Rassegna stampa GDPR e protezione dei dati a cura di iSimply del mese di aprile 2026
Aprile 2026: la privacy esce dagli uffici compliance e diventa governo del potere digitale
Cari custodi della privacy,
aprile ci consegna un messaggio molto chiaro: la protezione dei dati personali non può più essere affrontata come una disciplina isolata, tecnica o meramente documentale. La privacy sta diventando il punto di equilibrio tra sicurezza, intelligenza artificiale, lavoro digitale, libertà individuali e nuovi poteri tecnologici.
Non è un caso che il mese sia stato attraversato da un filo conduttore costante: il passaggio dalla conformità formale alla responsabilità sostanziale.
Lo vediamo nei provvedimenti del Garante, sempre più orientati a verificare non soltanto la presenza di documenti o procedure, ma la reale capacità delle organizzazioni di controllare il rischio digitale. Le sanzioni a Poste Italiane e Postepay, i casi ITA e Intesa Sanpaolo, le contestazioni sui sistemi biometrici e le decisioni sulla videosorveglianza mostrano tutte lo stesso scenario: i problemi non derivano solo dalla tecnologia, ma soprattutto da governance fragili, controlli inadeguati e modelli organizzativi incapaci di prevenire abusi, accessi impropri o trattamenti sproporzionati.
In parallelo, cresce la pressione normativa europea. Il GDPR non è più soltanto un regolamento sulla privacy: diventa l’infrastruttura giuridica su cui si innestano AI Act, NIS2, Data Act, trasparenza retributiva, cybersicurezza e identità digitale europea. Le riflessioni dell’EDPB, il dibattito sul Digital Omnibus e i nuovi modelli DPIA confermano che il futuro della compliance sarà sempre meno frammentato e sempre più integrato.
Questo cambia radicalmente anche il ruolo delle imprese e dei DPO. Non basta più “adempiere”: serve dimostrare capacità di governo del rischio. Accountability, DPIA, audit, controlli interni, segregazione degli accessi, monitoraggio dei fornitori e gestione degli incidenti diventano strumenti di difesa organizzativa prima ancora che obblighi normativi.
Aprile è stato anche il mese in cui è emersa con forza la tensione tra innovazione e diritti fondamentali. Dai sistemi di riconoscimento facciale negli aeroporti agli smart glass sul lavoro, dalla verifica dell’età online fino ai tracking pixel nelle email, il tema centrale non è fermare la tecnologia, ma impedire che il desiderio di efficienza trasformi persone, lavoratori e cittadini in soggetti costantemente osservati, profilati o valutati.
La stessa cybersicurezza sta cambiando natura. Le nuove misure ACN, il framework ENISA e i richiami continui alla convergenza tra privacy, AI e security mostrano che la protezione dei dati non può più essere separata dalla resilienza digitale delle organizzazioni. Oggi un incidente cyber è quasi sempre anche un problema privacy, reputazionale, organizzativo e strategico.
E poi c’è un altro elemento che attraversa molte delle notizie di questo mese: il ritorno della proporzionalità come principio centrale. Nei dati biometrici, nella videosorveglianza urbana, nella conservazione dei documenti degli ospiti negli hotel, nell’uso delle email aziendali o nelle verifiche sui lavoratori, le Autorità stanno riaffermando un concetto fondamentale: non tutto ciò che è tecnologicamente possibile è automaticamente lecito o necessario.
La vera sfida del 2026 non è quindi accumulare nuove tecnologie o nuovi adempimenti, ma costruire organizzazioni capaci di usare il digitale senza perdere controllo, trasparenza e fiducia.
Perché la privacy, oggi più che mai, non è un ostacolo all’innovazione: è la condizione necessaria per renderla sostenibile.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
RASSEGNA STAMPA
1° aprile 2026 | Fonte: www.agendadigitale.eu
Dati biometrici in azienda: regole, divieti e casi consentiti
Il trattamento dei dati biometrici in azienda richiede basi giuridiche solide, cautele elevate e un test rigoroso di proporzionalità. Il quadro normativo limita fortemente gli usi nei rapporti di lavoro e ammette solo alcune applicazioni specifiche, accompagnate da DPIA, misure di sicurezza e sistemi alternativi. Laprogressiva diffusione delle tecnologie biometriche – quali sistemi di riconoscimento facciale, lettori di impronte digitali, firma grafometrica e scansione dell’iride – impone oggi una riflessione normativa approfondita e strutturata, indispensabile per consentire alle imprese di operare in modo consapevole all’interno di un contesto regolatorio articolato, dinamico e in costante evoluzione.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/dati-biometrici-in-azienda-regole-divieti-e-casi-consentiti/
1° aprile 2026 | Fonte: www.cybersecurity360.it
Da ENISA un nuovo framework per capire (davvero) il mercato della cyber security europea
ENISA presenta ECSMAF 3.0, versione aggiornata del framework per l’analisi del mercato cyber europeo. Approccio più snello e data driven con sette step operativi, template riutilizzabili e monitoraggio continuo. Obiettivo: colmare lacune di settore, rafforzare competitività UE e supportare decisioni strategiche. l framework per l’analisi del mercato della sicurezza informatica (ECSMAF) dell’ENISA, pubblicato lo scorso 26 marzo 2026, rappresenta una guida indispensabile su come condurre analisi di mercato, comprese le analisi periodiche e il monitoraggio continuo, nel settore della sicurezza informatica.
Per leggere l’articolo completo: https://www.cybersecurity360.it/news/da-enisa-un-nuovo-framework-per-capire-davvero-il-mercato-della-cyber-security-europea/
2 aprile 2026 | Fonte: www.agendadigitale.eu
Accountability GDPR: storia, limiti e futuro di un principio
L’accountability nel GDPR impone ai titolari del trattamento non solo di rispettare la normativa, ma di dimostrarlo attivamente. Tra DPIA, registri, privacy by design e opacità algoritmica, il principio rivela tensioni profonde tra conformità formale e protezione reale dei dati personali. L’accountability costituisce uno dei concetti più complessi nel panorama giuridico-tecnologico contemporaneo, rappresentando il punto di convergenza tra teoria della responsabilità, filosofia del diritto e governance dei sistemi socio-tecnici.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/accountability-gdpr-storia-limiti-e-futuro-di-un-principio/
5 aprile 2026 | Fonte: www.federprivacy.it
Ancora una stretta sul telemarketing: chiamate promozionali del settore luce e gas solo con il consenso dell’utente
Ennesimo tentativo di stretta per arginare l’assillante fenomeno del telemarketing selvaggio nel settore luce e gas: scattano il divieto di contatti commerciali senza consenso preventivo e la nullità dei contratti conclusi irregolarmente. Nuovi obblighi anche sui numeri chiamanti, che dovranno essere identificabili, mentre aumentano i poteri di intervento di AGCOM e Garante privacy, con la possibilità di sospendere le linee utilizzate in violazione. Tra le modifiche introdotte durante l’iter di conversione del “Decreto Bollette n. 21/2026” – il cui disegno di legge è stato approvato dalla Camera il 31 marzo 2026 ed è attualmente all’esame del Senato – si segnala infatti una modifica al Codice del consumo.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/stretta-sul-telemarketing-chiamate-promozionali-del-settore-luce-e-gas-solo-con-il-consenso-dell-utente
7 aprile 2026 | Fonte: www.agendadigitale.eu
Nuove misure ACN: il rischio GDPR che le imprese sottovalutano
Le specifiche tecniche ACN sulle misure di sicurezza di base, aggiornate tra 2025 e 2026, innalzano progressivamente le aspettative regolatorie. Per le organizzazioni che trattano dati personali, questo ha un impatto diretto sulla valutazione di adeguatezza ex art. 32 GDPR, indipendente dall’obbligo formale di adeguamento NIS2.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/nuove-misure-acn-il-rischio-gdpr-che-le-imprese-sottovalutano/
8 aprile 2026 | Fonte: www.federprivacy.it
L’Applicazione concreta dall’accountability come fattore attenuante nel caso di sanzioni
Per anni, molte organizzazioni hanno interpretato la conformità al GDPR come un esercizio prevalentemente documentale che prevede redazione di informative, designazione del Data Protection Officer, compilazione del registro dei trattamenti, predisposizione di contratti con i responsabili del trattamento. Questi adempimenti, pur necessari, rappresentano però solo la superficie di un sistema che deve essere vivo, funzionante e costantemente aggiornato.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/l-applicazione-concreta-dall-accountability-come-fattore-attenuante-nel-caso-di-sanzioni
8 aprile 2026 | Fonte: www.agendadigitale.eu
Smart city sicura senza violare la privacy: il modello Lignano
Il Garante ha sanzionato il Comune di Orte per gravi violazioni nella videosorveglianza: assenza di base giuridica, DPIA tardiva e dati conservati impropriamente. A Lignano Sabbiadoro un sistema basato su intelligenza artificiale garantisce sicurezza urbana senza registrare volti né identità personali.
Per leggere l’articolo completo: https://www.agendadigitale.eu/smart-city/smart-city-sicura-senza-violare-la-privacy-il-modello-lignano/
8 aprile 2026 | Fonte: www.agendadigitale.eu
Trasparenza retributiva e privacy: cosa cambia per le imprese
La direttiva UE sulla trasparenza retributiva cambia il rapporto tra privacy e accesso ai dati salariali. Per i datori di lavoro arrivano nuovi obblighi informativi, adempimenti periodici e misure tecniche per evitare discriminazioni e proteggere i dati personali dei dipendenti.
Per leggere l’articolo completo: https://www.agendadigitale.eu/cultura-digitale/trasparenza-retributiva-e-privacy-cosa-cambia-per-le-imprese/
9 aprile 2026 | Fonte: www.federprivacy.it
LinkedIn risponde alle accuse di spionaggio aziendale e violazione del GDPR per la scansione dei browser: “è scritto nella nostra informativa privacy”
Ogni volta che aprite LinkedIn utilizzando un browser basato su Chrome, un codice JavaScript nascosto analizza silenziosamente il vostro computer alla ricerca di software installati, senza che voi ne siate a conoscenza, senza il vostro consenso, e senza che vi sia alcun riferimento nell’informativa sulla privacy di LinkedIn. Ad affermarlo è un’indagine approfondita condotta dal gruppo europeo di advocacy Fairlinked e.V. nell’ambito della campagna denominata “BrowserGate”, che ha portato alla luce quello che i ricercatori descrivono come uno dei più grandi scandali di spionaggio aziendale e violazione dei dati nella storia digitale.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/linkedin-accusato-di-spionaggio-aziendale-e-violazione-del-gdpr-un-codice-nascosto-scandaglia-i-browser-degli-utenti
13 aprile 2026 | Fonte: www.cybersecurity360.it
Sanzione privacy da 190 mila euro a ITA: siamo ancora all’abc del GDPR
Il Garante privacy ha sanzionato la compagnia aerea per aver trattato i dati dell’allora Presidente del CdA in maniera illegittima commettendo plurime violazioni, tra cui accessi abusivi all’e-mail con acquisizione di documenti nel corso di un’attività di digital forensics affidata a una società terza. Vediamo meglio.
Per leggere l’articolo completo: https://www.cybersecurity360.it/news/sanzione-privacy-da-190-mila-euro-a-ita-siamo-ancora-allabc-del-gdpr/
Altri articoli sull’argomento: https://www.cybersecurity360.it/news/ristrutturazione-aziendale-e-dati-dei-lavoratori-la-lezione-dalla-sanzione-a-ita-e-alitalia/
13 aprile 2026 | Fonte: www.cybersecurity360.it
Il GDPR pilastro del diritto digitale europeo: le implicazioni strategiche secondo EDPB
Il GDPR è diventato la pietra d’angolo del mercato digitale europeo, il livello su cui poggiano DMA, DSA e AI Act e il parametro che condiziona i rapporti di forza tra grandi operatori tecnologici e il resto del sistema economico. Un cambiamento che, come sottolinea l’EDPB nel suo rapporto annuale, riguarda chiunque operi nel mercato…
Per leggere l’articolo completo: https://www.cybersecurity360.it/news/il-gdpr-pilastro-del-diritto-digitale-europeo-le-implicazioni-strategiche-secondo-edpb/
14 aprile 2026 | Fonte: www.agendadigitale.eu
Digital Omnibus: la semplificazione che accentra il potere europeo
Il Digital Omnibus riorganizza l’architettura normativa europea del digitale, ponendo il GDPR al centro di un sistema che ingloba ePrivacy, sicurezza informatica e AI Act. La semplificazione si rivela una tecnica di concentrazione del potere interpretativo a livello sovranazionale, con ricadute significative sulle competenze nazionali.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/digital-omnibus-la-semplificazione-che-accentra-il-potere-europeo/
14 aprile 2026 | Fonte: www.federprivacy.it
L’audit mirato “à rebours” come misura per ridurre il rischio sanzionatorio post data breach
L’art. 83 del GDPR disciplina il regime sanzionatorio applicabile alle violazioni del GDPR, prevedendo sanzioni amministrative e pecuniarie. Tuttavia, lo stesso articolo contempla una serie di circostanze attenuanti che il titolare del trattamento può azionare per ridurre significativamente l’entità della sanzione. Tra queste, l’art. 83, par. 2, lett. c) indica espressamente “le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati” e la lett. d) aggiunge il “grado di responsabilità del titolare del trattamento”.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/l-audit-mirato-a-rebours-come-misura-per-ridurre-il-rischio-sanzionatorio-post-data-breach
15 aprile 2026 | Fonte: www.garanteprivacy.it
NEWSLETTER del 15 aprile 2026
- Prove d’esame e corsi a distanza, online le Faq del Garante privacy
- Il Garante privacy sanziona Eni per 96mila euro
- Garante: sì ad accesso proprie email dopo fine rapporto lavoro
- Garante: non conforme al Gdpr “FaceBoarding” di Milano Linate
- Servizio AscoltaMi: ok del Garante privacy al MIM
Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10239073
16 aprile 2026 | Fonte: www.federprivacy.it
Garante Privacy: il sistema di riconoscimento facciale “FaceBoarding” dell’aeroporto di Milano Linate non è conforme al Gdpr
Il Garante privacy ha dichiarato illecito il trattamento dei dati biometrici dei passeggeri dell’aeroporto di Milano Linate effettuato attraverso il sistema di riconoscimento facciale “FaceBoarding”, rispetto al quale l’Autorità era già intervenuta con un provvedimento di limitazione provvisoria nel mese di settembre 2025. Il sistema veniva utilizzato da SEA (Società per azioni esercizi aeroportuali), per consentire l’accesso all’area sterile e l’imbarco al gate dei passeggeri previa registrazione presso appositi chioschi o mediante app e successiva associazione del volto al documento di riconoscimento e alla carta d’imbarco.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/garante-privacy-il-sistema-di-riconoscimento-facciale-faceboarding-dell-aeroporto-di-milano-linate-non-e-conforme-al-gdpr
16 aprile 2026 | Fonte: www.agendadigitale.eu
Certificazione Europrivacy®, guida completa per aziende e DPO
Europrivacy è il primo sigillo ufficiale europeo ai sensi del GDPR e consente di dimostrare la conformità dei trattamenti con un percorso strutturato. Dalla definizione del perimetro fino agli audit di sorveglianza, la certificazione richiede metodo, documentazione aggiornata e coerenza operativa. uroprivacy TM/®) è il primo sigillo ufficiale europeo ai sensi dell’art. 42 del Regolamento UE 2016/679 (di seguito, “GDPR”). È quindi formalmente riconosciuto in tutti gli Stati membri dell’UE e dello SEE e dalle rispettive autorità di controllo nazionali.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/certificazione-europrivacy-guida-completa-per-aziende-e-dpo/
Altri articoli sull’argomento: https://www.adnkronos.com/immediapress/importante-cambiamento-nellambito-dei-trasferimenti-di-dati-internazionali-la-certificazione-gdpr-raggiunge-una-dimensione-globale-con-europrivacy_2QAWU89RaK61sJ1fztJs9l
16 aprile 2026 | Fonte: www.altalex.com
Data Breach – Definizione, obblighi e sanzioni previsti dal GDPR
In caso di violazione dei dati personali (c.d. “Data breach”), il titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (art. 33 GDPR – Reg. UE n. 679/2016).
Per leggere l’articolo completo: https://www.altalex.com/documents/altalexpedia/2018/04/03/data-breach
17 aprile 2026 | Fonte: www.agendadigitale.eu
Verifica dell’età online: l’app europea è pronta, ma il vero banco di prova è politico
Il 15 aprile 2026 la Presidente della Commissione europea Ursula von der Leyen ha annunciato che l’app europea per la verifica dell’età online. Non è un annuncio qualunque, per la prima volta l’Unione Europea dispone di uno strumento operativo, non un principio normativo, non una raccomandazione, per affrontare uno dei nodi più ostinati della regolazione digitale: come verificare che un utente abbia l’età necessaria per accedere a un servizio online, senza compromettere la sua privacy.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/verifica-delleta-online-lapp-europea-e-pronta-ma-il-vero-banco-di-prova-e-politico/
Altri articoli sull’argomento: https://www.agendadigitale.eu/sicurezza/privacy/verifica-delleta-online-perche-lue-mette-sotto-accusa-facebook-e-instagram/
17 aprile 2026 | Fonte: www.cybersecurity360.it
GDPR, quella del giornalista non è una professione ma una funzione: la responsabilità che nessuno vede
Ogni giorno milioni di persone producono e diffondono contenuti senza considerarsi parte del sistema informativo. In realtà ne fanno parte a tutti gli effetti e questo non è discutibile, perché è un dato giuridico. Oggi la libertà di espressione e informazione si esercita in forma diffusa, quotidiana e inconsapevole. Questo cambia radicalmente il concetto di responsabilità, dal momento che non esistono più spettatori, ma solo attori. Ed ogni attore incide sulla realtà degli altri.
Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-quella-del-giornalista-non-e-una-professione-ma-una-funzione-la-responsabilita-che-nessuno-vede/
17 aprile 2026 | Fonte: www.agendadigitale.eu
Nuovo modello DPIA EDPB: cosa devono fare ora DPO e consulenti
Il template EDPB per le DPIA porta verso uno standard documentale comune in Europa e cambia il modo di costruire le valutazioni d’impatto. Non impone un metodo unico, ma introduce una struttura più rigorosa, separa i rischi di progettazione da quelli operativi e rafforza la tracciabilità della compliance.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/nuovo-modello-dpia-edpb-cosa-devono-fare-ora-dpo-e-consulenti/
20 aprile 2026 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Il Garante privacy sanziona Poste Italiane e Postepay per oltre 12,5 milioni di euro
Il Garante per la protezione dei dati personali ha irrogato una sanzione di 6.624.000 euro a Poste Italiane S.p.A. e una di 5.877.000 euro a Postepay S.p.A., per aver trattato illecitamente i dati personali di milioni di utenti. L’istruttoria dell’Autorità – avviata a seguito di numerose segnalazioni e reclami pervenuti a partire da aprile 2024 – ha riguardato, in particolare, le modalità di funzionamento delle app BancoPosta e Postepay. Tali applicazioni prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Secondo quanto dichiarato dalle società, tali trattamenti sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento.
Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10241568
Altri articoli sull’argomento: https://www.federprivacy.org/informazione/garante-privacy/il-garante-privacy-sanziona-poste-italiane-e-postepay-per-oltre-12-5-milioni-di-euro
20 aprile 2026 | Fonte: www.federprivacy.it
L’European Data Protection Board ha adottato le Linee guida sul trattamento dei dati personali per finalità di ricerca scientifica
Il Comitato europeo per la protezione dei dati personali (EDPB) ha adottato le Linee guida sul trattamento dei dati personali per finalità di ricerca scientifica, alla cui redazione ha contribuito anche il Garante privacy italiano. Il documento offre a ricercatori, enti pubblici, università, strutture sanitarie e altri soggetti coinvolti indicazioni più chiare per la gestione dei dati personali nelle attività di ricerca. Le Linee guida chiariscono la nozione di “ricerca scientifica” e precisano che – in linea di principio – i dati personali possono essere riutilizzati per tali attività, anche se raccolti inizialmente per scopi diversi, fermo restando il rispetto di una base giuridica adeguata.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/l-european-data-protection-board-ha-adottato-le-linee-guida-sul-trattamento-dei-dati-personali-per-finalita-di-ricerca-scientifica
21 aprile 2026 | Fonte: www.agendadigitale.eu
Rischio digitale, come unire privacy AI e cybersecurity
Protezione dei dati, intelligenza artificiale e cybersecurity non possono più essere gestite come compartimenti separati. Il punto non è moltiplicare gli adempimenti ma costruire un governo del rischio digitale capace di unire conformità, decisione e valore strategico.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/rischio-digitale-come-unire-privacy-ai-e-cybersecurity/
21 aprile 2026 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Tracking pixel nelle email: pubblicate le linee guida del Garante privacy. Più trasparenza e controllo per gli utenti: consenso obbligatorio e sei mesi agli operatori per l’adeguamento
Più trasparenza e controllo per gli utenti: consenso obbligatorio e sei mesi agli operatori per l’adeguamento. Il Garante privacy ha adottato le Linee guida sull’uso dei pixel di tracciamento (tracking pixel) nelle email, per rafforzare la trasparenza e il controllo degli utenti sui propri dati. I tracking pixel sono minuscole immagini trasparenti, praticamente invisibili, inserite nei messaggi per rilevarne l’apertura e raccogliere informazioni sui comportamenti degli utenti.
Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10241977
24 aprile 2026 | Fonte: www.agendadigitale.eu
La mail aziendale è anche privata: la stretta del Garante preoccupa le aziende
Il Garante ha sanzionato un’azienda per aver negato a un ex dipendente l’accesso integrale alla propria casella e-mail. Il provvedimento del 12 marzo 2026 ridefinisce obblighi e limiti nella gestione della posta elettronica aziendale, con impatti rilevanti su backup, anonimizzazione e controlli a distanza.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/la-mail-aziendale-e-anche-privata-la-stretta-del-garante-preoccupa-le-aziende/
27 aprile 2026 | Fonte: www.agendadigitale.eu
Smart glass sul lavoro: rischi privacy e regole per le aziende
Gli smart glass entrano nei luoghi di lavoro promettendo efficienza, assistenza in tempo reale e nuove applicazioni professionali. Ma registrazioni, dati biometrici, cloud, sicurezza informatica e sorveglianza dei lavoratori aprono interrogativi complessi su privacy, fiducia aziendale, responsabilità e dignità della persona.
Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/smart-glass-sul-lavoro-rischi-privacy-e-regole-per-le-aziende/
27 aprile 2026 | Fonte: www.cybersecurity360.it
Prepping digitale e sovranità tecnologica: quando la geopolitica entra nel nostro smartphone
La dipendenza dal software non europeo è un tema che sta lentamente entrando nel dibattito pubblico. È una questione che riguarda tutti: senza allarmismi ma ragionando in ottica di gestione del rischio, è arrivato il momento di prepararsi a un eventuale fermo di questi servizi, che sia per motivi tecnici, economici o geopolitici.
Per leggere l’articolo completo: https://www.cybersecurity360.it/cybersecurity-nazionale/prepping-digitale-e-sovranita-tecnologica-quando-la-geopolitica-entra-nel-nostro-smartphone/
28 aprile 2026 | Fonte: www.federprivacy.it
Videosorveglianza urbana: dal Trentino il nuovo modello unico nazionale di patto per la sicurezza tra comune e prefettura
Il Ministero dell’interno mette nero su bianco un modello unico nazionale di accordo tra sindaco e prefetto e chiude una stagione in cui troppi enti locali hanno collegato impianti comunali a polizia di Stato e Arma dei carabinieri senza una vera architettura giuridica, spesso confidando in formule generiche o in prassi tecniche lasciate crescere senza adeguata ponderazione documentale. Il nuovo schema ministeriale, diramato il 22 aprile 2026 dal Consorzio dei comuni trentini, ha invece il pregio di dire con chiarezza che la condivisione delle immagini non passa da costruzioni ibride o da improprie contitolarità, ma dalla netta distinzione dei ruoli: il Comune tratta per sicurezza urbana, le forze di polizia trattano autonomamente quando entrano nel perimetro della prevenzione e repressione dei reati. È un chiarimento importante perché per anni il nodo privacy è stato affrontato in modo incerto, mentre qui emerge finalmente una lettura aderente alla realtà operativa.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/videosorveglianza-urbana-dai-comuni-trentini-il-nuovo-modello-unico-nazionale-di-patto-per-la-sicurezza-tra-comune-e-prefettura
28 aprile 2026 | Fonte: www.altalex.com
Sanzioni pecuniarie, i Garanti devono dimostrare l’elemento soggettivo
La Corte amministrativa del Lussemburgo, occupandosi della sanzione inflitta nel 2021 dal Garante lussemburghese alla multinazionale, ha messo al centro l’elemento della colpa nel sistema sanzionatorio sottolineando che il relativo onere probatorio ricade sulle Autorità. La decisione, ponendosi in contrasto con la prassi consolidatasi in questi anni nel settore, ristabilisce un equilibrio tra vigilanza e principio di legalità.
Per leggere l’articolo completo: https://www.altalex.com/documents/news/2026/04/28/sanzioni-pecuniarie-garanti-devono-dimostrare-elemento-soggettivo
28 aprile 2026 | Fonte: www.federprivacy.it
Viola il GDPR l’impianto di videosorveglianza dotato di un solo cartello per segnalare più telecamere installate in vari ambienti
Viola la privacy dei lavoratori l’impianto di videosorveglianza segnalato da un solo cartello informativo per più ambienti, con accesso alle immagini senza bisogno di credenziali di accesso, e soprattutto con l’autorizzazione dell’Ispettorato del lavoro ottenuta solo successivamente alla messa in funzione. A evidenziarlo è il provvedimento n. 167 del 12 marzo 2026 adottato dal Garante per la protezione dei dati personali, che ha sanzionato una società di ristorazione per una gestione non conforme delle telecamere installate nei propri locali.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/viola-il-gdpr-l-impianto-di-videosorveglianza-dotato-di-solo-cartello-per-segnalare-piu-telecamere-installate-in-vari-ambienti
28 aprile 2026 | Fonte: www.lentepubblica.it
Whistleblowing sotto controllo: ispezioni del Garante Privacy nel primo semestre 2026
Con il Provvedimento del 30 dicembre 2025 [10214259], l’Autorità Garante per la protezione dei dati personali ha definito il piano delle attività ispettive programmate per il periodo gennaio–luglio 2026, evidenziando un’attenzione rafforzata sulle verifiche nei confronti dell’utilizzo degli applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni di illeciti (c.d. “whistleblowing”).
Per leggere l’articolo completo: https://lentepubblica.it/cittadini-e-imprese/whistleblowing-sotto-controllo-ispezioni-del-garante-privacy-nel-primo-semestre-2026/
28 aprile 2026 | Fonte: www.federprivacy.it
Dipendenti “curiosi”: le misure organizzative necessarie per proteggere i dati aziendali ed evitare sanzioni del Garante Privacy
Un dipendente di filiale apre il gestionale. Digita il nome di un cliente — non suo, non della sua area, non per ragioni di lavoro. Lo fa per curiosità, o per qualcosa di peggio. Ripete questa operazione ben 6.637 volte nell’arco di due anni, senza che alcun sistema di controllo si attivi. Questo è la sintesi del caso Intesa Sanpaolo. L’aspetto sorprendente è che non si tratta di un attacco informatico sofisticato dall’esterno, ma di un “banale” accesso da parte di un “curioso” dotato di credenziali e privilegi, in assenza di un’adeguata supervisione.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/dipendenti-curiosi-le-misure-organizzative-necessarie-per-proteggere-i-dati-aziendali-ed-evitare-sanzioni-del-garante-privacy
30 aprile 2026 | Fonte: www.federprivacy.it
Garante Privacy agli albergatori: no alla conservazione di copia dei documenti d’identità degli ospiti
Alberghi, B&B e affittacamere non possono conservare copie dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza. Lo chiarisce il Garante per la protezione dei dati personali in una nota inviata alle associazioni di categoria del settore, anche alla luce dell’aumento di segnalazioni e violazioni dei dati personali registrate negli ultimi mesi. La normativa vigente impone ai gestori delle strutture ricettive di identificare i clienti e di trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale “Alloggiati Web”. Tale obbligo, tuttavia, non legittima la conservazione, da parte delle strutture, di fotocopie o immagini dei documenti d’identità.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/garante-privacy-agli-albergatori-no-alla-conservazione-di-copia-dei-documenti-d-identita-degli-ospiti
30 aprile 2026 | Fonte: www.federprivacy.it
Migliaia di documenti d’identità rubati negli hotel e messi in vendita nel Dark Web: trascorsi 9 mesi nel silenzio delle istituzioni
L’allarme era arrivato ad inizio agosto dello scorso anno dal Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, quando in piena stagione turistica aveva diffuso un comunicato in cui rendeva noto che oltre 70.000 documenti tra carte d’identità e passaporti scansionati o fotocopiati erano stati trafugati da almeno dieci hotel italiani, e poi finiti nei circuiti di forum underground e Dark Web, dove identità e dati personali vengono venduti come merce qualsiasi.
Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/documenti-d-identita-rubati-negli-hotel-e-messi-in-vendita-nel-dark-web-trascorsi-9-mesi-nel-silenzio-delle-istituzioni
Le altre rassegne
TRIBUTI: rassegna stampa N° 4/2026 del mese di aprile
arrow_forwardTransizione Digitale: rassegna stampa trimestrale N° 1/2026
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 3/2026
arrow_forwardTRIBUTI: rassegna stampa N° 3/2026 del mese di marzo
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 2/2026
arrow_forward