GDPR e protezione dei dati: rassegna stampa N° 5/2026

Rassegna stampa GDPR e protezione dei dati a cura di iSimply del mese di maggio 2026

 

EDITORIALE – MAGGIO 2026

Cari custodi della privacy,

il mese di maggio 2026 si apre e si chiude sotto un’unica grande tensione: quella tra semplificazione e tutela. Da un lato l’Europa festeggia i dieci anni del GDPR e accelera sul cosiddetto Digital Omnibus, con l’accordo provvisorio del 7 maggio che rinvia gli obblighi più onerosi dell’AI Act e promette meno burocrazia per imprese ed enti. Dall’altro, le Autorità di controllo non hanno affatto allentato la presa: le sanzioni del mese – da The European House-Ambrosetti in Italia a IQVIA e Amadeus in Francia e Spagna – ricordano che la conformità resta un dovere sostanziale, e non un adempimento formale che la semplificazione cancella.

Per gli enti pubblici e i Comuni, maggio porta scadenze concrete e ravvicinate. Sul fronte NIS2 si sono aperte le finestre della piattaforma ACN per la categorizzazione di attività e servizi e per l’aggiornamento dei dati e dei fornitori rilevanti: adempimenti che chiamano in causa la responsabilità diretta degli organi di vertice e che non possono essere lasciati al solo ufficio tecnico. In sanità, le FAQ aggiornate sul Fascicolo sanitario elettronico e la rinnovata attenzione del Garante sull’uso delle immagini dei pazienti impongono una revisione attenta di consensi, oscuramento e procedure. E il richiamo ai media sul caso Garlasco ribadisce un principio che vale anche per gli uffici stampa e i siti istituzionali della PA: si può diffondere solo ciò che è davvero essenziale.

Per le imprese il messaggio è altrettanto netto, anche quando operano per conto di altri nella gestione dei dati. La sanzione ad Ambrosetti insegna che notificare il data breach al Garante entro 72 ore non basta: occorre informare tempestivamente gli interessati, senza che timori reputazionali prevalgano sui loro diritti. Le nuove Linee guida sui tracking pixel nelle email toccano chiunque invii newsletter o comunicazioni promozionali. E il caso Myndoor – primo in Italia ad applicare il divieto dell’AI Act sull’inferenza delle emozioni sul lavoro – segna un confine chiaro per qualunque strumento di intelligenza artificiale applicato al personale.

Sul fronte europeo, infine, gli strumenti per lavorare meglio non mancano: il nuovo modello armonizzato di DPIA dell’EDPB, la relazione annuale dell’EDPS e i segnali su anonimizzazione e legittimo interesse che arrivano dalle sanzioni di CNIL e AEPD offrono indicazioni metodologiche preziose, da tradurre subito nelle nostre procedure.

Il filo conduttore, allora, è l’equilibrio che diventa metodo: cogliere le opportunità della semplificazione senza abbassare la guardia sulla sostanza, documentare le valutazioni, presidiare i fornitori, controllare gli accessi e fissare tempi di conservazione difendibili. Per ogni voce troverete il perché rileva e l’azione pratica suggerita, perché il nostro compito non è solo raccontare cosa è successo, ma tradurlo in decisioni difendibili al vostro fianco.

Con stima e fiducia in un domani più sicuro,

Enrico Capirone

Presidente iSimply e Senior Advisor Gruppo 2G

 

RASSEGNA STAMPA

 

1. Garante per la protezione dei dati personali – provvedimenti e sanzioni

12/03/2026 (rilievo a maggio) |  Fonte: garanteprivacy.it

Diffusione illecita di numeri di telefono e dati: sanzione di 40.000 euro a La7 (caso Paragon)

#giornalismo  #essenzialità  #diffusione  #IMEI  #divieto

Il Garante ha sanzionato La7 S.p.A. con 40.000 euro per l’illecita diffusione di dati personali andata in onda in un servizio del telegiornale dedicato al caso Paragon. Nelle immagini trasmesse erano chiaramente visibili numeri di cellulare, nomi e cognomi, dettagli di chiamate e messaggi e codici identificativi dei dispositivi (IMEI, IMSI) riferiti anche a persone del tutto estranee alla vicenda. L’emittente ha attribuito l’accaduto a un errore di montaggio, ma il Garante ha ribadito che il principio di essenzialità dell’informazione vale anche nell’attività giornalistica e che un errore tecnico non esonera dalla responsabilità; ha inoltre imposto il divieto di ulteriore diffusione delle immagini. Il provvedimento è quello del 12 marzo 2026 (doc-web 10242600), reso noto e ripreso dalla stampa a maggio.

Perché è rilevante: Il caso è utile per uffici stampa e PA che pubblicano contenuti: il bilanciamento tra diritto di cronaca e protezione dei dati impone di diffondere solo le informazioni strettamente necessarie alla notizia, e la responsabilità resta in capo a chi pubblica anche quando l’esposizione dei dati deriva da una svista.

Azione pratica: Introdurre un controllo redazionale e di pubblicazione – esteso a social e siti istituzionali – che verifichi l’oscuramento dei dati identificativi non essenziali (numeri, codici, recapiti) prima di ogni diffusione.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10242600

• • •

12/03/2026 (rilievo a maggio)  |  Fonte: garanteprivacy.it

L’ex dipendente ha diritto di accedere alla propria casella di posta aziendale

#dirittodiaccesso  #postaelettronica  #exdipendente  #art15  #controllodatoriale

Ha avuto ampia eco a maggio il provvedimento n. 165 del 12 marzo 2026, con cui il Garante ha riconosciuto a un ex dipendente il diritto di accedere, dopo la cessazione del rapporto di lavoro, alla propria casella di posta elettronica individualizzata, comprese le comunicazioni transitate sull’account aziendale. Secondo l’Autorità non è legittimo selezionare o oscurare preventivamente i contenuti distinguendo tra sfera personale e professionale, salvo specifiche e comprovate ragioni come la tutela di segreti aziendali; e le esigenze di continuità operativa dell’impresa non bastano, da sole, a giustificare il mantenimento attivo della casella dopo l’uscita del lavoratore. La decisione tocca un nodo molto frequente nella gestione quotidiana del personale; alla società destinataria è stata applicata una sanzione di 50.000 euro.

Perché è rilevante: Il provvedimento definisce i limiti del controllo datoriale e gli obblighi verso l’ex dipendente in materia di accesso ai dati: un tema ricorrente per PMI e PA, che spesso mantengono attive o deviano le caselle dei dipendenti usciti senza una procedura conforme.

Azione pratica: Rivedere la policy di gestione e disattivazione delle caselle email alla cessazione del rapporto, definendo modalità per soddisfare le richieste di accesso ex art. 15, tempi di chiusura e messaggi di risposta automatica conformi.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10233328

• • •

29/04/2026 (rilievo a maggio)  |  Fonte: garanteprivacy.it

Strutture ricettive: vietata la conservazione di copia dei documenti degli ospiti

#alberghi  #documentidiidentità  #conservazione  #alloggiatiweb  #databreach

Il Garante ha precisato che alberghi, B&B e affittacamere non possono conservare copia dei documenti d’identità degli ospiti oltre il tempo strettamente necessario alla comunicazione dei dati alle autorità di pubblica sicurezza tramite il sistema Alloggiati Web. Una volta completata la trasmissione, le copie acquisite (fotografie o scansioni) vanno cancellate o distrutte: l’unico documento conservabile è la ricevuta dell’avvenuta comunicazione, da tenere per cinque anni. L’intervento dell’Autorità nasce dall’aumento di segnalazioni, reclami e veri e propri data breach legati alla prassi, molto diffusa, di archiviare i documenti degli ospiti senza una base giuridica e oltre il necessario.

Perché è rilevante: È un tema concreto e a larghissima diffusione, che tocca migliaia di micro-strutture turistiche spesso prive di un DPO o di procedure strutturate: conservare copia dei documenti è una prassi comune ma, salvo eccezioni, illecita ed esposta a rischi di violazione.

Azione pratica: Vietare la copia o la fotografia dei documenti, configurare la cancellazione immediata dei file dopo l’invio ad Alloggiati Web, conservare solo la ricevuta per cinque anni e aggiornare di conseguenza informativa agli ospiti e registro dei trattamenti.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10244195

• • •

15/05/2026  |  Fonte: garanteprivacy.it

Caso Garlasco: fermo richiamo del Garante ai media

#giornalismo  #dirittodicronaca  #essenzialità  #dignità  #reclami

Il Garante ha rivolto un fermo richiamo ai media affinché rispettino la normativa privacy e le Regole deontologiche dei giornalisti, stigmatizzando la spettacolarizzazione della vicenda di Garlasco come contraria al principio di essenzialità dell’informazione. Il limite, sottolinea l’Autorità, non vale solo per la vittima e i suoi familiari ma anche per gli indagati e per le altre persone coinvolte a vario titolo. Il Garante ha precisato di continuare a vigilare alla luce dei numerosi reclami ricevuti e di riservarsi di intervenire anche nei confronti di chi utilizza, riproduce o rilancia contenuti acquisiti o diffusi illecitamente.

Perché è rilevante: L’avvertimento chiarisce che anche la semplice riproduzione o condivisione di contenuti ottenuti illecitamente può integrare una violazione: un punto rilevante per gli uffici comunicazione e stampa di enti e PA, oltre che per le redazioni.

Azione pratica: Ricordare a uffici comunicazione e stampa il divieto di rilanciare materiali ottenuti illecitamente e applicare in modo sistematico il principio di essenzialità nelle pubblicazioni, valutando caso per caso cosa è davvero necessario diffondere.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10250954

• • •

20/05/2026  |  Fonte: federprivacy.org

Smartphone personale imposto come strumento di lavoro: il modello BYOD sotto la lente del Garante

#BYOD  #privacysullavoro  #minimizzazione  #titolare  #dispositivipersonali

Secondo quanto riportato dalla stampa di settore, il Garante è intervenuto sul cosiddetto modello BYOD (Bring Your Own Device), cioè l’uso del dispositivo personale del dipendente come strumento di lavoro. Imporre al lavoratore di utilizzare il proprio smartphone per finalità professionali, senza adeguate garanzie, espone a trattamenti non necessari i dati personali e familiari contenuti nel dispositivo e fa ricadere sul datore precise responsabilità in qualità di titolare. Per essere lecito, il BYOD richiede una policy chiara, la separazione tra sfera privata e professionale, misure tecniche e organizzative documentate e una valutazione preventiva dei rischi: in assenza di questi presidi il trattamento diventa illecito.

Perché è rilevante: Riguarda un modello molto diffuso in PMI ed enti che, per risparmiare, fanno usare i device personali: per il Titolare privato è il promemoria che il BYOD comporta obblighi di accountability, e per il Titolare pubblico vale lo stesso quando si chiede di usare il telefono personale per app di servizio o reperibilità.

Azione pratica: Disciplinare il BYOD con una policy formale oppure vietarlo; separare profili lavoro e privato con strumenti di mobile device management, redigere una DPIA e un’informativa dedicata e prevedere sempre un’alternativa aziendale al dispositivo personale.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/viola-la-privacy-l-azienda-che-impone-al-dipendente-di-utilizzare-lo-smartphone-personale-come-strumento-di-lavoro

• • •

21/05/2026  |  Fonte: garanteprivacy.it

Data breach: sanzione di 85.000 euro a The European House – Ambrosetti

#databreach  #sicurezza  #password  #notifica  #art34

Il Garante ha sanzionato per 85.000 euro la società di consulenza The European House – Ambrosetti spa per carenze nelle misure di sicurezza emerse dopo un data breach che ha coinvolto 61.670 persone, tra dipendenti di aziende clienti e personale interno. Sfruttando una vulnerabilità tecnica, gli attaccanti hanno esfiltrato nomi, indirizzi email, username e password: parte delle password era conservata addirittura in chiaro e parte con tecniche crittografiche ormai considerate deboli, ed erano ancora presenti credenziali di sistemi non più in uso. L’aspetto decisivo è la gestione successiva: pur avendo notificato la violazione al Garante entro le 72 ore previste, la società ha informato le persone coinvolte solo dopo circa due mesi e dopo l’intervento dell’Autorità, quando il rischio per gli interessati imponeva una comunicazione tempestiva.

Perché è rilevante: Il provvedimento chiarisce che la notifica al Garante non esaurisce gli obblighi: quando il rischio per i diritti delle persone è elevato, l’art. 34 GDPR impone anche la comunicazione tempestiva agli interessati, e i timori reputazionali non possono giustificarne il ritardo. È un tema centrale per qualsiasi PMI o ente pubblico che gestisca portali online e archivi di credenziali.

Azione pratica: Verificare che le password siano protette con funzioni di hashing robuste e mai conservate in chiaro, eliminare le credenziali dei sistemi dismessi e predisporre in anticipo una procedura di comunicazione agli interessati, attivabile in parallelo alla notifica al Garante.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10252530

• • •

21/05/2026  |  Fonte: garanteprivacy.it

No alla diffusione delle foto di un malato senza consenso: sanzionato un medico per 5.000 euro

#datisanitari  #consenso  #anonimizzazione  #minori  #ricerca

Il Garante ha sanzionato per 5.000 euro un medico che, in un ePoster presentato a un convegno scientifico e poi pubblicato sul sito di una società medica, aveva utilizzato le fotografie di un neonato affetto da una grave malformazione (poi deceduto) senza il consenso dei genitori e senza misure idonee a impedirne l’identificabilità. L’Autorità è intervenuta su segnalazione della madre. Nel provvedimento il Garante ricorda che il Codice di condotta sull’uso dei dati relativi alla salute per finalità di studio e ricerca impone, di regola, l’anonimizzazione effettiva delle immagini e, solo in subordine e con il consenso, la pseudonimizzazione: la finalità scientifica o didattica, da sola, non legittima la diffusione di dati identificativi.

Perché è rilevante: È un’indicazione netta per sanità, ricerca e formazione medica: pubblicare casi clinici – anche a scopo scientifico, congressuale o didattico – richiede un’anonimizzazione reale oppure il consenso esplicito, e la tutela è massima quando riguarda minori e pazienti vulnerabili.

Azione pratica: Adottare una procedura interna per la pubblicazione di casi clinici (poster, paper, materiali didattici) che imponga la verifica dell’anonimizzazione e, dove non sia possibile, la raccolta documentata del consenso degli interessati o dei loro tutori.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10252530

• • •

21/05/2026  |  Fonte: garanteprivacy.it

Online le FAQ aggiornate sul Fascicolo sanitario elettronico (FSE)

#FSE  #sanità  #consenso  #dossierfarmaceutico  #EDS

Il Garante ha pubblicato le FAQ aggiornate sul Fascicolo sanitario elettronico, con particolare attenzione al dossier farmaceutico – la sezione del FSE alimentata dalla farmacia al momento della consegna dei farmaci – e all’Ecosistema dati sanitari (EDS). Le FAQ chiariscono chi può accedere ai dati, quale ruolo abbia il consenso e come funzioni il meccanismo di oscuramento: l’EDS sarà alimentato con i dati del FSE ad esclusione di quelli oscurati dall’assistito, i servizi di analisi potranno essere attivati solo dopo la piena attuazione del FSE 2.0 e, per le finalità di ricerca, saranno resi disponibili esclusivamente dati anonimizzati. Il documento aiuta a districare un quadro normativo che molti operatori sanitari trovano complesso.

Perché è rilevante: L’aggiornamento ha un impatto diretto su ASL, ospedali, farmacie e medici, perché ridefinisce in modo operativo consenso, oscuramento e flussi dei dati verso l’EDS: è un riferimento prezioso per i DPO della sanità nella revisione di informative, profili di accesso e basi giuridiche.

Azione pratica: Aggiornare informative, profili di accesso e procedure di consenso e oscuramento del FSE, e verificare i flussi dei dati verso il dossier farmaceutico e l’EDS in vista della piena attuazione del FSE 2.0.

Per leggere l’articolo completo: https://www.garanteprivacy.it/faq/fascicolo-sanitario

• • •

2. Novità normative italiane ed europee

 

17/04/2026 (pubblicazione e rilievo a maggio)  |  Fonte: garanteprivacy.it

Tracking pixel nelle email: pubblicate le Linee guida del Garante

#trackingpixel  #emailmarketing  #consenso  #ePrivacy  #profilazione

Il Garante ha adottato, con provvedimento del 17 aprile 2026 (doc-web 10241943; comunicato del 21 aprile 2026), le Linee guida sull’uso dei tracking pixel nelle comunicazioni via email. I pixel di tracciamento sono immagini minime e di norma invisibili che, all’apertura del messaggio, trasmettono al mittente informazioni come l’avvenuta apertura, l’indirizzo IP, il dispositivo e l’orario. Le Linee guida non li vietano, ma distinguono nettamente tra usi tecnici o strettamente necessari e usi di marketing o profilazione: questi ultimi richiedono un consenso preventivo, libero, specifico e informato. Viene superata la logica del tracciamento silenzioso: l’utente deve essere informato in modo trasparente e poter revocare facilmente il consenso. Agli operatori sono concessi sei mesi dalla pubblicazione per adeguarsi.

Perché è rilevante: L’impatto pratico è altissimo perché riguarda chiunque invii newsletter o DEM – aziende, PMI, PA, associazioni – dato che moltissime piattaforme di email marketing utilizzano i tracking pixel in modo predefinito, spesso senza che il mittente ne sia pienamente consapevole.

Azione pratica: Mappare l’uso dei tracking pixel negli invii, distinguere le finalità tecniche da quelle di marketing, aggiornare informativa e raccolta del consenso e pianificare l’adeguamento entro il termine dei sei mesi.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10241977

• • •

07/05/2026  |  Fonte: consilium.europa.eu

Digital Omnibus sull’IA: accordo provvisorio per semplificare e rinviare parti dell’AI Act

#AIAct  #DigitalOmnibus  #scadenze  #altorischio  #CSAM

Consiglio e Parlamento europeo hanno raggiunto un accordo politico provvisorio sulla proposta che modifica e semplifica l’AI Act (Regolamento UE 2024/1689), nell’ambito del più ampio pacchetto Digital Omnibus pensato per ridurre gli oneri normativi sul digitale. Secondo le informazioni diffuse, l’accordo rinvia l’applicazione degli obblighi più gravosi per i sistemi di IA ad alto rischio e introduce un nuovo divieto per le applicazioni che generano contenuti sessuali non consensuali o materiale pedopornografico. Resta fermo l’obbligo di marcare i contenuti generati dall’intelligenza artificiale, con un periodo transitorio. L’adozione formale del testo è attesa nelle settimane successive.

Perché è rilevante: Anche le PMI e gli enti pubblici che usano o acquistano sistemi di IA guadagnano tempo prima degli obblighi più onerosi sull’alto rischio, ma le scadenze su trasparenza dei contenuti sintetici e alfabetizzazione del personale restano vicine: un punto da pianificare per Comuni e strutture sanitarie che stanno valutando chatbot e strumenti basati su IA.

Azione pratica: Aggiornare la roadmap di conformità all’AI Act con le nuove date e mappare se i sistemi di IA in uso ricadono tra le pratiche vietate o tra quelle ad alto rischio.

Per leggere l’articolo completo: https://www.consilium.europa.eu/en/press/press-releases/

• • •

15/05/2026  |  Fonte: altalex.com

Videosorveglianza urbana integrata: l’interconnessione delle sale operative tra Comuni e forze dell’ordine

#videosorveglianza  #sicurezzaurbana  #PA  #contitolarità  #conservazione

La stampa giuridica analizza il quadro con cui il Ministero dell’Interno promuove l’interconnessione dei sistemi di videosorveglianza urbana, collegando le sale operative degli enti locali con quelle delle forze dell’ordine. L’integrazione dei flussi video tra Comuni, Polizia Locale e organi statali amplia la capacità di controllo del territorio ma moltiplica i rischi: condivisione di immagini tra più titolari, definizione dei ruoli (titolare, responsabile, contitolare), tempi di conservazione, basi giuridiche e accountability dei sistemi interconnessi. Il tema impone di disciplinare con attenzione finalità, accessi e garanzie per i cittadini ripresi, evitando una sorveglianza generalizzata e sproporzionata.

Perché è rilevante: È un tema nuovo e concreto per la PA locale: con l’interconnessione la videosorveglianza non è più soltanto locale ma una rete condivisa con altri titolari, con l’obbligo di chiarire ruoli e responsabilità reciproche e di rivedere basi giuridiche e tempi di conservazione.

Azione pratica: Prima di aderire all’interconnessione, mappare i flussi, stipulare accordi di contitolarità o nomine a responsabile, aggiornare il registro dei trattamenti e la DPIA sulla videosorveglianza e definire tempi di conservazione e profili di accesso condivisi.

Per leggere l’articolo completo: https://www.altalex.com/documents/news/2026/05/15/videosorveglianza-urbana-integrata-come-viminale-unifica-sistemi-controllo-cittadini

• • •

24/05/2026  |  Fonte: commission.europa.eu

Dieci anni di GDPR: bilancio e prospettive di riforma

#GDPR10anni  #riforma  #PMI  #cookie  #accountability

In occasione del decimo anniversario del GDPR, la Commissione europea ha rilanciato il bilancio del Regolamento e il dibattito sulla sua semplificazione. Tra le misure discusse nel quadro del Digital Omnibus figurano l’ampliamento dell’esenzione dall’obbligo di tenere il registro dei trattamenti per le organizzazioni di minori dimensioni e la standardizzazione dei banner cookie con meccanismi di rifiuto più semplici e immediati. Le Autorità europee, riunite anche nella Spring Conference, hanno sottolineato come la cooperazione transfrontaliera stia diventando sempre più strutturata: la direzione, quindi, è quella di alleggerire alcuni adempimenti formali rafforzando però l’applicazione coordinata delle regole.

Perché è rilevante: Il decennale segna una fase di possibile alleggerimento degli adempimenti per le PMI, ma conferma allo stesso tempo il rafforzamento dell’enforcement coordinato a livello europeo: utile per orientare le scelte di compliance dei prossimi mesi senza abbassare la guardia.

Azione pratica: Monitorare l’iter di riforma del GDPR e del Digital Omnibus e valutare in anticipo l’impatto delle nuove esenzioni per le organizzazioni di minori dimensioni.

Per leggere l’articolo completo: https://commission.europa.eu/news-and-media/news/ten-years-gdpr-your-data-your-rights-2026-05-22_en

• • •

29/05/2026  |  Fonte: agid.gov.it

AgID: nuovo regolamento sull’accessibilità dei servizi digitali e sul potere sanzionatorio

#accessibilità  #EAA  #vigilanza  #sanzioni  #servizidigitali

AgID ha pubblicato un nuovo regolamento che disciplina le modalità di verifica e l’esercizio del potere sanzionatorio in materia di accessibilità dei servizi digitali, in attuazione del recepimento dell’European Accessibility Act. Il testo unifica la disciplina per siti, applicazioni e servizi digitali e rafforza il ruolo dell’utente: le verifiche partono sempre più spesso da segnalazioni e reclami dei cittadini. La conformità agli standard di accessibilità diventa un obbligo presidiato da sanzioni non solo per la pubblica amministrazione ma anche per i settori privati considerati strategici, ampliando così la platea dei soggetti tenuti ad adeguarsi.

Perché è rilevante: Pur trattandosi di una materia distinta dalla protezione dei dati, l’accessibilità incrocia il lavoro del DPO nella gestione di reclami e segnalazioni e nella governance complessiva dei servizi digitali; il regime sanzionatorio rafforzato richiede un coordinamento tra le diverse funzioni aziendali.

Azione pratica: Per PA e imprese dei settori strategici, verificare la conformità di siti e app agli standard di accessibilità e predisporre un canale e un processo strutturato di gestione delle segnalazioni dei cittadini.

Per leggere l’articolo completo: https://www.agid.gov.it/it/notizie/accessibilita-pubblicato-il-nuovo-regolamento-agid-sulle-attivita-di-vigilanza

• • •

3. EDPB e strumenti operativi per il DPO

 

14/04/2026 (consultazione fino al 09/06/2026)  |  Fonte: edpb.europa.eu

L’EDPB pubblica un modello armonizzato di DPIA (in consultazione)

#DPIA  #art35  #modelloarmonizzato  #consultazione  #accountability

L’EDPB ha reso disponibile il primo modello (template) armonizzato a livello europeo per la valutazione d’impatto sulla protezione dei dati, accompagnato da un documento esplicativo che ne guida la compilazione. Il modello è organizzato in sette sezioni che accompagnano il titolare lungo l’intero ciclo della DPIA e distingue con chiarezza tra i rischi legati alla progettazione (by-design) e quelli derivanti da eventi accidentali o malevoli. L’uso non è obbligatorio, ma offre campi predefiniti che aiutano a produrre valutazioni complete e confrontabili. Conclusa la consultazione pubblica, le autorità nazionali potranno adottarlo come standard o come modello di riferimento.

Perché è rilevante: È uno strumento di interesse diretto e quotidiano per il DPO: uno standard europeo di DPIA semplifica la conformità e introduce, di fatto, un benchmark implicito rispetto al quale verranno valutate le valutazioni d’impatto. Particolarmente utile per PMI e PA prive di modelli interni maturi.

Azione pratica: Scaricare il template e il documento esplicativo dell’EDPB, confrontarli con il modello di DPIA interno, valutarne l’allineamento ed eventualmente inviare commenti nell’ambito della consultazione entro il termine.

Per leggere l’articolo completo: https://www.edpb.europa.eu/news/news/2026/enhancing-compliance-and-consistency-edpb-adopts-dpia-template_en

• • •

07/05/2026  |  Fonte: edps.europa.eu

EDPS: Relazione annuale 2025 (consultazioni record e transizione IA nelle istituzioni UE)

#relazioneannuale  #IA  #sandbox  #vigilanza  #Microsoft365

Il Garante europeo della protezione dei dati (EDPS) ha pubblicato la Relazione annuale 2025, presentata alla commissione LIBE del Parlamento europeo. Il 2025 ha visto la piena attivazione dell’Unità IA dell’EDPS, l’avvio di un progetto pilota di sandbox regolatoria per l’intelligenza artificiale e un numero record di consultazioni legislative. La relazione richiama il ruolo dell’EDPS come autorità di vigilanza del mercato per l’IA utilizzata dalle istituzioni dell’Unione e l’indagine sull’uso di Microsoft 365 da parte della Commissione; sul piano della prospettiva (foresight) analizza temi emergenti come l’IA agentica, gli AI companion e il federated learning.

Perché è rilevante: È un documento di indirizzo che anticipa le priorità di enforcement e i temi tecnologici emergenti rilevanti anche per i titolari italiani: un utile benchmark per i DPO di PA e sanità che stanno valutando l’adozione di strumenti di IA e di servizi cloud.

Azione pratica: Leggere almeno l’executive summary per allineare le priorità interne – governance dell’IA e audit dei fornitori cloud – ai temi segnalati dall’EDPS.

Per leggere l’articolo completo: https://www.edps.europa.eu/press-publications/press-news/press-releases_en

• • •

10/05/2026  |  Fonte: altalex.com

Protezione dei dati e ricerca scientifica: le Linee guida EDPB 1/2026

#EDPB  #ricercascientifica  #consenso  #pseudonimizzazione  #basegiuridica

Le Linee guida EDPB 1/2026 affrontano i nodi del rapporto tra GDPR e ricerca scientifica: basi giuridiche del trattamento, ammissibilità del consenso ampio, riuso secondario dei dati, banche dati di ricerca, anonimizzazione e pseudonimizzazione. Il documento offre ai DPO un quadro operativo per bilanciare la libertà di ricerca con i diritti degli interessati, chiarendo quando il consenso può essere espresso in forma ampia e quali garanzie supplementari servono, come minimizzazione, misure tecniche e trasparenza. È uno strumento utile non solo per università ed enti di ricerca, ma per ogni organizzazione che tratti dati a fini di studio, statistica o sviluppo, comprese aziende sanitarie e farmaceutiche.

Perché è rilevante: Per i Titolari pubblici (ASL, università, enti di ricerca) e per le imprese (sanità, biotech, ricerca e sviluppo) incide su consenso, riuso dei dati e basi giuridiche, dando al DPO criteri concreti per validare i progetti di ricerca.

Azione pratica: Rivedere i moduli di consenso ampio dei progetti di ricerca alla luce delle Linee guida, distinguere con rigore pseudonimizzazione e anonimizzazione e aggiornare le DPIA dei trattamenti per finalità di ricerca e statistica.

Per leggere l’articolo completo: https://www.altalex.com/documents/news/2026/05/10/protezione-dati-ricerca-scientifica-ricerca-difficile-equilibro

• • •

11/05/2026 e 28/05/2026  |  Fonte: edpb.europa.eu

EDPB: plenarie di maggio (119a dell’11 maggio e 120a/ad hoc del 28 maggio)

#plenaria  #EDPB  #agenda  #anonimizzazione  #monitoraggio

Il calendario ufficiale dell’EDPB conferma due riunioni plenarie nel mese di maggio: la 119a in modalità remota l’11 maggio e una plenaria, anche in forma ad hoc, il 28 maggio. Al momento della verifica non risultano ancora pubblicati comunicati di esito né documenti formalmente adottati con queste date: l’ultima notizia diffusa dall’EDPB nel periodo risale al 5 maggio, in occasione della Giornata dell’Europa. Restano in lavorazione, da plenarie precedenti, dossier di rilievo come le linee guida sull’anonimizzazione, attese con interesse dagli operatori.

Perché è rilevante: È utile sapere che le plenarie si sono tenute ma che i loro esiti formali non sono ancora pubblici: conviene monitorare l’eventuale adozione di linee guida che avrebbero impatto su PMI, PA e sanità, evitando però di darle per acquisite prima della pubblicazione ufficiale.

Azione pratica: Monitorare la pagina delle notizie e le agende delle plenarie dell’EDPB nei giorni successivi per verificarne gli esiti, senza considerare adottato alcun documento finché non compare datato sul sito.

Per leggere l’articolo completo: https://www.edpb.europa.eu/our-work-tools/plenary-meetings_en

• • •

12/05/2026  |  Fonte: edpb.europa.eu

EDPB: opinione (art. 64 GDPR) sui requisiti di accreditamento di un organismo di certificazione

#art64  #accreditamento  #certificazione  #art43  #coerenza

L’EDPB ha pubblicato l’Opinione 13/2026, ai sensi dell’art. 64 GDPR, relativa alla bozza di decisione dell’autorità di controllo finlandese sull’approvazione dei requisiti aggiuntivi di accreditamento di un organismo di certificazione, ai sensi dell’art. 43(3) GDPR. Si tratta di un atto del meccanismo di coerenza, lo strumento con cui l’EDPB armonizza a livello europeo i criteri applicati dalle singole autorità nazionali quando accreditano gli organismi abilitati a rilasciare certificazioni GDPR. L’obiettivo è evitare che gli standard di accreditamento varino in modo significativo da uno Stato membro all’altro.

Perché è rilevante: L’impatto è indiretto ma concreto per le organizzazioni italiane, incluse le PMI, che intendono dotarsi di una certificazione GDPR come leva di accountability: l’armonizzazione dei criteri rende una certificazione ottenuta in Italia più riconoscibile e spendibile in tutta l’Unione.

Azione pratica: Se si valuta una certificazione GDPR come strumento di accountability, verificare con l’organismo prescelto che l’accreditamento segua criteri allineati alle indicazioni dell’EDPB.

Per leggere l’articolo completo: https://www.edpb.europa.eu/our-work-tools/consistency-findings/opinions_en

• • •

4. AI Act e uso conforme dell’AI

 

06/05/2026  |  Fonte: garanteprivacy.it

Deepfake: nuovo avvertimento del Garante, che chiede maggiori poteri di intervento

#deepfake  #intelligenzaartificiale  #immaginisintetiche  #tutela  #minori

Il Garante ha ribadito che i servizi capaci di generare contenuti a partire da immagini o voci reali – fino a manipolare o denudare persone senza il loro consenso – possono integrare veri e propri reati e gravi violazioni dei diritti fondamentali. L’Autorità richiama i propri precedenti interventi nei confronti di utilizzatori di servizi di IA generativa e chiede di poter disporre con maggiore tempestività il blocco dell’accesso dall’Italia a tali piattaforme, così da interrompere la catena virale delle condivisioni quando il danno è grave e, spesso, irreversibile.

Perché è rilevante: Il comunicato segnala l’orientamento verso un’azione più rapida contro l’IA generativa illecita; per il DPO rappresenta un alert sui rischi reputazionali e di responsabilità connessi al trattamento o alla diffusione di immagini manipolate, in particolare quando coinvolgono minori e dipendenti.

Azione pratica: Inserire il rischio deepfake nelle valutazioni dei trattamenti che coinvolgono immagini e voce, aggiornare le policy sull’uso dei social e sulla gestione delle immagini e sensibilizzare il personale.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10246345

• • •

08/05/2026  |  Fonte: edps.europa.eu

EDPS: per la Giornata dell’Europa, un richiamo a un’IA sicura ed etica

#EuropeDay  #IAetica  #valoriUE  #dirittifondamentali  #governance

In occasione della Giornata dell’Europa, l’EDPS ha pubblicato un contributo che ribadisce l’impegno europeo per una tecnologia centrata sulla persona, trasparente e rispettosa dei diritti fondamentali. Non si tratta di un atto normativo ma di un posizionamento di indirizzo, utile però a leggere la direzione valoriale che continua a guidare l’attività di enforcement europea sull’intelligenza artificiale: l’idea che innovazione e tutela dei diritti debbano procedere insieme, e non in alternativa.

Perché è rilevante: Aiuta a impostare la governance interna dell’IA in chiave non solo di conformità formale ma anche etica: un riferimento utile nella redazione delle policy aziendali sull’uso dell’intelligenza artificiale.

Azione pratica: Assumere l’orientamento di un’IA sicura ed etica come principio guida nella stesura delle policy interne sull’uso degli strumenti di intelligenza artificiale.

Per leggere l’articolo completo: https://www.edps.europa.eu/press-publications/press-news/blog_en

• • •

14/05/2026 (comunicato 28/05)  |  Fonte: garanteprivacy.it

IA e lavoro: avvertimento del Garante su un plug-in che rileva lo stress dei dipendenti (caso Myndoor)

#IA  #lavoro  #emotionrecognition  #AIAct  #avvertimento

Il Garante ha rivolto un avvertimento a una start-up che ha sviluppato un plug-in per Slack e Teams in grado, tramite intelligenza artificiale e analisi semantica delle chat, di rilevare il livello di stress psicologico dei lavoratori che scelgono volontariamente di utilizzarlo. Pur trattando la start-up i dati come titolare autonomo, e pur non avendo il datore di lavoro accesso ai risultati individuali, l’Autorità – data l’estrema delicatezza dei dati e la possibilità di ricavare report aggregati – ha chiesto misure by design che impediscano qualunque accesso, anche indiretto, alla sfera emotiva dei dipendenti. Il Garante ha richiamato lo Statuto dei lavoratori, l’art. 113 del Codice e, soprattutto, il divieto introdotto dall’AI Act sull’inferenza delle emozioni nel luogo di lavoro.

Perché è rilevante: È il primo caso italiano che applica concretamente il divieto dell’AI Act sull’emotion recognition in ambito lavorativo: un riferimento cruciale per imprese e PA che stanno valutando strumenti di benessere organizzativo o di produttività basati sull’IA.

Azione pratica: Disattivare le funzioni di IA che inferiscono emozioni o stress dei dipendenti, verificare ruoli, basi giuridiche e DPIA prima di adottare strumenti di IA in ambito HR e coinvolgere le rappresentanze dei lavoratori.

Per leggere l’articolo completo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10255494

• • •

19/05/2026  |  Fonte: agendadigitale.eu

Sistemi di IA ad alto rischio: le bozze di Linee guida UE sulla classificazione (art. 6 AI Act)

#AIAct  #altorischio  #allegatoIII  #classificazione  #consultazione

Il 19 maggio 2026 la Commissione europea ha pubblicato le bozze di Linee guida sulla classificazione dei sistemi di IA ad alto rischio ai sensi dell’art. 6 del Regolamento (UE) 2024/1689 (AI Act), aperte alla consultazione fino al 23 giugno 2026. Il documento chiarisce il ruolo degli Allegati I e III, le deroghe, il trattamento della profilazione e i principali casi d’uso ad alto rischio: sanità, lavoro (selezione del personale, valutazione automatica delle prestazioni, pianificazione dei turni), biometria e accesso a servizi essenziali. L’obiettivo è aiutare imprese e PA a stabilire se un sistema di IA in uso ricada o meno tra quelli ad alto rischio, da cui derivano obblighi stringenti di governance, documentazione e sorveglianza umana.

Perché è rilevante: Distinto dall’accordo sul Digital Omnibus, qui contano i criteri di classificazione: per le imprese che usano l’IA nella selezione e gestione del personale e per la PA che la usa sui servizi al cittadino, la corretta classificazione determina l’intero set di obblighi.

Azione pratica: Censire i sistemi di IA in uso, applicare la griglia degli Allegati I e III per classificarli e, per quelli ad alto rischio, attivare DPIA, valutazione di conformità, registri, supervisione umana e trasparenza verso gli interessati; valutare la partecipazione alla consultazione entro il 23 giugno.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/sistemi-ia-ad-alto-rischio-il-confine-incerto-che-imprese-e-pa-devono-governare/

• • •

5. Giurisprudenza

 

21/05/2026  |  Fonte: curia.europa.eu

CGUE: accesso ai dati sui titolari effettivi di trust e nozione di interesse legittimo (artt. 7 e 8 Carta)

#titolarieffettivi  #antiriciclaggio  #interesselegittimo  #Carta  #ConsigliodiStato

La Corte di giustizia dell’Unione europea, nelle cause riunite C-684/24 e C-685/24, si è pronunciata su un rinvio pregiudiziale del Consiglio di Stato italiano riguardante l’accesso alle informazioni sulla titolarità effettiva di trust e istituti analoghi, previsto dalla disciplina antiriciclaggio. La Corte ha esaminato la compatibilità con i diritti al rispetto della vita privata e alla protezione dei dati (artt. 7 e 8 della Carta dei diritti fondamentali) di una normativa che consente l’accesso a chi dimostri un interesse legittimo, lasciando agli Stati membri ampia discrezionalità nel definirlo. La pronuncia incide sul delicato equilibrio tra le esigenze di trasparenza dell’antiriciclaggio e la tutela dei dati personali dei soggetti coinvolti.

Perché è rilevante: È rilevante per PA, intermediari finanziari, studi professionali e società fiduciarie che gestiscono registri o accessi ai dati sui titolari effettivi: conferma che una disclosure massiva e indiscriminata richiede un bilanciamento rigoroso con la protezione dei dati.

Azione pratica: Verificare le procedure di accesso e disclosure dei dati sui titolari effettivi, condizionando l’accesso di terzi a una valutazione documentata dell’interesse legittimo e alla minimizzazione dei dati effettivamente esposti.

Per leggere l’articolo completo: https://curia.europa.eu/

• • •

27/05/2026  |  Fonte: federprivacy.org

Controlli a distanza: licenziamento illegittimo se le riprese video mancano di fondato sospetto (Cassazione ord. n. 16214/2026)

#Cassazione  #videosorveglianza  #controllidifensivi  #art4Statuto  #lavoro

Con l’ordinanza n. 16214/2026 la Corte di Cassazione torna sui controlli a distanza dei lavoratori e sull’utilizzabilità delle videoregistrazioni nei procedimenti disciplinari. I giudici affermano che il licenziamento è illegittimo quando le riprese sul posto di lavoro sono eseguite senza una reale necessità probatoria, cioè in assenza di un fondato motivo e di un fondato sospetto di condotte illecite. Le immagini raccolte come controllo preventivo e generalizzato, e non mirato a un sospetto concreto e circostanziato, non possono fondare un valido licenziamento. La pronuncia rafforza i limiti dei controlli difensivi e ribadisce il bilanciamento tra potere di controllo del datore e dignità e riservatezza del lavoratore.

Perché è rilevante: Per imprese e datori privati fissa un confine netto: le telecamere non possono servire a cercare illeciti a strascico. Per il Titolare pubblico vale lo stesso quando usa la videosorveglianza a fini disciplinari sui dipendenti.

Azione pratica: Documentare sempre il fondato sospetto prima di usare le immagini a fini disciplinari, limitare le riprese alle finalità dichiarate, rispettare l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro e formare i responsabili HR sull’inutilizzabilità delle riprese generalizzate.

Per leggere l’articolo completo: https://www.federprivacy.org/strumenti/accesso-ristretto/licenziamento-illegittimo-se-le-riprese-video-senza-fondato-motivo-e-in-assenza-di-un-fondato-sospetto

• • •

27/05/2026  |  Fonte: federprivacy.org

Accesso agli atti: il riesame interno non è un passaggio obbligato per attivare le successive tutele

#accessoagliatti  #trasparenza  #PA  #controinteressati  #tutela

Un commento di settore dà conto di un orientamento secondo cui, nell’ambito del diritto di accesso agli atti amministrativi, la richiesta di riesame interno all’ente non costituisce un passaggio obbligatorio per poter poi adire le successive forme di tutela. L’interessato può quindi attivare i rimedi previsti, anche giurisdizionali, senza dover prima esperire la fase di riesame endoprocedimentale. La questione incide sul rapporto tra trasparenza amministrativa (accesso civico e documentale) e protezione dei dati dei controinteressati, riaffermando che il bilanciamento tra diritto di accesso e riservatezza va condotto caso per caso.

Perché è rilevante: Tema squisitamente pubblico: chiarisce ai responsabili della trasparenza che non possono condizionare la tutela del richiedente al riesame interno, e ricorda al DPO pubblico il proprio ruolo nel bilanciamento con i dati dei controinteressati.

Azione pratica: Aggiornare le procedure di gestione delle istanze di accesso, coinvolgere il DPO nel bilanciamento con i dati dei controinteressati e non subordinare la tutela del richiedente all’esperimento del riesame interno.

Per leggere l’articolo completo: https://www.federprivacy.org/strumenti/accesso-ristretto/trasparenza-amministrativa-il-riesame-interno-sul-diritto-di-accesso-non-rappresenta-un-passaggio-necessario-per-accedere-alle-successive-forme-di-tutela

• • •

6. Cybersecurity, tecnologie emergenti e segnali

 

maggio 2026  |  Fonte: acn.gov.it

CSIRT Italia: ransomware contro le PMI e campagne sulla supply chain software

#CSIRT  #ransomware  #supplychain  #credenziali  #vulnerabilità

I bollettini settimanali del CSIRT Italia diffusi nel mese di maggio segnalano numerosi attacchi ransomware che colpiscono in particolare le piccole e medie imprese, insieme a estese campagne di compromissione della supply chain software nell’ecosistema dei pacchetti open source, finalizzate all’esfiltrazione di credenziali dagli ambienti di sviluppo. Sono state inoltre rilevate scansioni massive verso applicazioni web esposte su Internet e vulnerabilità critiche in prodotti molto diffusi. Nel loro insieme, i bollettini restituiscono il quadro di una minaccia continua e in evoluzione, che non risparmia le organizzazioni di minori dimensioni.

Perché è rilevante: Le PMI italiane risultano il bersaglio principale: i bollettini offrono materiale operativo immediato per allertare la direzione e i fornitori IT su minacce reali e attuali, e non solo teoriche.

Azione pratica: Diffondere internamente gli alert del CSIRT, verificare il patching dei prodotti segnalati e rafforzare i controlli su credenziali e pipeline di sviluppo, integrando i bollettini nel processo di gestione delle vulnerabilità.

Per leggere l’articolo completo: https://www.acn.gov.it/portale/csirt-italia

• • •

04/05/2026  |  Fonte: cybersecurity360.it

Attacco a Sistemi Informativi (gruppo IBM): la fragilità della supply chain ICT che serve la PA

#supplychain  #cyberspionaggio  #PA  #NIS2  #fornitori

Un attacco informatico riconducibile per modalità a un’operazione di cyberspionaggio ha colpito Sistemi Informativi, società del gruppo IBM Italia che gestisce parte dell’infrastruttura tecnologica di enti pubblici e grandi gruppi nei settori energia, telecomunicazioni e finanza. L’azienda ha dichiarato di aver identificato e contenuto l’incidente, escludendo ransomware ed estorsione e affermando che nessun cliente del settore pubblico sarebbe stato compromesso; l’ACN ha avviato verifiche e l’autorità giudiziaria ha aperto un’indagine. Il caso riaccende l’allarme sulla sicurezza della catena di fornitura ICT: colpire un fornitore-cardine può esporre dati di cittadini, credenziali e procedure di enti centrali.

Perché è rilevante: È un caso emblematico di rischio supply chain, centrale per la NIS2: per il Titolare pubblico evidenzia la dipendenza da fornitori unici, per le imprese mostra che l’anello debole è spesso il fornitore IT a monte.

Azione pratica: Mappare i fornitori ICT critici, inserire nei contratti clausole su sicurezza, notifica degli incidenti e diritto di audit in ottica NIS2, pretendere piani di continuità e di uscita e includere lo scenario della compromissione del fornitore nelle esercitazioni di risposta agli incidenti.

Per leggere l’articolo completo: https://www.cybersecurity360.it/nuove-minacce/attacco-a-sistemi-informativi-la-pa-italiana-e-fragile-la-cina-colpisce/

• • •

12/05/2026  |  Fonte: cybersecurity360.it

Anti-Ransomware Day 2026: crescono le estorsioni senza cifratura e la pressione sull’Italia

#ransomware  #PMI  #esfiltrazione  #databreach  #resilienza

In occasione dell’Anti-Ransomware Day, le analisi di settore segnalano l’evoluzione del fenomeno: crescono le estorsioni senza cifratura, basate sul furto e sulla minaccia di pubblicazione dei dati anziché sul blocco dei file, l’uso di canali di messaggistica e di broker di accessi iniziali e l’adozione di tecniche crittografiche più avanzate da parte dei gruppi criminali. In Italia restano attivi gruppi noti e i settori più colpiti risultano il manifatturiero e le costruzioni; la pressione sul Paese nei primi mesi dell’anno è già elevata rispetto al totale dell’anno precedente. Gli esperti raccomandano un approccio di resilienza operativa: non solo prevenzione, ma capacità di rilevare, isolare e ripristinare rapidamente.

Perché è rilevante: Per PMI e PA chiarisce che oggi il rischio principale è l’esfiltrazione e la pubblicazione dei dati, quindi un data breach a tutti gli effetti, e non solo il blocco dei sistemi: cambia la logica di difesa e di notifica al Garante.

Azione pratica: Investire in backup immutabili e testati, segmentazione di rete, strumenti di rilevamento e monitoraggio dei movimenti laterali e dell’esfiltrazione, e aggiornare il piano di gestione del data breach considerando lo scenario di furto dati senza cifratura e i relativi obblighi di notifica entro 72 ore.

Per leggere l’articolo completo: https://www.cybersecurity360.it/news/anti-ransomware-day-2026-un-mercato-criminale-attivo-misurabile-e-in-evoluzione/

• • •

28/05/2026  |  Fonte: enisa.europa.eu

ENISA NIS360 2026: maturità e criticità dei settori NIS2 (sanità e PA ancora in zona di rischio)

#NIS360  #NIS2  #maturità  #sanità  #PA

ENISA ha pubblicato la terza edizione del report NIS360, che misura il livello di maturità in cybersecurity e il grado di criticità dei settori ad alta criticità individuati dalla direttiva NIS2. L’edizione 2026 mostra un miglioramento complessivo, ma diversi settori restano nella cosiddetta zona di rischio – una maturità inferiore alla criticità richiesta – tra cui sanità, pubblica amministrazione, gestori di servizi ICT, ferrovie e utility idriche; per la prima volta lo spazio entra tra i settori a massima criticità. Il report fornisce così una fotografia comparativa utile a capire dove si concentrano le maggiori vulnerabilità.

Perché è rilevante: È un documento direttamente rilevante per i DPO e i CISO di sanità e PA, esplicitamente tra i settori meno maturi e più esposti: rappresenta un benchmark utile per giustificare investimenti e definire le priorità di sicurezza.

Azione pratica: Usare il NIS360 come riferimento per la gap analysis interna e, per sanità e PA, prioritizzare le misure di base previste dalla NIS2 documentando il piano di rafforzamento.

Per leggere l’articolo completo: https://www.enisa.europa.eu/news/nis360-the-bigger-picture-on-maturity-and-criticality-of-nis-critical-sectors

• • •

31/05/2026 (scadenza)  |  Fonte: acn.gov.it

NIS2: aggiornamento annuale dei dati e prima comunicazione dei fornitori rilevanti

#NIS2  #fornitoririlevanti  #supplychain  #piattaformaACN  #governance

Entro il 31 maggio 2026 i soggetti già iscritti dovevano completare sulla piattaforma ACN l’aggiornamento annuale delle proprie informazioni – indirizzi IP pubblici, domini, referenti e recapiti – e, per la prima volta, elencare i fornitori rilevanti secondo i criteri stabiliti dalla Determinazione ACN n. 127437/2026, indicandone gli estremi. Si tratta di un obbligo strutturale e ricorrente, da rinnovare ogni anno, che impone alle organizzazioni di tenere costantemente aggiornata la fotografia della propria infrastruttura e della propria catena di fornitura ICT.

Perché è rilevante: È un adempimento cruciale per ogni referente NIS e DPO: la mancata mappatura della supply chain ICT espone a un inadempimento e chiama in causa la responsabilità diretta degli organi apicali, trattandosi di un obbligo non delegabile del vertice.

Azione pratica: Verificare l’avvenuto aggiornamento sulla piattaforma ACN e la mappatura dei fornitori ICT critici, istituendo un processo annuale di riesame della catena di fornitura.

Per leggere l’articolo completo: https://www.acn.gov.it/portale/nis

• • •

01/05 – 30/06/2026  |  Fonte: acn.gov.it

NIS2: aperta la piattaforma ACN per la categorizzazione di attività e servizi (scadenza 30 giugno)

#NIS2  #ACN  #categorizzazione  #soggettiessenziali  #perimetro

I soggetti essenziali e importanti che rientrano nel perimetro NIS2 devono elencare e categorizzare le proprie attività e servizi sulla piattaforma dell’Agenzia per la cybersicurezza nazionale (ACN) nella finestra che va dal 1 maggio al 30 giugno 2026, organizzandoli in macro-aree e attribuendo a ciascuna una categoria di rilevanza, secondo il modello definito dalla Determinazione ACN n. 155238/2026. La categorizzazione costituirà la base su cui verranno calibrate le future misure di sicurezza richieste dalla normativa, e la mancata compilazione configura un inadempimento agli obblighi NIS2. Si tratta quindi di un passaggio non meramente formale, ma propedeutico a tutto l’impianto di conformità.

Perché è rilevante: È una scadenza imminente e operativa per aziende e PA nel perimetro NIS2, strettamente intrecciata al ruolo del DPO per quanto riguarda la sicurezza dei dati e la gestione degli incidenti.

Azione pratica: Verificare l’iscrizione nell’elenco NIS e completare la categorizzazione delle attività e dei servizi sulla piattaforma ACN entro il 30 giugno 2026, coordinando il referente NIS, l’IT e il DPO.

Per leggere l’articolo completo: https://www.acn.gov.it/portale/nis

• • •

7. Approfondimenti metodologici per il DPO

 

maggio 2026  |  Fonte: aepd.es

Lezione dal caso Amadeus (Spagna): profilazione e legittimo interesse vanno dimostrati

#profilazione  #basegiuridica  #legittimointeresse  #LIA  #trasparenza

L’autorità spagnola AEPD ha imposto ad Amadeus una sanzione molto elevata (14,4 milioni di euro) per aver utilizzato i dati di milioni di viaggiatori in un progetto interno di profilazione privo di una base giuridica valida e senza che gli interessati fossero informati. La lezione metodologica è di ampia portata: riutilizzare per finalità di profilazione commerciale dati raccolti per uno scopo diverso richiede una base giuridica autonoma e un’informativa specifica, e il legittimo interesse non può essere semplicemente presunto ma va dimostrato attraverso un test di bilanciamento documentato.

Perché è rilevante: È un monito sull’uso secondario dei dati e sui progetti di analytics o IA costruiti su dati già raccolti, anche quando si tratta di un semplice progetto pilota o interno.

Azione pratica: Per ogni progetto di analytics o IA basato su dati esistenti, verificare la compatibilità delle finalità, aggiornare l’informativa e formalizzare il test di legittimo interesse (LIA) prima dell’avvio.

Per leggere l’articolo completo: https://www.aepd.es/

• • •

05 – 08/05/2026  |  Fonte: garanteprivacy.it

Spring Conference dei Garanti europei: priorità su riforma GDPR, IA e tutela dei minori

#SpringConference  #riformaGDPR  #IA  #minori  #cooperazione

La Conferenza di primavera 2026 delle Autorità europee di protezione dei dati ha avuto come temi centrali la riforma del GDPR, l’intelligenza artificiale e la tutela dei minori. Per il Garante italiano è stata sottolineata la necessità di proteggere i dati dei minori come parte essenziale della loro dignità e della loro crescita nell’era dell’IA; il Garante italiano è stato inoltre eletto nel comitato direttivo della Conferenza, segno di un ruolo attivo nella definizione delle linee comuni europee. L’incontro offre quindi un’anticipazione delle priorità su cui si concentrerà l’attenzione delle autorità nei prossimi anni.

Perché è rilevante: La Conferenza segnala le priorità regolatorie dei prossimi anni – riforma e semplificazione del GDPR, intelligenza artificiale e protezione dei minori – sulle quali è atteso un aumento dei controlli, anche in ambito scolastico.

Azione pratica: Per chi tratta dati di minori (scuole, piattaforme, sanità pediatrica), anticipare l’irrigidimento del quadro rivedendo i consensi dei genitori, i meccanismi di verifica dell’età e le DPIA dedicate.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10252530

• • •

08/05/2026  |  Fonte: dataprotection.ie

Lezione dal caso Permanent TSB (Irlanda): il social engineering al contact center è un rischio di sicurezza

#accounttakeover  #socialengineering  #contactcenter  #art32  #notifica

La DPC irlandese ha sanzionato (multa di 277.500 euro)una banca dopo che alcuni attori malevoli, già in possesso di alcune informazioni dei clienti, hanno contattato il call center fingendosi i legittimi titolari dei conti, riuscendo così ad accedervi e a modificarne i dettagli. All’istituto è stata contestata anche una notifica della violazione effettuata oltre il termine delle 72 ore. La lezione metodologica è che i protocolli di verifica dell’identità adottati dal personale di front-office non sono un mero dettaglio organizzativo, ma vere e proprie misure di sicurezza richieste dall’art. 32 GDPR.

Perché è rilevante: È un caso rilevante per le banche e per qualunque organizzazione dotata di call center o help desk: il social engineering telefonico è un vettore di violazione concreto e frequente, spesso sottovalutato rispetto alle minacce puramente informatiche.

Azione pratica: Rafforzare le procedure di autenticazione del cliente nei canali telefonici, formare il personale sul riconoscimento dei tentativi di impersonificazione e testare l’intera catena di rilevazione e notifica entro le 72 ore.

Per leggere l’articolo completo: https://www.dataprotection.ie/

• • •

13/05/2026  |  Fonte: cybersecurity360.it

Data ethics e GDPR: la fiducia come leva oltre la conformità formale

#dataethics  #GDPR  #fiducia  #AI  #accountability

L’articolo affronta il rapporto tra etica dei dati e conformità al GDPR, sostenendo che la sola compliance formale non basta più: nell’era dell’IA e dei big data la data ethics diventa leva di fiducia e di valore. Il contributo invita titolari e DPO a integrare considerazioni etiche, come la trasparenza sostanziale, l’equità degli algoritmi, la non discriminazione e la legittimità delle finalità, nella governance dei dati, andando oltre il mero rispetto della norma. La fiducia degli interessati e dei cittadini si costruisce dimostrando un uso responsabile e leale dei dati, non solo evitando sanzioni: un approccio che colloca il GDPR in una cornice più ampia di responsabilità d’impresa.

Perché è rilevante: Per le imprese che usano IA e profilazione e per la PA offre al DPO un quadro per superare la logica della checklist e costruire fiducia, rafforzandone il ruolo di consulente strategico oltre che di controllore.

Azione pratica: Inserire un principio di etica by design nelle DPIA dei trattamenti ad alto impatto (IA, profilazione, scoring), definire principi etici interni sull’uso dei dati e renderli verificabili, e comunicare in modo trasparente agli interessati le logiche di trattamento.

Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/data-ethics-e-gdpr-il-valore-della-fiducia-nellera-digitale/

• • •

19/05/2026  |  Fonte: federprivacy.org

Privacy in sanità: il dirigente può rispondere di tasca propria per danno erariale (Corte dei Conti Bolzano n. 7/2026)

#responsabilitàdirigente  #sanità  #dossiersanitario  #accountability  #dannoerariale

Il caso nasce da una sanzione del Garante a un’azienda sanitaria per accessi non autorizzati ai dossier sanitari elettronici: professionisti formalmente abilitati potevano consultare i dati di pazienti estranei al proprio percorso di cura, grazie a un sistema basato su autodichiarazioni e privo di controlli automatici sugli accessi anomali. Secondo quanto riportato, la Corte dei Conti di Bolzano, con sentenza n. 7/2026, ha affermato che l’ente, dopo aver pagato la sanzione, può rivalersi sul dirigente responsabile per danno erariale: il dirigente che ha omesso di predisporre controlli adeguati può essere chiamato a rispondere personalmente. Un segnale destinato a pesare nelle pubbliche amministrazioni.

Perché è rilevante: Per il Titolare pubblico ribalta la prospettiva: l’inerzia organizzativa sulla protezione dei dati può tradursi in responsabilità erariale personale del dirigente, rafforzando la leva dell’accountability e il ruolo di allerta del DPO.

Azione pratica: Implementare controlli automatici sugli accessi ai dossier e ai sistemi sanitari (alert sugli accessi anomali e revisione periodica dei log), superare i sistemi basati su sole autodichiarazioni e documentare le segnalazioni del DPO alla dirigenza.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/sanzioni-per-violazioni-della-privacy-nella-sanita-quando-e-il-dirigente-a-dover-pagare-di-tasca-propria

• • •

26/05/2026  |  Fonte: federprivacy.org

Quando procedure e prassi reali divergono: il rischio della privacy solo sulla carta

#accountability  #governance  #procedure  #audit  #art5GDPR

L’approfondimento parte dalla logica combinata degli articoli 5 e 24 del GDPR per ricordare che la protezione dei dati è una disciplina di governo dei processi informativi. Il rischio maggiore non è l’assenza di procedure, ma il loro disallineamento dalle prassi reali: quando i documenti formali descrivono un modo di operare diverso da quello effettivamente seguito dal personale, l’organizzazione genera doppi binari che producono violazioni, vulnerabilità e una conformità solo apparente. L’accountability richiede invece che procedure scritte e comportamenti effettivi coincidano, con verifiche periodiche, formazione e aggiornamento continuo; un disallineamento non sanato è esso stesso fonte di responsabilità per il titolare.

Perché è rilevante: Metodologico e trasversale a pubblico e privato: mette in guardia dalla privacy solo sulla carta e ricorda al Titolare che la documentazione non basta, occorre dimostrare che le misure siano applicate e conosciute.

Azione pratica: Programmare audit interni che confrontino procedure scritte e prassi effettive, raccogliere evidenze dell’applicazione concreta delle misure, allineare o semplificare le procedure obsolete e tracciare la formazione e la consapevolezza del personale.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/quando-procedure-e-linee-guida-sono-disallineate-dalle-prassi-reali-aumentano-i-rischi-organizzativi-e-privacy

• • •

26/05/2026  |  Fonte: cnil.fr

Lezione dal caso IQVIA (Francia, 5 milioni): la soglia dell’anonimato è alta

#datisanitari  #anonimizzazione  #pseudonimizzazione  #datawarehouse  #informativa

La CNIL francese ha sanzionato IQVIA Operations France con 5 milioni di euro per la gestione di data warehouse sanitari alimentati da farmacie e medici. La società sosteneva che i dati trattati fossero anonimi, ma la CNIL ha stabilito che si trattava in realtà di dati soltanto pseudonimizzati, poiché la re-identificazione restava possibile con mezzi ragionevoli; è inoltre emerso che gli interessati non erano stati informati della trasmissione dei loro dati. La lezione metodologica è netta: se la re-identificazione è ragionevolmente possibile si applica il GDPR in pieno, e la responsabilità del titolare permane anche quando l’informativa è materialmente delegata a soggetti terzi.

Perché è rilevante: È un caso cruciale per il settore sanitario e per chiunque tratti dati di salute ritenuti anonimi: la soglia per qualificare un dato come realmente anonimo è molto alta e va dimostrata, non presunta.

Azione pratica: Riesaminare le DPIA dei trattamenti basati su dati ritenuti anonimi documentando il test di re-identificazione, e verificare le catene di responsabilità affinché l’informativa raggiunga effettivamente l’interessato.

Per leggere l’articolo completo: https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil

• • •