Rassegna stampa GDPR e protezione dei dati a cura di iSimply del mese di febbraio 2026
Febbraio 2026 – Lavoro, controlli e fiducia: la privacy come misura della maturità organizzativa
Cari custodi della privacy,
febbraio ci consegna un quadro particolarmente nitido di ciò che la protezione dei dati è diventata: non un presidio periferico della compliance, ma il punto di incontro – e talvolta di collisione – tra organizzazione del lavoro, trasformazione digitale, sicurezza informatica e governo dell’intelligenza artificiale. Nelle notizie di questo mese si coglie con chiarezza una linea comune: quando mancano regole interne solide, ruoli ben presidiati e scelte progettuali coerenti, il rischio privacy non resta confinato ai documenti, ma si traduce rapidamente in controllo eccessivo, trattamenti sproporzionati, data breach e perdita di fiducia.
Il tema più evidente è quello del rapporto tra datore di lavoro, tecnologie di monitoraggio e dignità della persona. Dai provvedimenti sui veicoli aziendali al tema dei controlli a distanza, fino alle verifiche congiunte su Amazon e al blocco della raccolta sistematica di informazioni su patologie, attività sindacali e vita privata dei lavoratori, febbraio ribadisce un principio che torna con forza: la sicurezza e l’efficienza organizzativa non autorizzano una sorveglianza generalizzata. Il confine tra legittima tutela dell’impresa e compressione dei diritti dei dipendenti resta giuridicamente rigoroso e non può essere superato con leggerezza, neppure quando il monitoraggio si presenta sotto le forme apparentemente neutre della logistica, della telematica o dell’ottimizzazione dei processi.
In parallelo, cresce la consapevolezza che la violazione dei dati personali non sia più un evento eccezionale ma una componente strutturale del rischio contemporaneo. L’aumento dei data breach in Europa, la riflessione sulla privacy by design nelle piattaforme web e gli approfondimenti sulla cybersecurity confermano che la protezione dei dati deve essere costruita a monte, non rincorsa a valle. Quando mancano architetture corrette, verifiche sui fornitori, misure interne e capacità di vigilanza quotidiana, il danno non è solo tecnico. Diventa reputazionale, economico, organizzativo e, sempre più spesso, anche democratico.
Accanto a questo scenario, febbraio segna un passaggio importante nel dibattito europeo sulla semplificazione normativa. Il Digital Omnibus, il consenso “a un clic”, le osservazioni congiunte di EDPB ed EDPS e le riflessioni sul bilanciamento tra competitività e tutela mostrano un’Europa impegnata a rivedere il proprio quadro regolatorio senza rinunciare ai suoi principi fondamentali. È una tensione delicata. Semplificare può essere utile, ma solo se non si traduce in un indebolimento della trasparenza, dell’accountability e della capacità degli interessati di comprendere davvero come e perché i loro dati vengano trattati.
L’intelligenza artificiale attraversa tutto il mese come fattore di accelerazione e di complessità. Dalla trasparenza richiesta dall’articolo 50 dell’AI Act alle riflessioni sulla nuova data governance, fino ai casi concreti di uso scorretto di sistemi biometrici in ambito universitario o alle criticità emerse nei sistemi di AI aziendali, il messaggio è chiaro: l’AI non può più essere affrontata come una semplice scelta tecnologica. Richiede governance, controlli, valutazioni preventive, basi giuridiche adeguate e soprattutto una visione integrata tra privacy, diritto del lavoro, sicurezza e organizzazione interna.
Proprio in questo contesto torna centrale il ruolo del DPO, la cui indipendenza viene rafforzata a livello europeo e la cui funzione appare sempre meno formale e sempre più strategica. Lo stesso vale per i titolari del trattamento, chiamati a dimostrare una vigilanza concreta e non meramente teorica lungo tutta la filiera dei trattamenti, dai responsabili ai sub-responsabili, dalle piattaforme ai sistemi di monitoraggio. La “culpa in vigilando”, in questa prospettiva, non è soltanto una categoria giuridica: è il riflesso di un obbligo continuo di governo.
Infine, febbraio ci ricorda che la privacy resta una delle infrastrutture essenziali della democrazia digitale. Lo mostrano i richiami al diritto all’oblio, alle sfide della rete europea dei Garanti, alla protezione dei dati biometrici, ai limiti delle body cam e alla necessità di rendere i sistemi digitali accessibili senza trasformarli in strumenti di raccolta invasiva. In tutti questi casi, la tutela dei dati personali non ostacola il progresso. Lo rende più credibile, più umano e più difendibile.
Il mese ci lascia dunque una indicazione molto concreta: la maturità di un’organizzazione si misura sempre più nella qualità delle sue regole interne, nella sobrietà dei suoi controlli e nella capacità di usare dati e tecnologie senza smarrire il senso del limite. È lì che la compliance smette di essere un adempimento e diventa fiducia operativa, cultura organizzativa e responsabilità reale, in continuità con il taglio redazionale delle rassegne precedenti.
Con stima e fiducia in un domani digitale più consapevole,
Enrico Capirone
RASSEGNA STAMPA
2 febbraio 2026 | Fonte: www.federprivacy.it
Data Breach in aumento del 22%
Lo scorso anno si sono registrate in Europa una media di 443 violazioni dei dati personali al giorno, in aumento del 22% rispetto alle 363 del 2024. L’incremento dimostra da un lato la costante attenzione delle autorità di vigilanza, dall’altro indica che i data breach continuano a essere una minaccia quotidiana per privati, enti e imprese. Secondo quanto osservato da Dla Piper a commento del suo “Gdpr fines and data breach survey 2026”, la crescita degli eventi è da attribuire a un insieme di fattori che determinano un contesto propedeutico alle violazioni, tra cui l’apporto dell’IA alle minacce, gli attacchi informatici che hanno causato interruzioni di operatività su scala globale e la polarizzazione geopolitica.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/data-breach-in-aumento-del-22
2 febbraio 2026 | Fonte: www.cybersecurity360.it
Auto aziendali e monitoraggio dei lavoratori: il Garante privacy dice stop
Semaforo rosso ai controlli sui viaggi di lavoro e no, concernenti (tempi, km, consumi e stile di guida) dei conducenti/lavoratori. A dirlo è il Garante privacy con un recente provvedimento del 18 dicembre 2025 reso pubblico con la nota del 29 gennaio 2026. A una lettura attenta, plurime sono state le violazioni in materia di protezione dati che ora analizziamo.
Per leggere l’articolo completo: https://www.cybersecurity360.it/news/auto-aziendali-e-monitoraggio-dei-lavoratori-il-garante-privacy-dice-stop/
3 febbraio 2026 | Fonte: www.agendadigitale.eu
Controlli a distanza dei lavoratori: come farli legalmente
Una guida tecnica per la compliance aziendale alla geolocalizzazione dei dipendenti e controllo a distanza, nel rispetto delle regole privacy e dello statuto dei lavoratori, dopo l’ennesima sanzione del Garante privacy. Icontrolli a distanza dei dipendenti sono ancora un problema, a quanto pare: molte aziende li fanno male, senza rispettare il Gdpr e lo Statuto dei Lavoratori. E ne subiscono le conseguenze: sanzioni, certo, ma anche danni di immagine e credibilità.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/controlli-a-distanza-sui-lavoratori-come-farli-legalmente/
4 febbraio 2026 | Fonte: www.federprivacy
Discriminazione nel contesto lavorativo: impatti privacy e approccio integrato per evitare le sanzioni del GDPR
Nel contesto dei rapporti di lavoro, il principio di non discriminazione rappresenta uno dei pilastri fondamentali dell’ordinamento giuridico nazionale ed europeo. Tale principio si declina non solo come divieto di trattamenti differenziati ingiustificati, ma anche come obbligo per il datore di lavoro di adottare misure organizzative, procedurali e culturali idonee a prevenire comportamenti lesivi della dignità e dei diritti delle lavoratrici e dei lavoratori.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/discriminazione-nel-contesto-lavorativo-impatti-privacy-e-approccio-integrato-per-evitare-le-sanzioni-del-gdpr
5 febbraio 2026 | Fonte: www.agendadigitale.eu
“Culpa in vigilando” e GDPR: la vigilanza del titolare nel lavoro quotidiano
Nel novembre scorso l’Autorità Garante Privacy ha affrontato nuovamente, con un suo Provvedimento, la questione del rapporto tra titolare del trattamento e coloro che, per suo conto, trattano dati personali. Tale tematica è stata più volte oggetto di approfondimenti istruttori per quanto riguarda il legame esistente tra il Titolare e il soggetto terzo al quale è affidato il trattamento, il Responsabile del trattamento e, in alcuni casi, anche il cosiddetto Sub-responsabile del trattamento.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/culpa-in-vigilando-e-gdpr-la-vigilanza-del-titolare-nel-lavoro-quotidiano/
6 febbraio 2025 | Fonte: www.agendadigitale.eu
Cybersecurity, che cos’è e perché è una priorità per le aziende
La cybersecurity è una priorità assoluta per le organizzazioni di ogni dimensione, considerando che, con l’aumento della nostra dipendenza dalle tecnologie digitali, cresce anche il rischio di attacchi informatici che possono mettere a repentaglio dati sensibili, reputazione e, in casi estremi, la sopravvivenza stessa di un’organizzazione. Ecco tutto quello che bisogna sapere sul tema.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/cybersecurity-che-cose-e-perche-e-una-priorita-per-le-aziende/
6 febbraio 2026 | Fonte: www.cybersecurity360
Piano ispettivo semestrale del Garante privacy: cosa emerge per titolari e DPO
Il piano ispettivo del Garante privacy per il primo semestre 2026 si caratterizza per continuità con la programmazione dei semestri precedenti, consolidandone l’impostazione complessiva. Esso conferma e sviluppa diversi filoni di intervento che l’Autorità ha ormai stabilmente collocato al centro della propria attività di vigilanza, rafforzando una lettura nella quale la tutela dei diritti degli interessati dipende meno dall’assenza di singoli errori (non sempre inintenzionali) e sempre più dalla capacità dei titolari di governare trattamenti intrinsecamente complessi attraverso scelte organizzative solide, architetture tecniche coerenti e modelli di controllo maturi.
Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/piano-ispettivo-semestrale-del-garante-privacy-cosa-emerge-per-titolari-e-dpo/
9 febbraio 2026 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Garante privacy e INL: Avviate ispezioni presso centri logistici Amazon
Il Garante per la protezione dei dati personali e l’Ispettorato Nazionale del Lavoro hanno avviato una iniziativa congiunta di vigilanza nei confronti della società Amazon. L’attività trae origine dagli approfondimenti tecnici avviati, anche a seguito di notizie di stampa, che hanno evidenziato possibili criticità nell’acquisizione e nel trattamento di dati personali dei lavoratori e nell’utilizzo di sistemi di videosorveglianza in assenza delle garanzie previste dallo Statuto dei lavoratori.
Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10219613
9 febbraio 2025 | Fonte: www.agendadigitale.eu
Data protection e dipendenti, come gestire i sistemi di sicurezza avanzati
Un numero crescente di imprese adotta tecnologie di sicurezza informatica che monitorano in modo continuo reti e comportamenti digitali per prevenire e individuare attacchi. Questi strumenti, però, trattano grandi quantità di dati dei dipendenti e richiedono valutazioni preventive, misure tecniche mirate, informative chiare e regole interne trasparenti, rispettando anche le tutele del diritto del lavoro.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/data-protection-e-dipendenti-come-gestire-i-sistemi-di-sicurezza-avanzati/
10 febbraio 2026 | Fonte: www.federprivacy.it
Comuni e privacy: senza regole interne la colpa non è mai di nessuno e prima o poi si presenta il conto
Le soluzioni software web based sono oggi strumenti imprescindibili per aziende, professionisti e pubbliche amministrazioni. Gestionali, piattaforme documentali, portali con aree riservate: applicazioni raggiungibili da qualsiasi luogo, in qualsiasi momento, da qualsiasi dispositivo. Un vantaggio enorme, che porta con sé responsabilità significative per le aziende pubbliche e private sul piano della protezione dei dati personali.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/piattaforme-web-e-data-breach-la-privacy-by-design-non-puo-essere-solo-teoria
11 febbraio 2025 | Fonte: www.agendadigitale.eu
Trasparenza dell’AI: cosa impone l’art. 50 dell’AI Act e perché conta
La trasparenza è senza dubbio uno dei cardini dell’AI Act e rappresenta una delle leve attraverso cui il legislatore europeo intende governare l’impatto dell’intelligenza artificiale sulla società. Si tratta di un istituto generale che diventa nel Regolamento un obbligo giuridico concreto, destinato a incidere su progettazione, distribuzione e utilizzo dei sistemi di AI.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/trasparenza-dellai-cosa-impone-lart-50-dellai-act-e-perche-conta/
11 febbraio 2025 | Fonte: www.agendadigitale.eu
Un clic per dire sì o no: come cambia il consenso col Digital Omnibus
Il Digital Omnibus riformula il consenso nel GDPR: dall’atto dialogico a preferenza tecnica persistente. L’articolo 88a introduce single-click e durata della scelta. La riscrittura dell’articolo 22 collega processi automatizzati, AI Act e standard di compliance. Nel Digital Omnibus 2025, l’articolo 88a GDPR ridisegna il consenso: da atto giuridico situato a preferenza tecnica persistente, pensata per essere memorizzata, letta e riapplicata lungo le infrastrutture digitali che governano tracciamento, accesso e decisioni automatizzate.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/un-clic-per-dire-si-o-no-come-cambia-il-consenso-col-digital-omnibus/
12 febbraio 2026 | Fonte: www.cybersecurity360.it
EDPB ed EDPS sul Digital omnibus: verso una massiccia semplificazione del GDPR
L’EDPB (European Data Protection Board) e il Garante europeo della protezione dei dati (EDPS) rendono noto di aver adottato, in data 11 febbraio 2026, un parere congiunto sulla proposta di regolamento sul pacchetto Digital omnibus. La parola d’ordine ricorrente è semplificazione del GDPR e dell’AI. Semplificare, cioè, l’intero quadro normativo digitale della UE, da un lato, riducendo gli oneri amministrativi e, dall’altro, migliorando la competitività delle imprese. Ecco come.
Per leggere l’articolo completo: https://www.cybersecurity360.it/news/digital-omnibus-il-parere-di-edpb-ed-edps-verso-una-massicciasemplificazione-del-gdpr/
12 febbraio 2026 | Fonte: www.federprivacy.it
Piattaforme web e data breach, la privacy by design non può essere solo teoria
Le soluzioni software web based sono oggi strumenti imprescindibili per aziende, professionisti e pubbliche amministrazioni. Gestionali, piattaforme documentali, portali con aree riservate: applicazioni raggiungibili da qualsiasi luogo, in qualsiasi momento, da qualsiasi dispositivo. Un vantaggio enorme, che porta con sé responsabilità significative per le aziende pubbliche e private sul piano della protezione dei dati personali.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/piattaforme-web-e-data-breach-la-privacy-by-design-non-puo-essere-solo-teoria
13 febbraio 2026 | Fonte: www.cybersecurity360.it
Diritti senza allarme: il GDPR e la difficoltà di percepire il danno che non si vede
Il GDPR è stato adottato per proteggere diritti e libertà fondamentali delle persone. Eppure, nella pratica quotidiana di molte organizzazioni, la violazione di questi diritti continua a essere percepita come un problema secondario, spesso tollerabile, raramente urgente. Ecco perché questo accade, andando oltre le sole categorie giuridiche. Il punto non è tanto la mancanza di regole, quanto il modo in cui le persone e le organizzazioni percepiscono il rischio quando il danno non è immediato, non è visibile e non colpisce qualcuno in modo diretto e riconoscibile.
Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/diritti-senza-allarme-il-gdpr-e-la-difficolta-di-percepire-il-danno-che-non-si-vede/
16 febbraio 2025 | Fonte: www.agendadigitale.eu
DPO, così può essere davvero indipendente
Dalle istituzioni UE arriva un segnale forte: servono consenso preventivo del Garante europeo per la revoca del DPO, procedure vincolanti, tutela rafforzata dell’indipendenza. Nel settore privato italiano, invece, il responsabile della protezione dei dati resta spesso una figura fragile, subordinata e strutturalmente esposta.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/dpo-cosi-puo-essere-davvero-indipendente/
18 febbraio 2026 | Fonte: www.federprivacy.it
Relazione dell’European Data Protection Board sul diritto all’oblio
Il Comitato europeo per la protezione dei dati (European Data Protection Board) ha adottato una relazione sulla propria azione di Coordinated Enforcement Framework (CEF) sul diritto all’oblio previsto dall’art.17 del GDPR. Il board europeo ha selezionato questo argomento in quanto è ritenuto uno dei diritti del GDPR più frequentemente esercitati e uno su cui le autorità di controllo ricevono più frequentemente reclami dagli interessati. L’obiettivo principale è quello di garantire che il diritto alla cancellazione sia esercitato efficacemente dalle persone in Europa e comprendere come le autorità rispettino questo diritto nella pratica. Inoltre, l’European Data Protection Board ha identificato le best practices e le sfide più importanti correlate, con l’obiettivo di fornire ulteriori indicazioni su questo argomento.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/relazione-dell-european-data-protection-board-sul-diritto-all-oblio
19 febbraio 2025 | Fonte: www.agendadigitale.eu
Autorità nazionali, EDPB e GEPD: dentro la rete europea dei Garanti
La rete europea dei Garanti, creata per superare frammentazione normativa e assenza di una visione unitaria della privacy, costituisce il fulcro della governance del GDPR, assicurando uno spazio giuridico comune con regole uniformi e un controllo coordinato e multilivello. inanzi alla «assenza di una visione globale di privacy e della sua tutela universalmente condivisa», l’Unione europea si è posta l’obiettivo di creare uno spazio dove garantire a pieno i diritti della persona rispetto a chiunque ne gestisca, tramite i dati, l’identità.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/autorita-nazionali-edpb-e-gepd-dentro-la-rete-europea-dei-garanti/
19 febbraio 2026 | Fonte: www.federprivacy.it
Come l’intelligenza artificiale ridefinisce privacy e data governance
Se il GDPR ha introdotto nuovi pilastri per la privacy, nell’era dell’intelligenza artificiale questi non sono più sufficienti, perché la stessa AI porta con sé nuove aspettative riguardo l’uso dei dati, l’accountability, la trasparenza e la chiarezza nei relativi contratti. Da parte loro, in generale le aziende sanno richiede cosa l’implementazione dell’AI, e il loro compito principale ora è estendere i framework di tutela dei dati che hanno già concretizzato per adattarli alla scala, alla velocità e alla complessità portate dall’Intelligenza Artificiale.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/come-l-intelligenza-artificiale-ridefinisce-privacy-e-data-governance
20 febbraio 2026 | Fonte: www.garanteprivacy.it
NEWSLETTER 20/02/26
Il Garante privacy sanziona eCampus, stop al riconoscimento facciale
- Garante privacy al comune di Pescara: no alle body cam della Polizia locale
- Dal Garante ok alle Linee guida Agid su accessibilità dei servizi
- Garanti UE le sfide per una piena attuazione del diritto alla cancellazione
- Digital Omnibus, Garanti UE: semplificare senza ridurre la tutela delle persone
Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10222071
23 febbraio 2026 | Fonte: www.federprivacy.it
Riconoscimento facciale per verificare l’identità e la presenza degli studenti, sanzionata l’Università eCampus
Il Garante privacy ha sanzionato per 50mila euro l’Università eCampus per aver trattato in modo illecito i dati biometrici di numerosi partecipanti ai corsi online di abilitazione all’insegnamento. L’Ateneo utilizzava un sistema di riconoscimento facciale per verificare l’identità e la presenza dei partecipanti alle lezioni. Dalle verifiche l’Autorità ha rilevato la mancanza di una base giuridica idonea a giustificare l’uso di sistemi biometrici, per i quali sono previste garanzie rafforzate dalla disciplina di protezione dei dati, vista anche la disponibilità di strumenti alternativi e meno invasivi per la verifica della presenza ai corsi. È emerso, inoltre, che l’Ateneo non aveva svolto una valutazione di impatto sulla protezione dei dati prima dell’attivazione del sistema di riconoscimento facciale
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/riconoscimento-facciale-per-verificare-l-identita-e-la-presenza-degli-studenti-sanzionata-l-universita-ecampus
23 febbraio 2026 | Fonte: www.federprivacy.it
Garante Privacy al Comune di Pescara: no alle body cam della Polizia locale
Parere negativo del Garante privacy alla valutazione di impatto sulla protezione dei dati personali presentata dal comune di Pescara relativa alle body cam da fornire agli agenti di polizia locale nell’ambito delle attività ausiliarie di pubblica sicurezza e di polizia giudiziaria. Numerose le criticità riscontrate nel sistema nonostante le indicazioni fornite dall’Autorità nel corso di più interlocuzioni. Per quanto riguarda la sicurezza delle soluzioni tecnologiche scelte, il Garante ha accertato che le modifiche inserite nell’ultima valutazione di impatto non forniscono risposta alle richieste di approfondimento tecnico formulate dall’Ufficio.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/garante-privacy-al-comune-di-pescara-no-alle-body-cam-della-polizia-locale
24 febbraio 2026 | Fonte: www.cybersecurity360.it
L’EDPS rafforza il ruolo del DPO nelle istituzioni europee: le regole operative
Nuove linee guida dal versante Garante per la protezione dati europeo (EDPS) volte a proteggere l’indipendenza del DPO all’interno di tutte le istituzioni della UE, laddove la sua presenza è obbligatoria secondo il Regolamento (UE) 2018/1725 cd EUDPR. Di qui, a distanza di 8 anni, l’EDPS elabora il documento in parola teso a proteggere l’indipendenza del DPO e rafforzane ulteriormente il ruolo.
Per leggere l’articolo completo: https://www.cybersecurity360.it/news/ledps-rafforza-il-ruolo-del-dpo-nelle-istituzioni-europee-le-regole-operative/
24 febbraio 2025 | Fonte: www.agendadigitale.eu
Privacy e democrazia digitale: perché la protezione dei dati è decisiva
Il Data Protection Day 2026 ha richiamato la Convenzione 108 e il valore della protezione dei dati personali. Crescono rischi legati a tecnologia, cookies e data breach. Consapevolezza, trasparenza, accountability e privacy by design diventano leve per imprese e cittadini oggi concreti. La protezione dei dati personali è diventata un elemento strutturale degli ecosistemi digitali: tutela i diritti, sostiene la fiducia e contribuisce a rendere più trasparenti le decisioni che ci riguardano, soprattutto quando sono mediate da processi tecnologici e algoritmi.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/privacy-e-democrazia-digitale-perche-la-protezione-dei-dati-e-decisiva/
24 febbraio 2026 | Fonte: www.federprivacy.it
Norma ISO/IEC 27701:2025, come cambia lo standard internazionale sui sistemi di gestione della privacy
Il 14 ottobre 2025, l’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno annunciato l’approvazione e il rilascio della seconda edizione della norma ISO/IEC 27701, lo standard internazionale per i Sistemi di Gestione delle Informazioni sulla protezione dei dati personali (PIMS – Privacy Information Management Systems). La UNI ha successivamente pubblicato la versione UNI CEI EN ISO/IEC 27701:2025 “Sicurezza delle informazioni, cybersecurity e protezione della privacy – Sistemi di gestione delle informazioni sulla privacy – Requisiti e linee guida”.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/privacy-information-management-systems-la-nuova-versione-della-norma-iso-iec-27701-2025
24 febbraio 2026 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Garante privacy ad Amazon: stop alla schedatura dei lavoratori. Raccolte informazioni su patologie, attività sindacali, vita personale e dei familiari
l Garante per la protezione dei dati personali ha vietato, in via d’urgenza e con effetto immediato, ad Amazon Italia Logistica srl, il trattamento di dati personali di oltre 1800 lavoratori impiegati presso lo stabilimento di Passo Corese (RI). Il divieto riguarda informazioni raccolte – in modo sistematico, per tutta la durata del rapporto di lavoro e conservate fino a 10 anni dalla sua cessazione – attraverso una piattaforma collegata con il sistema di rilevazione delle presenze, accessibile a numerosi manager.
Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10224050
Altri articoli sull’argomento: https://www.federprivacy.org/informazione/garante-privacy/il-garante-della-privacy-blocca-la-schedatura-dei-lavoratori-di-amazon
24 febbraio 2026 | Fonte: www.federprivacy.it
Microsoft Copilot legge le email confidenziali
Microsoft ha confermato un bug nella suite Microsoft 365 che ha esposto email confidenziali ai moduli di Copilot: l’anomalia, rimasta attiva per numerose settimane, ha permesso all’assistente IA di leggere e sintetizzare messaggi etichettati come riservati, ignorando le policy di Data Loss Prevention che le aziende possono configurare. Il bug ha consentito all’IA di accedere a bozze e messaggi inviati, inclusi quelli protetti da etichette di sensibilità progettate per impedire l’elaborazione automatizzata dei contenuti. Le email coinvolte risiedevano nelle cartelle Posta Inviata e Bozze, e venivano elaborate come materiale utile per generare riassunti contestuali. L’anomalia è stata tracciata internamente con il codice CW1226324 e segnalata inizialmente da amministratori di sistema che avevano notato comportamenti anomali nei log di Copilot.”.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/microsoft-copilot-legge-le-email-confidenziali
25 febbraio 2026 | Fonte: www.federprivacy.it
AI, strumenti informatici e privacy in azienda: compliance verso un approccio integrato
L’utilizzo di sistemi di intelligenza artificiale è per le aziende un tema di organizzazione, regole interne e tutela concreta delle persone, e non può essere più trattato solo come una questione tecnologica. È necessario chiedersi se i sistemi di AI vengano usati in modo corretto, trasparente e controllabile ed è su questo piano che privacy, diritto del lavoro e compliance iniziano davvero a parlare la stessa lingua. E le novità europee e italiane successive all’AI Act vanno tutte nella stessa direzione.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/ai-strumenti-informatici-e-privacy-in-azienda-compliance-verso-un-approccio-integrato
26 febbraio 2026 | Fonte: www.cybersecurity360.it
DL Sicurezza e cyber: poteri, funzioni e finalità su sistemi digitali e flussi informativi
Il decreto-legge noto come DL Sicurezza, convertito in legge il 9 giugno 2025 e pubblicato in Gazzetta Ufficiale come Legge n. 80/2025, pur non configurandosi come un provvedimento organico in materia di cyber sicurezza, produce una serie di effetti rilevanti sul dominio digitale che meritano un’analisi puntuale, soprattutto alla luce della crescente centralità del cyber nelle dinamiche di sicurezza nazionale.
Per leggere l’articolo completo: https://www.cybersecurity360.it/cybersecurity-nazionale/dl-sicurezza-e-cyber-poteri-funzioni-e-finalita-su-sistemi-digitali-e-flussi-informativi/
27 febbraio 2025 | Fonte: www.agendadigitale.eu
NIS2 in pratica: come costruire un piano di formazione conforme e “difendibile”
Con NIS2 la formazione in cybersecurity diventa obbligo concreto: coinvolge dipendenti, HR, management e organi direttivi. Serve un piano strutturato, basato sul rischio, con moduli differenziati, approvazione del CDA e prove documentali. Obiettivo: ridurre errori umani, rafforzare resilienza e accountability. oltre un anno dall’entrata in vigore della Direttiva (UE) 2022/2555 NIS2, recepita in Italia con il D.lgs. 138/2024 il tema della formazione in materia di cybersecurity non può più essere affrontato come un adempimento futuro o come un principio astratto da tradurre “prima o poi” in iniziative formative.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/nis2-in-pratica-come-costruire-un-piano-di-formazione-conforme-e-difendibile/
27 febbraio 2026 | Fonte: www.cybersecurity360.it
GDPR: governare i trattamenti di dati personali per generare fiducia
Il GDPR, nel suo significato più profondo, è un’infrastruttura di governo che orienta linguaggio, responsabilità e scelte strategiche. Ecco esempi concreti, dalle decisioni automatizzate alla profilazione, dalla gestione dei diritti alle crisi, ricostruendo il passaggio dalla compliance alla fiducia operativa. La fiducia non nasce dalla conformità formale né dall’accumulo di documenti ma dalla qualità delle decisioni con cui le organizzazioni esercitano potere attraverso i dati. Il quinto capitolo mostra come il GDPR, letto nel suo significato più profondo sia un’infrastruttura di governo che orienta linguaggio, responsabilità e scelte strategiche.
Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-governare-i-trattamenti-di-dati-personali-per-generare-fiducia/
27 febbraio 2026 | Fonte: www.federprivacy.it
Legittimo il licenziamento del lavoratore che in un giorno di ferie mette le mani sui dati aziendali senza alcun motivo
La Corte di Cassazione, con l’ordinanza n. 4371/2026, ha ritenuto legittimo il licenziamento di un lavoratore che, durante un giorno di ferie e alle 6 del mattino, aveva effettuato la movimentazione e sincronizzazione di numerosi file aziendali senza alcuna ragione connessa alle proprie mansioni. Secondo i giudici di legittimità, una simile condotta – per tempi, modalità e contenuto – poteva far presumere un potenziale sabotaggio informatico, determinando così una rottura irreparabile del vincolo fiduciario tra datore di lavoro e dipendente. Le decisioni di merito – La vicenda aveva avuto un primo sviluppo davanti ai giudici di merito. In primo grado, il licenziamento disciplinare intimato il 4 gennaio 2022 era stato annullato, con ordine di reintegrazione del lavoratore e condanna della società al pagamento dell’indennità risarcitoria massima prevista.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/legittimo-il-licenziamento-del-lavoratore-che-in-un-giorno-di-ferie-mette-le-mani-sui-dati-aziendali-senza-alcun-motivo
Le altre rassegne
TRIBUTI: rassegna stampa N° 2/2026 del mese di febbraio
arrow_forwardTRIBUTI: rassegna stampa N° 1/2026 del mese di gennaio
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 1/2026
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 12/2025
arrow_forwardTRIBUTI: rassegna stampa N° 13/2025 del mese di dicembre
arrow_forward