell’impostazione “Web & App Activity”.
4 settembre 2025 | Fonte: www.federprivacy.it
Solo il 49% delle aziende che ha subìto un attacco hacker decide di investire in cybersecurity
Nella società digitale in cui viviamo gli attacchi hacker sono ormai all’ordine del giorno, eppure le imprese che ne sono colpite non corrono ai ripari per mettere in sicurezza i dati come ci si aspetterebbe, e le ultime statistiche sembrano evidenziare pure un calo di sensibilità verso i rischi cibernetici. Se nel 2024 il 63% delle aziende che avevano subìto una violazione decidevano poi di investire in cybersecurity per evitare di trovarsi nuovamente nei guai a causa di incidenti informatici, quest’anno il rapporto “2025 Cost of a Data Breach” rivela che adesso la percentuale è scesa addirittura al 49%. A quanto pare, meno della metà dei management che ha già sperimentato le conseguenze di un attacco informatico non sembra quindi preoccuparsi eccessivamente dell’eventualità di dover affrontare nuovamente una violazione dei dati aziendali, nonostante che lo stesso report di IBM quantifichi in 4,44 milioni di dollari il costo medio complessivo di ogni singolo “data breach”.
4 settembre 2025 | Fonte: www.cybersecurity360.it
Pseudonimizzazione dati: storica “sentenza Deloitte” della CGUE che cambia le regole compliance
Con la sentenza C-413/23 P (EDPS c. SRB), la Corte di Giustizia UE riafferma i principi sul concetto di dato personale, sulla pseudonimizzazione e sull’obbligo di informazione in capo ai titolari del trattamento. Un pronunciamento destinato ad avere un impatto rilevante sulla prassi di imprese e istituzioni europee. Attesissima, è arrivata la cosiddetta “sentenza Deloitte” con cui la Corte di Giustizia europea ha riaffermato i principi sul concetto di dato personale, sulla pseudonimizzazione e sull’obbligo di informazione in capo ai titolari del trattamento. Una sentenza destinata a fare storia perché stabilisce che, qualora il soggetto terzo non sia concretamente in grado di collegare le informazioni pseudonimizzate con eventuali identificatori personali, allora i dati possono essere considerati anonimi.
4 settembre 2025 | Fonte: www.federprivacy.it
I browser con IA: la nuova frontiera delle violazioni della privacy
La rivoluzione dell’intelligenza artificiale ha raggiunto l’ultimo baluardo della nostra vita digitale: il browser web. Quello strumento che utilizziamo quotidianamente per navigare, lavorare e comunicare online si sta rapidamente trasformando in qualcosa di profondamente diverso da quello che conoscevamo. I nuovi “AI browser” promettono un’esperienza di navigazione più intelligente e personalizzata, ma nascondono una realtà inquietante che dovrebbe preoccupare profondamente tutti coloro che si occupano di protezione dei dati personali. Un recente studio condotto congiuntamente dall’University College di Londra e dall’Università degli Studi Mediterranea di Reggio Calabria ha sollevato il velo su quella che potrebbe essere definita la più subdola forma di raccolta dati mai implementata nella storia del web. I ricercatori hanno analizzato il comportamento dei principali browser che integrano funzionalità di intelligenza artificiale, scoprendo modalità di tracciamento e acquisizione di informazioni personali che vanno ben oltre tutto quello che avevamo visto fino ad oggi.
5 settembre 2025 | Fonte: www.cybersecurity360.it
L’e-mail del lavoratore è personale e quindi inviolabile: lo dice la Cassazione
La Corte di cassazione è chiara nel dire che la casella e-mail del dipendente va considerata come personale afferente alla sfera della “vita privata” e non può essere violata nemmeno se risiede su server aziendale, confermando l’orientamento della Corte di appello che ribaltava la decisione del tribunale di Milano. Accedere alla posta elettronica dei lavoratori non è (più) possibile né consentito al datore di lavoro nemmeno per difendersi giudizialmente, adducendo che le e-mail sono sul server dell’azienda e localmente nel PC dato in dotazione al dipendente.
Circostanze tutte, quindi, che per la Corte di Appello prima e la Cassazione dopo in linea di continuità, non rilevano anzi aggravano. Spieghiamo meglio.
9 settembre 2025 | Fonte: www.federprivacy.it
Corte di Giustizia UE, il dato pseudonimo non e’ per sempre: dipende dalla identificabilità dell’interessato
La sentenza della Corte di Giustizia dell’Unione Europea del 4 settembre 2025 ha invalidato la pronuncia del Tribunale dell’Unione europea del 26 aprile 2023 nella causa C-413/23-P, promossa dal Garante europeo della protezione dei dati (GEPD) contro il SRB (Single Resolution Board, agenzia dell’Unione Europea per la gestione delle crisi bancarie). Nel giugno 2017 il SRB adottava un programma di risoluzione per il Banco Popular Español SA dichiarato in crisi, programma culminato nel trasferimento delle azioni all’acquirente Banco Santander SA, e nell’agosto 2018 il SRB apriva una procedura per stabilire se agli azionisti/creditori del Banco Popular spettasse un indennizzo, con la previsione di una fase di iscrizione, in cui gli interessati dovevano dimostrare il possesso dei titoli al momento della risoluzione, e di una di consultazione, in cui dovevano presentare le osservazioni. Alla società Deloitte, quale valutatore indipendente, venivano trasmesse dal SRB le osservazioni dei creditori/azionisti ricevute nella fase di consultazione, con un codice alfanumerico e senza possibilità di accesso ai dati raccolti durante la fase di iscrizione. Nell’ultimo trimestre del 2019 alcuni azionisti/creditori proponevano reclami dinanzi al GEPD rilevando che il SRB non li aveva informati che i dati raccolti sarebbero stati trasmessi a Deloitte.
9 settembre 2025 | Fonte: www.federprivacy.it
Garante Privacy: la chiarezza come priorità nella gestione dei cookie
Come è noto, la corretta gestione dei cookie parte già dall’impostazione del banner ma questo non è l’unico elemento di cui si deve tenere conto. Un presupposto fondamentale è infatti quello della chiarezza che svolge la duplice funzione di esprimere il principio di trasparenza ed integrare il fondamento di liceità del consenso, che costituisce l’unica base giuridica per le attività di trattamento svolte tramite cookie non di natura tecnica. Nel corso della conduzione degli accertamenti a campione all’interno del settore dell’e-commerce per la verifica del rispetto delle Linee guida in materia di cookie e altri strumenti di tracciamento, l’Autorità Garante per la protezione dei dati personali ha avuto occasione di affrontare questo aspetto con il provv. n. 391 del 10 luglio 2025. Già dopo il primo accesso, è stato infatti necessario rivolgere una richiesta di informazioni al titolare, dal momento che il sito faceva utilizzo di cookie, come confermato da una verifica tramite browser, ma:
– presentava un banner cookie che invitava a consultare la cookie policy e avvertiva che in caso di chiusura, scrolling o prosecuzione della navigazione l’utente avrebbe acconsentito all’uso dei cookie;
– pur indicando nel footer i link a privacy e cookie policy, questi indirizzavano a pagine vuote.
10 settembre 2025 | Fonte: www.cybersecurity360.it
La sensibilità cyber non è innata, ecco come si diventa consapevoli
Non possiamo prescindere dall’essere informati su cosa non fare ma l’insegnamento deve essere focalizzato sul condividere informazioni sul contesto: il territorio su cui attaccanti e difensori si scontrano.
Da quando ENIAC , il primo calcolatore elettronico “general purpose“, è stato presentato nel 1946 ad oggi la digitalizzazione ha subito diverse trasformazioni ed ha essa stessa veicolo di trasformazione della economia, usi e costumi, tecnologia e società. I calcolatori, infatti, da essere a supporto di processi ripetitivi ed in qualche modo reversibili ( “se non funziona il calcolatore, l’attività può essere fatta manualmente”) sono passati ad essere loro stessi il cuore pulsante delle aziende che hanno ad essi affidato processi non reversibili tanto da far pensare che la digitalizzazione è indispensabile alla vita su questo pianeta.
10 settembre 2025 | Fonte: www.federprivacy.it
Ok del Garante Privacy alle Linee guida del Ministero dell’istruzione per l’IA negli istituti scolastici
Il Garante privacy ha dato il via libera allo schema di decreto del Ministero dell’Istruzione e del Merito, che intende disciplinare l’implementazione, all’interno della Piattaforma Unica, di uno specifico servizio digitale in materia di Intelligenza Artificiale, con l’obiettivo di promuoverne un utilizzo corretto in ambito scolastico. Attraverso questo servizio, il Ministero, nell’ambito delle proprie funzioni di indirizzo, intende rendere disponibili per le Istituzioni scolastiche specifici contenuti e documenti informativi che le stesse dovranno tenere in considerazione nel momento in cui intenderanno ricorrere a sistemi di Intelligenza Artificiale. Con lo stesso decreto, infatti, sono state adottate Linee guida che spiegano come utilizzare i sistemi d’Intelligenza Artificiale negli istituti scolastici, in modo sicuro e rispettoso dei diritti, mettendo al centro le persone, indicando le regole etiche e tecniche da seguire, e offrendo istruzioni pratiche e strumenti. Il Garante privacy ha espresso parere favorevole su una versione dello schema di decreto ministeriale che recepisce le osservazioni formulate dall’Ufficio nel corso delle interlocuzioni informali con il Ministero.
10 settembre 2025 | Fonte: www.cybersecurity360.it
Data Act al via dal 12 settembre: 10 errori da non fare
Il prossimo 12 settembre 2025 il Data Act diventerà applicabile in tutta l’UE. Le aziende che riusciranno a integrare e sfruttare i principi di accessibilità e portabilità dei dati nei propri modelli di offerta saranno quelle che guadagneranno margini e competitività nel nuovo scenario europeo. Ecco gli errori da non fare. Manca pochissimo al 12 settembre 2025, momento in cui il Data Act diventerà applicabile in tutta l’Unione Europea. Un passaggio normativo che promette di ridefinire le regole del gioco nell’economia dei dati, recando altresì dubbi interpretativi e il rischio di cantonate. Difatti il Data Act non è (solo) una normativa da “subire”, può invece essere un’opportunità da governare strategicamente. Le aziende che riusciranno a integrare e sfruttare i principi di accessibilità e portabilità dei dati nei propri modelli di offerta saranno quelle che guadagneranno margini e competitività nel nuovo scenario europeo. Gli utenti potrebbero inoltre acquisire maggiore controllo di molti dei dati che contribuiscono a co-generare, potendo persino monetizzarne l’uso. Di fatto, potrebbe avere una portata superiore a quella del più chiacchierato AI Act, andando a toccare proprio i dati che ne sono il presupposto imprescindibile.
https://www.cybersecurity360.it/legal/data-act-al-via-dal-12-settembre-10-errori-da-non-fare/
10 settembre 2025 | Fonte: www.federprivacy.it
Tre anni per nominare il DPO e altri tre per pubblicarne i dati di contatto: il Garante Privacy sanziona l’inerzia del Comune di Pompei
Il GDPR è pienamente in vigore dal 25 maggio 2018, ma nonostante la chiarezza del dettato normativo, ancora oggi molti enti locali faticano a rispettare uno degli adempimenti più elementari previsti dalla disciplina: la designazione e la comunicazione del Responsabile della protezione dei dati (Data Protection Officer). Il caso del Comune di Pompei, oggetto del provvedimento n. 318 del 4 giugno 2025 del Garante, è emblematico. L’Autorità ha infatti accertato che l’ente ha impiegato tre anni per procedere alla nomina del proprio DPO e ulteriori tre anni per comunicarne i dati di contatto all’Autorità tramite l’apposito canale istituzionale. In pratica, per sei anni dalla piena vigenza del GDPR, il Comune non ha rispettato obblighi espressamente previsti dall’art. 37, par. 1, lett. a), e par. 7 del Regolamento. Tale condotta è stata aggravata dal fatto che né sul sito istituzionale del Comune né nei registri dell’Autorità era possibile reperire alcun riferimento al DPO. La comunicazione è avvenuta solo dopo il richiamo formale del Garante, con un ritardo tale da rendere inevitabile l’irrogazione di una misura sanzionatoria.
10 settembre 2025 | Fonte: www.cybersecurity360.it
CEREBRO, il sistema investigativo per le indagini patrimoniali che piace al Garante privacy
CEREBRO, il sistema di analisi ed elaborazione dati a supporto delle indagini patrimoniali è conforme alla normativa di protezione dei dati personali: il Garante privacy ha, infatti, dato parere favorevole al Ministero dell’Interno sulla valutazione d’impatto (DPIA). Il via libera del Garante Privacy alla piattaforma CEREBRO segna una svolta nella gestione dei dati a fini investigativi. Non solo uno strumento per sottrarre patrimoni alla criminalità organizzata, ma un case study che mostra come trasparenza, DPIA e privacy by design possano convivere con esigenze di sicurezza nazionale. Un approccio che interessa da vicino anche le aziende che usano piattaforme di screening per clienti e fornitori.
10 settembre 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER n 538 del 10 settembre 2025
– Minori: il Garante privacy sanziona un asilo nido
-IT-Wallet, sì del Garante privacy alla sperimentazione
-Indagini patrimoniali, il Garante privacy dice sì a CEREBRO
-Scuola: ok del Garante alle Linee guida del MIM per l’IA negli istituti scolastici
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10163470
11 settembre 2025 | Fonte: www.agendadigitale.eu
Trasformazione digitale in azienda: strategie per restare competitivi
La trasformazione digitale non è più uno strumento tattico ma il motore per rafforzare la resilienza aziendale. Le imprese devono ripensare modelli organizzativi e processi per restare competitive in un contesto globale instabile. e imprese si trovano oggi a operare in un contesto globale sempre più instabile: tensioni geopolitiche, incertezze economiche, regole in continua evoluzione, catene di fornitura frammentate e una rivoluzione tecnologica che accelera di giorno in giorno. In uno scenario così complesso, la capacità di adattarsi diventa la condizione necessaria per restare competitivi.
11 settembre 2025 | Fonte: www.cybersecurity360.it
GDPR e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale
Pur operando in ambiti diversi, GDPR e DORA si sovrappongono su molteplici fronti, delineando un’area di sinergie normative strategiche, in particolare per il settore finanziario e per i fornitori Ict critici. Ma ci sono anche differenze. Negli ultimi anni, l’Unione europea ha rafforzato il proprio assetto normativo in materia di digitale e cyber sicurezza. Due regolamenti chiave si impongono nel panorama normativo: il GDPR (General Data Protection Regulation) – Regolamento (UE) 2016/679 – che disciplina la protezione dei dati personali e il DORA (Digital Operational Resilience Act) – Regolamento (UE) 2022/2554 – che mira a garantire la resilienza operativa delle entità finanziarie in un contesto digitale sempre più esposto a minacce ICT. Pur operando in ambiti diversi, GDPR e DORA si sovrappongono su molteplici fronti, delineando un’area di sinergia normativa strategica, in particolare per il settore finanziario e per i fornitori Ict critici.
11 settembre 2025 | Fonte: www.federprivacy.it
Si può ottenere un risarcimento del danno se la violazione della privacy provoca rabbia e sentimenti negativi
Essere vittima di una violazione della privacy può essere frustrante e dar luogo a rabbia, contrarietà, insoddisfazione, inquietudine e paura, ma se per ottenere un indennizzo da chi non rispetta le regole del GDPR finora occorreva dimostrare di aver subìto un danno tangibile, adesso una sentenza della Corte di Giustizia dell’UE apre la porta al diritto a ricevere un risarcimento anche per i sentimenti negativi che una persona può provare in una situazione stressante causata dalla perdita del controllo dei propri dati personali. Il caso preso in esame dai giudici europei era sorto in Germania, dove un cittadino in cerca di occupazione aveva utilizzato un social network professionale per candidarsi a ricoprire una posizione lavorativa offerta da una banca, indicando anche la retribuzione richiesta. Tuttavia, l’impiegata dell’istituto aveva fatto la “tara” alle sue pretese economiche, e gli aveva fatto una controproposta per assumerlo con uno stipendio più basso.
12 settembre 2025 | Fonte: www.agendadigitale.ue
Da difesa a valore: come la cybersecurity fa crescere le imprese
La cybersecurity non è più solo una difesa tecnica, ma un asset strategico che rafforza fiducia e continuità operativa. Per le PMI italiane rappresenta una leva decisiva di competitività in un contesto economico digitale e sempre più interconnesso. La cybersecurity ha assunto negli ultimi anni un ruolo sempre più centrale nelle strategie aziendali, anche per le piccole e medie imprese (PMI). In passato considerata una questione tecnica o una voce di costo, oggi la sicurezza informatica è diventata un pilastro per garantire continuità, fiducia e competitività.
15 settembre 2025 | Fonte: www.cybersecurity360.it
Interazione tra DSA e GDPR: le novità per piattaforme e DPO nelle linee guida di EDPB
EDPB ha presentato le prime linee guida sull’interazione tra DSA e GDPR: nuove regole per piattaforme digitali su contenuti illeciti, dark pattern, pubblicità mirata e tutela minori. Il documento, in consultazione pubblica fino al 31 ottobre, che evidenzia quanto la governance dei dati sia sempre più strategica. L’EDPB ha adottato le prime linee guida dedicate all’interazione tra Digital Services Act e GDPR.
Il documento, ora in consultazione pubblica, fornisce chiarimenti per evitare incoerenze applicative e guidare piattaforme e intermediari online nella gestione dei trattamenti di dati personali richiesti dal nuovo quadro regolatorio digitale. Analizziamo quelli che sono i punti salienti.
16 settembre 2025 | Fonte: www.federprivacy.org
Sanzionata dal Garante Privacy l’università che conservava le mail del docente non più in servizio da due anni
Con il provvedimento n. 386 del 10 luglio 2025 il Garante della privacy è tornato ad occuparsi della gestione delle e-mail dei dipendenti, sanzionando l’Università di Cassino. L’ateneo laziale è stato multato per non aver disattivato in tempi rapidi la casella di posta elettronica di un docente a contratto dopo la fine del suo incarico, e per non aver risposto correttamente alle sue richieste di accesso e cancellazione dei dati, nonché per aver mantenuto online documenti contenenti informazioni personali oltre i limiti di legge.
16 settembre 2025 | Fonte: www.agendadigitale.ue
Gestione degli incidenti informatici e sicurezza: le sanzioni di Nis2
Chi non si adegua alla direttiva Nis2 si espone a sanzioni economiche molto gravose, mentre i vertici aziendali possono essere chiamati a rispondere personalmente. Ma le conseguenze non si fermano qui: la mancata protezione dei sistemi digitali può trasformarsi in perdite economiche, azioni legali e danni alla reputazione. Ricordiamo che la Direttiva NIS 2 amplia in modo significativo il perimetro dei soggetti coinvolti, includendo non solo le grandi utility o i player strategici, ma anche realtà di medie dimensioni attive in settori considerati critici.
https://www.agendadigitale.eu/sicurezza/compliance-nis-2-cosa-devono-fare-le-imprese-entro-il-2026/
18 settembre 2025 | Fonte: www.cybersecurity360.it
L’Italia ha la sua legge sull’AI, gli impatti privacy e cyber: tutti i punti chiave
Il DDL sull’intelligenza artificiale tutto all’italiana è stato definitivamente approvato in Senato. L’obiettivo del legislatore è quello di regolare l’uso dell’AI in campi come sanità, lavoro e giustizia. Analizziamo il testo definitivo, soffermandoci sugli aspetti privacy e sui possibili impatti cyber. Via libera al testo definitivo di legge italiana in materia di intelligenza artificiale, dopo un lungo iter parlamentare conclusosi in Senato lo scorso 17 settembre 2025. Al centro è stata posta la tutela dei diritti fondamentali dell’uomo tra cui spicca la protezione dei dati declinata in settori come la sicurezza e la difesa nazionale, la sanità con focus sulla ricerca scientifica e, naturalmente, il copyright. Tra i punti chiave.
18 settembre 2025 | Fonte: www.federprivacy.it
GDPR, le imprese hanno bisogno di vere semplificazioni per rimanere competitive con la data economy
Lo scorso maggio la Commissione Europea aveva annunciato l’intenzione di voler mettere mano al GDPR per ridurne gli adempimenti ed agevolare soprattutto le piccole e medie imprese, ma se le aziende avevano ben sperato di vedere finalmente semplificata la gestione burocratica degli adempimenti necessari per la conformità alla normativa in materia di protezione dei dati personali, avevano poi anche fatto presto a disilludersi. Infatti, le aspettative si erano pressoché sgonfiate totalmente quando nel mese di luglio veniva pubblicata la proposta di revisione del Regolamento europeo sulla privacy, contenente giusto alcune misure del tutto trascurabili, come l’esenzione dall’obbligo di tenuta del registro dei trattamenti di dati personali per le aziende con meno di 750 dipendenti, e l’espansione di certificazioni e codici di condotta anche alle piccole realtà: strumenti indubbiamente utili, che però richiedono tempo (in genere diversi mesi) e investimenti economici per poter essere adottati e dare effettivamente luogo alle sperate semplificazioni.
18 settembre 2025 | Fonte: www.federprivacy.it
Cos’è Chat Control, la proposta europea che vuole controllare le nostre chat e come inciderà sulla privacy
Gli stati membri dell’Unione Europea il 14 ottobre prossimo saranno chiamati a esprimere formalmente la loro posizione su una proposta di regolamento che potrebbe cambiare radicalmente il modo in cui comunichiamo online. Si tratta del cosiddetto Chat Control, il regolamento per prevenire e combattere l’abuso sessuale sui minori, il cui nome ufficiale è racchiuso dalla sigla CSAR (Child Sexual Abuse Regulation). L’idea alla base del regolamento è semplice quanto controversa: obbligare le piattaforme di messaggistica e posta elettronica a scansionare ogni messaggio, immagine o video, prima che venga inviato e crittografato, per verificare se contenga materiale pedopornografico o tentativi di adescamento indirizzati a minori. Lo scopo dichiarato è proteggere i minori da abusi gravissimi, ma il metodo proposto apre una discussione accesa sul futuro della privacy digitale nel territorio dell’UE. Al momento, i pareri dei singoli Stati europei sono contrastanti con una decina di Paesi che si oppongono (Germania, Paesi Bassi, Belgio), alcuni sono indecisi e una quindicina sembrano essere favorevoli tra cui l’Italia, la Francia e la Spagna.
18 settembre 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Nessun divieto generale all’utilizzo del riconoscimento facciale in aeroporto
Non si ostacola l’innovazione, purché nel rispetto delle regole europee. In relazione alla notizia secondo cui il Garante Privacy avrebbe bloccato il ricorso al riconoscimento facciale negli aeroporti italiani (il c.d. face boarding), l’Autorità precisa che, con il provvedimento adottato l’11 settembre scorso nei confronti di Società per Azioni Esercizi Aeroportuali SEA, ha ordinato a quest’ultima la sospensione dell’utilizzo della specifica soluzione tecnologica adottata, poiché incompatibile con la vigente disciplina europea sulla protezione dei dati personali, come già chiarito dal Comitato europeo per la protezione dei dati con il proprio parere del 23 maggio 2024 n.11. L’Autorità, peraltro, prima di procedere all’adozione del provvedimento in questione aveva, sin dal dicembre 2024, informato SEA dell’incompatibilità della specifica soluzione adottata nell’ambito dell’istruttoria tuttora in corso, invitando la stessa società a considerare le diverse soluzioni individuate come compatibili secondo la citata disciplina europea.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10167973
19 settembre 2025 | Fonte: www.agendadigitale.ue
Comprendere l’intelligenza artificiale: una guida per la PA
L’intelligenza artificiale sta trasformando ogni aspetto della società. Il saggio “Prima che spicchi il volo: l’intelligenza artificiale tra il racconto di Bostrom e la saggezza tardiva di Hegel” esplora opportunità, rischi ed etica dell’IA, con particolare attenzione alla Pubblica Amministrazione, tra filosofia, normativa europea e sfide tecnologiche emergenti. L’intelligenza artificiale è oggi al centro di un’accelerazione tecnologica senza precedenti, la cui portata trasforma profondamente ogni aspetto della vita umana. Ma mentre ci affanniamo a sviluppare sistemi sempre più complessi, capaci di apprendere, decidere e persino creare, rimane aperta una domanda cruciale: siamo davvero in grado di comprendere ciò che stiamo costruendo.
19 settembre 2025 | Fonte: www.agendadigitale.ue
L’Italia ha un piano per l’industria cyber: 1,5 miliardi di euro
Con il Piano per l’industria cyber nazionale, ACN e i ministeri coinvolti sostengono innovazione, sviluppo delle PMI e formazione di nuove competenze per la sicurezza digitale, integrando fondi nazionali ed europei. l Piano per l’industria cyber nazionale rappresenta un passo decisivo per rafforzare la competitività dell’Italia nel settore della cybersecurity. Grazie a un investimento di 1,5 miliardi di euro, il programma mira a sostenere ricerca, innovazione e sviluppo imprenditoriale con un respiro internazionale.
23 settembre 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Screening per diabete e celiachia, precisazione del Garante privacy
In merito alle dichiarazioni del vicepresidente della Camera, Giorgio Mulè, sui presunti ritardi nell’attuazione della legge 130 riguardo allo screening pediatrico per diabete di tipo 1 e celiachia, il Garante per la protezione dei dati personali ritiene opportuno precisare di essersi espresso sullo schema di decreto del Ministro della Salute in tempi rapidissimi, con parere favorevole e senza alcuna condizione, già il 30 gennaio scorso.
Il parere è pubblicamente disponibile sul sito dell’Autorità (doc. web n. 10112237).
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10169664
24 settembre 2025 | Fonte: www.agendadigitale.ue
Cybercrime e PMI: come cambia la mappa dei rischi digitali
La sicurezza informatica nelle aziende italiane è minacciata da phishing, BEC e malware. Cresce il numero di credenziali rubate, mentre i dipendenti restano il punto più vulnerabile. L’intelligenza artificiale assume un ruolo cruciale sia nelle difese che negli attacchi. Il phishing aziendale rappresenta oggi la principale minaccia informatica per le imprese italiane, trasformando ogni dipendente in un potenziale punto di accesso per i cybercriminali. Con il 20% dei lavoratori che cade inconsapevolmente in trappole digitali sempre più sofisticate, le piccole e medie imprese si trovano ad affrontare una sfida che richiede approcci integrati di prevenzione e formazione.
https://www.agendadigitale.eu/sicurezza/cybercrime-e-pmi-come-cambia-la-mappa-dei-rischi-digitali/
24 settembre 2025 | Fonte: www.federprivacy.it
L’Europa vuole togliere i banner dei cookie impostandoli direttamente dal browser senza dover scegliere ogni volta che si visita un sito web
Troppa scelta equivale a nessuna scelta. È questa la realizzazione che ha colpito l’Unione Europea sedici anni dopo avere introdotto l’obbligo per i siti web di inserire una sezione per i cookies. L’idea iniziale era quella di consentire gli utenti di gestire i propri dati, decidendo quali informazioni personali lasciare in mano ai gestori dei website e quali invece no. Tranne quelli «strettamente necessari», che fanno funzionare i siti e per i quali non c’è possibilità di scelta. I cookies sono una tecnologia che traccia i nostri comportamenti e le nostre preferenze online, dalle credenziali (criptate) che usiamo al momento del login, alle preferenze dell’utente (come la valuta o la lingua) fino ai prodotti che mettiamo nel carrello dei siti di e-commerce. Specialmente in quest’ultimo caso, i cookies vengono usati per personalizzare le pubblicità digitali sulla base di gusti, preferenze e, appunto, storia di acquisti online. Dal 2009, i siti web sono obbligati a farci scegliere quali cookies concedere e quali no. La scelta viene fatta di solito con un “popup” che compare in basso o al centro del sito al primo accesso.
25 settembre 2025 | Fonte: www.cybersecurity360.it
Videosorveglianza, costa caro non informare il DPO: la sanzione CNIL
La CNIL rende nota la deliberazione con la quale sanziona la nota azienda Samaritaine con una multa di 100mila euro per diverse violazioni del GDPR. Tra queste, spicca il mancato coinvolgimento del DPO trasgredendo l’obbligo imposto dal Regolamento stesso. Non consultare il DPO costa caro: lo esprime bene l’Autorità garante per la protezione dei dati francese (CNIL) che ha sanzionato SAMARITAINE SAS, che gestisce l’omonimo negozio, per 100.000 euro a causa di telecamere nascoste nei magazzini del negozio. Molteplici sono le violazioni del Regolamento (UE) 2016/679 cd GDPR, dalla violazione dei principi di liceità, correttezza e trasparenza alla minimizzazione dei dati (art. 5), a una conservazione di dati oltre lo stretto necessario, per non aver notificato il data breach (art. 33) e soprattutto per il mancato coinvolgimento del DPO.
25 settembre 2025 | Fonte: www.accademiaitaliana privacy.it
La compliance con il GDPR non è una informativa copia-incolla sul tuo sito
Mi credete se vi dico che ci sono aziende che si illudono di essere “GDPR compliant” solo perché hanno messo sul loro sito una privacy policy copia-incolla?
È come se un assicuratore vi vendesse una polizza e poi tacesse cosa non è compreso. Funziona finché non serve davvero, e quando arriva il problema scoprite che la copertura era un miraggio. La verità è che la privacy non è quella paginetta che qualche creatore di sito ti fa credere possa coprire tutta la tua struttura. Non basta un disclaimer scritto in fretta, scaricato da internet e messo online per farsi belli. La privacy è una catena complessa, dove ogni anello ha regole precise: contratti con fornitori e subfornitori, lettere di incarico ai dipendenti, istruzioni a chi tratta i dati, procedure per la gestione dei data breach, regole per lo smart working, politiche interne per password, dispositivi, cloud. La compliance non è un foglio: è un’organizzazione. Anche cambiare la password ogni mese non vi rende sicuri. Un corso online fatto tanto per fare non vi salva dal prossimo incidente. Una policy standardizzata sul sito non protegge né clienti, né fornitori, né dipendenti.
https://accademiaitalianaprivacy.it/dettaglioNews.asp?id=1995
25 settembre 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER n 539 del 25 settembre 2025
-Garante privacy: dossier sanitario accessibile solo per ragioni di cura
-Diritto di accesso, il Garante privacy sanziona una banca per 100mila euro
-PA e obblighi di trasparenza online, il Garante privacy chiede maggiori tutele
-Trasparenza siti, il Garante privacy sanziona un Comune
-Garanti privacy mondiali: la protezione dati si applica pienamente all’IA
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10170214
26 settembre 2025 | Fonte: www. cybersecurity360.it
Quando la PA confonde pubblicità con trasparenza: rischi elevati per i nostri dati online
La trasparenza amministrativa è da sempre considerata il presidio democratico per eccellenza perché permette ai cittadini di monitorare l’operato delle istituzioni, rafforzando la fiducia e prevenendo derive corruttive. La sua traduzione in chiave digitale ha fatto però emergere un rischio crescente, cioè la pubblicazione eccessiva e indiscriminata di dati personali in nome della trasparenza. Il parere del Garante sui nuovi schemi ANAC e la recente sanzione inflitta a un Comune per aver reso pubblici i dati di oltre 1.400 cittadini raccontano la stessa storia: la difficoltà della PA di rispettare un equilibrio sottile tra obblighi di pubblicità e tutela della privacy. Oltre alle questioni tecniche e normative, spesso l’eccesso di dati online è frutto di superficialità operativa e di prassi consolidate, che vengono replicate quasi in modo automatico, e, soprattutto, come se “mettere tutto online” fosse davvero sinonimo di correttezza amministrativa.
26 settembre 2025 | Fonte: www.federprivacy.it
Sanzionato per violazione della privacy un comune che aveva pubblicato illecitamente i dati personali di centinaia di cittadini
Il Garante privacy ha inflitto una sanzione di 12mila euro a un Comune per aver pubblicato online, i dati personali di centinaia di cittadini, in modo illecito. Le informazioni erano contenute nei registri delle richieste di accesso civico e documentale, caricati nella sezione Amministrazione trasparente del sito istituzionale e rimasti consultabili almeno fino ad aprile 2024. Nei documenti – relativi a 1.455 istanze presentate tra il 2017 e settembre 2023 – comparivano nomi e cognomi dei mittenti e dei destinatari, numeri di protocollo, oggetto e descrizione delle istanze. In alcuni casi erano riportati i nominativi di proprietari di immobili o di intestatari di pratiche edilizie; in uno addirittura si potevano dedurre informazioni sullo stato di salute di un cittadino. Il Comune ha giustificato la pubblicazione parlando di una “interpretazione ampia del principio di trasparenza”. Una tesi respinta dall’Autorità, che nel corso dell’istruttoria ha affermato che per tutelare la riservatezza delle persone coinvolte il Comune avrebbe dovuto oscurare i dati personali.
29 settembre 2025 | Fonte: www.garanteprivacy.it
Il chatbot ci può denunciare alle autorità: perché è gravissimo – Intervento di Agostino Ghiglia
Mentre il Consiglio dell’Unione Europea continua a dibattere la controversa proposta Chat Control – che vorrebbe sottoporre a scansione automatica tutti i nostri messaggi privati – le multinazionali dell’intelligenza artificiale hanno già dispiegato sistemi di monitoraggio che superano le capacità di sorveglianza tradizionali. Un problema grave per i diritti e gli equilibri geopolitici. Come affrontarlo?
Siamo entrati nell’era del controllo digitale automatizzato. Quella in cui l’Intelligenza Artificiale monitora reati – potenziali – prima dello Stato. Già: mentre il Consiglio dell’Unione Europea continua a dibattere la controversa proposta Chat Control – che vorrebbe sottoporre a scansione automatica tutti i nostri messaggi privati – le multinazionali dell’intelligenza artificiale hanno già dispiegato sistemi di monitoraggio che superano le capacità di sorveglianza tradizionali. E lo hanno fatto aggirando completamente il processo di approvazione democratica europeo.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10171128
30 settembre 2025 | Fonte: www.agendadigitale.ue
IA che migliora sé stessa: i 5 trend che ridisegnano il futuro
L’intelligenza artificiale auto-migliorante è già realtà nei laboratori delle big tech. Questa trasformazione apre scenari di produttività e innovazione, ma solleva anche interrogativi critici legati a sicurezza, etica e governance. L’auto-miglioramento dell’IA non è più un concetto da laboratorio o fantascienza. È già un processo in corso nelle big tech, con potenzialità enormi ma anche rischi sistemici difficili da controllare. Dai laboratori di Meta a quelli di Google, fino agli esperimenti delle startup e dei centri di ricerca indipendenti, l’idea è chiara: costruire sistemi in grado di accelerare autonomamente il proprio sviluppo. Ma dietro le promesse di produttività e progresso scientifico si nascondono sfide etiche, di sicurezza e strategiche che richiedono una governance all’altezza.
30 settembre 2025 | Fonte: www.clusit.it
Newsletter 30/09/2025
1. Prossimi eventi
- Premio Tesi – Risultati 20a edizione
- Pubblicazioni – Articoli
- Formazione
- Notizie e segnalazioni dai Soci
Altre news
TRIBUTI: rassegna stampa N° 10/2025 del mese di settembre
arrow_forwardSupporto per la Verifica IMU e TARI e Recupero Entrate in Prescrizione entro il 31/12/2025
arrow_forwardRifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”
arrow_forwardGDPR: rassegna stampa N° 8/2025 agosto
arrow_forwardTRIBUTI: rassegna stampa N° 9/2025 agosto
arrow_forward