GDPR: rassegna stampa N° 5 / 2025
La lunga ombra dell’algoritmo e la luce della trasparenza
Cari custodi della privacy,
in un mondo sempre più connesso, la privacy non è solo una questione di conformità normativa, ma il cuore pulsante di una società che vuole proteggere la libertà e la dignità di ogni individuo. Ogni passo che compiamo insieme rappresenta un tassello per costruire un ecosistema digitale più sicuro, trasparente e rispettoso dei diritti fondamentali.
La newsletter di maggio ha il sapore di un crocevia. Siamo nel pieno della primavera, ma il cielo sopra l’Europa della privacy è tutto fuorché sereno. L’aria è attraversata da venti che parlano di rivoluzioni tecnologiche, di IA che entra nei luoghi di lavoro senza bussare e di dati che, sempre più spesso, sfuggono al controllo dei loro stessi titolari. Da TikTok a Meta, da Replika alle agenzie immobiliari sanzionate per telemarketing aggressivo, il mese che ci lasciamo alle spalle è stato segnato da una sequenza di interventi, riflessioni, sentenze e sanzioni che ci ricordano quanto fragile sia l’equilibrio tra innovazione e diritti.
La privacy è diventata terreno di scontro tra giganti digitali e autorità regolatorie, ma anche un banco di prova quotidiano per amministrazioni pubbliche, imprese e professionisti. Abbiamo visto il Garante italiano dire no alla geolocalizzazione dei dipendenti in smart working, ma anche approvare con soddisfazione le misure implementate dall’Istat per la pseudonimizzazione dei dati. Intanto la cybersicurezza si evolve in strategia nazionale con il nuovo DPCM sugli appalti ICT strategici e la Relazione ACN che fotografa un’Italia sotto assedio da ransomware.
È impossibile non notare come l’intelligenza artificiale abbia rubato la scena in ogni ambito. Dalla sanità alla selezione del personale, dall’ambiente accademico alla PA, il dibattito sull’uso responsabile dell’IA è diventato pervasivo. Ma siamo davvero pronti a governare questa trasformazione? L’AI Act offre una bussola, certo, ma la direzione da seguire resta incerta. Alcuni invocano semplificazioni normative, altri ne temono l’effetto boomerang. Tra questi due poli, si muove il nostro impegno: garantire che l’algoritmo non prenda il posto del giudizio umano, che la profilazione non soppianti la relazione, che il consenso resti un atto autentico e non una trappola camuffata da scelta, come nel caso dei modelli “pay or ok” su cui ora si interroga il Garante.
Maggio è stato anche il mese del settimo compleanno del GDPR. Un’occasione per fare bilanci, ma anche per rinnovare le domande. Sei miliardi di euro di sanzioni in sette anni sono serviti a rafforzare davvero la tutela dei dati? Forse. Ma è evidente che la mera minaccia economica non basta. Serve un cambiamento culturale più profondo, che non si limiti al rispetto formale delle regole, ma spinga verso una compliance autentica e integrata, capace di generare fiducia, non solo conformità.
E a proposito di fiducia, torna potente la voce dei cittadini e degli attivisti. Mentre Meta annuncia l’uso dei contenuti social per addestrare l’IA, l’associazione NOYB alza la voce. Non è un dettaglio. È un segnale. La società civile è viva, attenta, capace di incidere. E noi dobbiamo ascoltarla, sostenerla, darle strumenti.
È stato anche un mese di sentenze importanti, come quella del Tribunale UE che equipara SMS e messaggi WhatsApp a documenti accessibili per finalità di trasparenza. Un passo decisivo verso un concetto di documento amministrativo più aderente alla realtà digitale. Così come è stato fondamentale il richiamo all’obbligo, ancora spesso ignorato, di nominare il Responsabile della Protezione dei Dati, senza il quale non può esistere una vera accountability.
Infine, non possiamo non menzionare i temi emergenti che già bussano con forza alle nostre agende: i neurodiritti, la digitalizzazione delle PA, l’uso delle VPN e la sicurezza delle infrastrutture critiche. Tutti ambiti in cui la privacy non è un freno ma un acceleratore di sostenibilità, innovazione e giustizia.
In tutto questo, il nostro ruolo resta lo stesso: presidiare il confine tra lecito e illecito, tra necessario e sproporzionato, tra innovazione e sorveglianza. Con rigore, certo, ma anche con passione. Perché la privacy, prima di essere un obbligo, è una promessa. Quella di un domani in cui la tecnologia non ci separa dalla nostra umanità, ma la rafforza.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
1° maggio 2025 | Fonte: www.cybersecurity360.it
OIV: profili evolutivi e aspetti privacy di un partner strategico per la PA
L’OIV (Organismo indipendente di valutazione della performance) svolge un ruolo centrale tra le funzioni di governance e controllo. Ecco le sue competenze in ambito privacy, secondo il disegno di legge recentemente approvato
Un peculiare ruolo centrale tra le funzioni di governance e controllo, in ambito pubblico, compete all’Organismo indipendente di valutazione della performance (OIV).
Le sue competenze sono delineate in particolare dall’art. 14 del decreto legislativo 150/2009 afferente la materia dell’ottimizzazione della produttività del lavoro pubblico e le tematiche dell’efficienza e della trasparenza delle PA.
Pasquale Mancino
Internal auditor e Revisore di Organizzazione sindacale
2 maggio 2025 | Fonte: www.federprivacy.org
Il futuro dell’intelligenza artificiale: dilemmi etici e l’imperativo della privacy
L’intelligenza artificiale sta attraversando una fase di sviluppo senza precedenti, alimentando un dibattito sempre più intenso su questioni etiche fondamentali. Tra queste, emerge con particolare rilevanza l’interrogativo se l’IA potrà mai raggiungere le stesse caratteristiche dell’intelligenza umana e, in questo contesto di rapida evoluzione tecnologica, se diritti fondamentali come la privacy mantengano ancora la loro centralità.
Nel panorama attuale, nonostante i progressi straordinari a cui assistiamo quotidianamente, permangono differenze sostanziali tra l’intelligenza artificiale e quella umana. Queste differenze non sono meramente tecniche ma toccano aspetti fondamentali che definiscono la natura stessa dell’intelligenza e la condizione umana nella sua essenza più profonda.
2 maggio 2025 | Fonte: www.federprivacy.org
TikTok sanzionata per 530 milioni di euro per trasferimento illecito di dati personali in Cina
Come era stato preannunciato da Bloomberg nelle settimane scorse, in data 2 maggio la Commissione per la protezione dei dati irlandese ha annunciato una sanzione di 530 milioni di euro per TikTok Technology Limited (“TikTok”) con un ordine che impone alla piattaforma cinese di adeguare il suo trattamento di dati personali entro 6 mesi.
La decisione, che è stata presa dai commissari per la protezione dei dati irlandese, Des Hogan e Dale Sunderland, e che è già stata notificata alla società cinese, rileva che essa ha violato il GDPR in merito ai trasferimenti di dati degli utenti dello Spazio Economico Europeo (SEE) alla Cina e ai suoi requisiti di trasparenza. Il provvedimento adottato dal garante della privacy irlandese include anche un ordine che sospende i trasferimenti di TikTok in Cina se il trattamento non verrà reso conforme entro questo lasso di tempo.
5 maggio 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – “Pay or ok”, il Garante avvia una consultazione pubblica
Il Garante per la protezione dei dati personali ha avviato una consultazione pubblica volta a valutare la liceità del consenso per trattamenti di profilazione raccolto da diversi titolari, ed innanzitutto dagli editori di giornali, attraverso l’adozione del cosiddetto modello “pay or ok” (anche denominato “pay or consent” o “consent paywall” etc.). Tale modello impone agli utenti, per accedere ai contenuti, ai servizi o alle funzionalità offerte online, di scegliere se sottoscrivere un abbonamento a pagamento oppure acconsentire al trattamento dei propri dati personali, attraverso cookie e strumenti di tracciamento, ai fini di profilazione commerciale. In mancanza di una delle due opzioni, l’accesso ai siti è bloccato.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10127405
5 maggio 2025 | Fonte: www.federprivacy.org
Utilizzo dell’intelligenza artificiale in ambito sanitario: la posizione del Garante italiano
Prima ancora che venisse adottato il Regolamento sull’IA (Artificial Intelligence Act) e fosse all’esame del Parlamento un disegno di legge sull’IA, nel 2023 il Garante per la protezione dei dati italiano ha adottato un Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, all’interno del quale, anche alla luce della giurisprudenza del Consiglio di Stato, tra i principi cardine che devono governare l’utilizzo di algoritmi e di strumenti di IA nell’esecuzione di compiti di rilevante interesse pubblico in ambito sanitario, è stato evidenziato quello di non esclusività della decisione algoritmica.
Secondo tale principio deve comunque esistere nel settore sanitario un intervento umano qualificato nel processo decisionale, volto a controllare, validare ovvero smentire la decisione automatica sulla base di conoscenze tecnico scientifiche (c.d. “human in the loop”).
6 maggio 2025 | Fonte: www.cybersecurity360.it
ProtectEU: l’approccio europeo alla sicurezza interna
La Commissione europea ha reso noto la strategia di sicurezza interna allo scopo di creare un’Unione sicura in ogni ambito.
Lo scorso primo aprile è stata pubblicata la Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni su ProtectEU: strategia europea di sicurezza interna.
L’obiettivo è creare un “approccio europeo unitario alla difesa della sicurezza interna”. Ecco in cosa consiste.
Marco Santarelli
Investigative Analysis Government Entities, Advisory Information Security and Terrorism, Semiotics and Intelligence Professor
6 maggio 2025 | Fonte: www.cybersecurity360.it
Gestione fornitori, la fase di qualifica dinamica per la conformità al Decreto NIS 2 e al GDPR
La gestione dinamica dei fornitori rappresenta un obbligo essenziale per garantire la sicurezza delle catene di approvvigionamento critiche e la protezione dei dati personali. Ecco modalità, criteri e strumenti necessari per un controllo continuo, mantenendo centralità di audit, valutazioni periodiche e procedure strutturate
Il Decreto NIS 2 e il Parere Edpb 22/2024 evidenziano la necessità di adottare una gestione dinamica dei fornitori, capace di monitorare costantemente l’adeguatezza delle misure di sicurezza e garantire la conformità normativa.
Ecco come individuare i criteri per la qualifica dinamica.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
7 maggio 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Telemarketing: dal Garante privacy sanzioni per 3mln ad Acea Energia e 850mila euro ad agenzie e società coinvolte
Il Garante privacy ha comminato sanzioni per milioni di euro e imposto stringenti misure correttive nei confronti di Acea Energia Spa e di un network di agenzie e società coinvolte in un massivo sistema di procacciamento di contratti per l’attivazione di forniture di luce e gas basato su pratiche di telemarketing aggressivo e trattamento illecito di dati personali.
Dagli approfondimenti effettuati dal Nucleo speciale Tutela privacy e Frodi tecnologiche della Guardia di Finanza sono emersi intrecci e connessioni fra diverse imprese commerciali e persone fisiche che sono apparsi univocamente riconducibili alle attività di procacciamento di contratti per l’attivazione di forniture di servizi energetici. Tali circostanze sono state confermate anche dalle attività ispettive condotte dal Garante, in collaborazione con il citato Nucleo speciale della Guardia di Finanza, in contemporanea sulle diverse sedi delle società coinvolte.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10128818
7 maggio 2025 | Fonte: www.cybersecurity360.it
C’è il nuovo DPCM cyber: ecco le regole che rivoluzionano gli appalti IT strategici della PA
Il DPCM del 30 aprile 2025, pubblicato in Gazzetta Ufficiale il 5 maggio 2025 e in vigore dal prossimo 21 maggio 2025, si focalizza su nuove disposizioni per gli appalti relativi a beni e servizi informatici utilizzati per la tutela degli interessi nazionali strategici e della sicurezza del Paese.
Il Dpcm su cybersicurezza e procurement Ict del 30 aprile 2025, pubblicato in Gazzetta Ufficiale il 5 maggio 2025, regola l’acquisizione di beni e servizi informatici da parte delle pubbliche amministrazioni e degli enti pubblici, con particolare focus su quelli utilizzati in ambiti sensibili per la sicurezza nazionale.
L’obiettivo è garantire che tali acquisizioni rispettino elevati standard di sicurezza informatica, riducendo i rischi legati a vulnerabilità e minacce cibernetiche.
Rosario Palumbo
Giurista d’impresa, Data protection specialist
8 maggio 2025 | Fonte: www.federprivacy.org
Garante privacy, via libera alle misure adottate dall’Istat per tutelare i dati
Il Garante privacy ha dato l’ok alle misure tecniche e organizzative adottate dell’Istituto nazionale di statistica (Istat) per garantire la tutela dei dati personali trattati e l’effettiva applicazione dei principi di protezione dei dati.
Tali soluzioni, che hanno determinato un importante cambiamento nella gestione e utilizzazione delle banche dati da parte dell’Istituto, nascono da due provvedimenti prescrittivi del Garante del 2020 e del 2023.
Tra le misure allora ingiunte, la necessità di dotarsi di un sistema di pseudonimizzazione dei dati robusto, avanzato e adeguato a tutelare l’enorme mole di dati trattati. L’Istat è infatti il principale depositario del patrimonio informativo del Paese e può acquisire dati personali da tutte le banche dati pubbliche nonché da soggetti privati oltre che dai social media.
8 maggio 2025 | Fonte: www.federprivacy.org
Garante Privacy, no alla geolocalizzazione dei dipendenti in smart working
Il datore di lavoro non può geolocalizzare i dipendenti in smart working. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro ad un’Azienda che rilevava la posizione geografica di circa cento dipendenti durante l’attività lavorativa svolta in modalità agile.
Numerose le violazioni riscontrate dal Garante, intervenuto a seguito di un reclamo di una dipendente e di una specifica segnalazione da parte dell’Ispettorato della Funzione Pubblica.
Dall’istruttoria è infatti emerso che l’Azienda effettuava un monitoraggio dei propri dipendenti per verificare l’esatta corrispondenza tra la posizione geografica in cui si trovavano e l’indirizzo dichiarato nell’accordo individuale di smart working, anche in base a specifiche procedure di controllo mirato. In particolare, in base a tali procedure, il personale, scelto a campione, veniva contattato telefonicamente dall’Ufficio controlli con la richiesta di attivare la geolocalizzazione del pc o dello smartphone, effettuando una timbratura con un’apposita applicazione, e di dichiarare subito dopo, tramite un’e-mail, il luogo in cui in quel preciso momento si trovava fisicamente.
8 maggio 2025 | Fonte: www.federprivacy.org
L’intelligenza artificiale nel contesto lavorativo: 7 mosse per applicare (davvero) l’AI Act
L’intelligenza artificiale è ormai entrata in azienda. Ma non sempre dalla porta principale. Negli ambienti di lavoro, l’uso dell’AI per selezionare, valutare, sorvegliare e persino licenziare persone è ormai una realtà. Ma dietro l’efficienza apparente si nasconde un rischio profondo: dare in “outsourcing algoritmico” scelte che toccano diritti fondamentali.
Il Regolamento UE 2024/1689 (AI Act) lo dice con chiarezza: tutti i sistemi di AI utilizzati per influenzare l’avvio, la gestione o la cessazione di rapporti lavorativi sono “ad alto rischio”. Obblighi documentali, trasparenza, sorveglianza umana, robustezza tecnica diventano imperativi. Ma la vera posta in gioco è più alta: il governo etico della tecnologia nei luoghi dove si costruisce il futuro delle persone.
8 maggio 2025 | Fonte: www.federprivacy.org
L’audit sul sistema di gestione privacy in mancanza di procedure
È oramai ampiamente noto che per svolgere attività di audit è necessario disporre anzitutto di un criterio. Le evidenze raccolte tramite interviste, analisi di documenti, osservazioni e altre fonti, come ad esempio banche dati e siti web, devono essere confrontate con i criteri ovvero documenti che dettano le “regole”. Le risultanze, che emergono dalla valutazione delle risultanze a fronte dei criteri, possono portare a conformità, non conformità, opportunità di miglioramento, individuazione di nuovi rischi o, ancora, buone prassi.
I criteri sono rappresentati da normative come, ad esempio, un provvedimento del Garante, le procedure interne come quella di valutazione dei fornitori, i capitolati dei del titolare del trattamento e così via.
Un problema si presenta quando i criteri non sono nettamente definiti o addirittura mancanti ed è necessario comunque valutare l’efficacia di un processo, come previsto dal “mai abbastanza ricordato” articolo 32 1d) del GDPR, laddove espressamente richiede la valutazione dell’efficacia delle misure tecniche ed organizzative.
In questo articolo si cerca di comprendere, attraverso un esempio, la tecnica da utilizzare.
8 maggio 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER 8 maggio 2025
- Telemarketing: Garante sanziona Wind Tre per oltre 347mila euro
- Dal Garante privacy sanzione di 70mila euro ad una società di riabilitazione creditizia
- Cimitero dei feti: il Garante privacy sanziona il Comune di Brescia
- Garante, ok alla telemedicina con più garanzie per i dati personali
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10106920
8 maggio 2025 | Fonte: www.cybersecurity360.it
Ransomware, una legge per vietare il pagamento dei riscatti: utile, ma non basta
Campagne informative sui ransomware, formazione accreditata, score di rischio misurato e certificazioni minime potrebbero diventare strumenti di compliance che rafforzano l’intera architettura di difesa preventiva, riducendo nel tempo la necessità di ricorrere al pagamento dei riscatti o a misure emergenziali. Ecco cosa stabilisce la proposta di legge sul ransomware e le criticità.
La recente proposta di legge avanzata da Matteo Mauri introduce un divieto di pagamento dei riscatti per i soggetti del Perimetro di sicurezza nazionale cibernetica.
Un passo avanti nella strategia di contrasto al ransomware, ma occorre garantire un equilibrio tra sicurezza nazionale e continuità operativa delle imprese.
Ecco l’analisi delle criticità e alcune proposte concrete.
Marco Tullio Giordano
Avvocato e partner di 42 Law Firm
9 maggio 2025 | Fonte: www.cybersecurity360.it
Geolocalizzazione e lavoro agile, l’accordo sindacale non basta: il Garante privacy traccia i limiti
Il caso di una dipendente di una società in house della Regione Calabria fa emergere criticità nel controllo dei lavoratori in modalità agile: in gioco privacy, trasparenza e limiti dell’art. 4 dello Statuto dei lavoratori. Il Garante ha contestato l’assenza di una base giuridica e l’illecita interferenza nella sfera privata dei lavoratori
Un recente provvedimento sanzionatorio del Garante per la protezione dei dati personali nei confronti di un’azienda che geolocalizzava i propri dipendenti in smart working segna un importante punto di svolta nel dibattito sulla sorveglianza digitale dei lavoratori.
La peculiarità del caso risiede nel fatto che l’azienda riteneva di essere in regola avendo ottenuto l’approvazione dai sindacati per l’utilizzo della piattaforma di tracciamento. Questa convinzione si è rivelata, però, un errore di valutazione particolarmente oneroso.
Rosario Palumbo
Giurista d’impresa, Data protection specialist
12 maggio 2025 | Fonte: www.federprivacy.org
Le sfide per i Data Protection Officer al tempo dell’intelligenza artificiale
Non so se ci hai fatto caso, ma da quando è uscito l’Artificial Intelligence Act (AI Act) – anzi, già da prima -, sul web, sui social, sui programmi di formazione… sono spuntati dal nulla degli esperti di intelligenza artificiale. Dei DPO, consulenti, sedicenti fenomeni che – oh, tranquillo! – sanno tutto loro.
“Ti risolvo la privacy, il GDPR e pure l’intelligenza artificiale. Fidati, sono un esperto. Sono un fenomeno dell’intelligenza artificiale.”
Bene. Se hai letto gli altri articoli che ho scritto sull’argomento sul Blog di PrivacyLab – come intelligenze artificiali e ignoranze naturali o consigli per imprenditori e responsabili marketing – e se mi segui, forse saprai che io, prima di occuparmi di privacy e GDPR, lavoravo proprio nel settore dell’intelligenza artificiale.
Poi è passato del tempo e quando sono usciti i nuovi modelli, ho dovuto aggiornarmi. E ancora alcune cose non mi sono chiarissime. Allora mi chiedo come sia possibile che gente che fino all’altro giorno si occupava, per esempio, solo di privacy, all’improvviso diventi esperta.
12 maggio 2025 | Fonte: www.agendadigitale.ue
Controlli a distanza dei lavoratori: come farli legalmente
Una guida tecnica per la compliance aziendale alla geolocalizzazione dei dipendenti e controllo a distanza, nel rispetto delle regole privacy e dello statuto dei lavoratori, dopo l’ennesima sanzione del Garante privacy.
I controlli a distanza dei dipendenti sono ancora un problema, a quanto pare: molte aziende li fanno male, senza rispettare le leggi come il Gdpr e lo Statuto dei Lavoratori. E ne subiscono le conseguenze: sanzioni, certo, ma anche danni di immagine e credibilità.
Paola Zanellati
Responsabile Protezione dei Dati – DPO Consulente Privacy
12 maggio 2025 | Fonte: www.garanteprivacy.it
Privacy e innovazione «Un matrimonio che s’ha da fare». «Occorrono bilanciamento, sostenibilità umana e democratica by design».
Le rappresentano come antagoniste, rivali, nemiche giurate. L’una ostacolo dell’altra. La privacy autentica zavorra della nascente società degli algoritmi, dell’industria e dei mercati dell’intelligenza artificiale e quest’ultima, minaccia inusitata alla prima, nuova rivoluzionaria forma di aggressione e travalicamento di ogni linea di confine tra pubblico e privato. Uno scenario nel quale si continua a suggerire alle persone che si tratta di scegliere tra privacy e innovazione, tra diritti fondamentali e futuro, tra protezione dei dati personali e algoritmi miracolosi e prodigiose intelligenze artificiali.
«In questo momento ci troviamo di fronte alla straordinaria prospettiva di una nuova rivoluzione industriale, alla pari dell’invenzione della macchina a vapore — ha detto il vicepresidente degli Stati Uniti d’America, JD Vance, qualche mese fa intervenendo all’AI Summit organizzato dal presidente francese Macron a Parigi —. Ma non si realizzerà mai se l’eccessiva regolamentazione dissuaderà gli innovatori dall’assumersi i rischi necessari per far progredire il progetto», ha aggiunto.
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(L’Economia, 12 maggio 2025)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10130600
13 maggio 2025 | Fonte: www.agendadigitale.ue
Normativa data center in Italia, a che punto siamo: cosa dicono operatori e politici
Analizziamo lo stato dell’arte della normativa sui data center in Italia, presentando suggerimenti e posizioni di rappresentanti politici e dei principali operatori del mercato.
Prima del cloud, le grandi organizzazioni avevano un Centro Elaborazione Dati (CED) relativamente piccolo e artigianale: macchine una diversa dall’altra acquistate via via che servivano, locali o edifici generici, impianti di raffreddamento e alimentazione elettrica altrettanto generici, procedure di gestione manuali, errori. Incendi, a volte capitava. Molto meglio si organizzavano gli operatori specialistici (“hoster”) che collocavano le macchine in ambienti specializzati, con tutti i servizi essenziali ridondati e protezioni fisiche di prim’ordine, e soprattutto con procedure di gestione degli incidenti rigorose e collaudate.
Gianluca Marcellino
Demand Officer, Comune di Milano
13 maggio 2025 | Fonte: www.federprivacy.org
La trasparenza come fondamento della fiducia digitale
Nel mondo iperconnesso e data-driven in cui operiamo, le persone sono sempre più consapevoli del valore dei propri dati personali. Allo stesso tempo, cresce l’attenzione verso la responsabilità delle organizzazioni che quei dati raccolgono, analizzano e archiviano. In questo contesto, la trasparenza non è più solo un adempimento normativo, ma una leva strategica per costruire fiducia, credibilità e reputazione.
Non basta informare: serve comunicare – I testi delle informative, spesso redatti con linguaggio tecnico o generico, risultano poco comprensibili per gli interessati. Ma la sfida non è solo linguistica: è culturale. Le organizzazioni devono passare da una logica difensiva (“abbiamo messo l’informativa online”) a una logica relazionale, in cui la protezione dei dati diventa parte del dialogo con gli stakeholder.
Comunicare in modo chiaro su come vengono trattati i dati, chi li gestisce, quali sono i diritti delle persone e come esercitarli, significa dimostrare attenzione e rispetto. Significa, in ultima analisi, mettere la persona al centro.
14 maggio 2025 | Fonte: www.cybersecurity360.it
Neurodiritti e come proteggerli: questa la nuova sfida da vincere
Se l’uso e non l’abuso da parte delle aziende non è ancora disciplinato da normative, regolamenti e indicazioni del garante, cosa può fare la singola persona per essere parte attiva nella difesa dei diritti della sua sfera mentale?
C’è una nuova sfida personale, professionale, etica e giuridica da affrontare: la tutela dei neurodiritti. Ma se l’uso e non l’abuso da parte delle aziende non è ancora disciplinato da normative, regolamenti e indicazioni del garante, cosa può o deve fare la singola persona per essere parte attiva nella difesa dei suoi neurodiritti?
Alessia Valentini
Giornalista, Cybersecurity Consultant e Advisor
14 maggio 2025 | Fonte: www.cybersecurity360.it
Relazione annuale ACN: sanità e manifatturiero sempre più nel mirino dei ransomware
L’ACN ha rilasciato la relazione annuale 2024 che fotografa un’Italia bersaglio di attacchi di tipo ransomware. Con 165 eventi cyber al mese, il nostro Paese ha registrato un aumento degli eventi del 40% e un incremento degli incidenti che sfiora il 90%.
L’ACN (Agenzia per la Cybersicurezza Nazionale) ha rilasciato la relazione annuale al Parlamento 2024 che fotografa l’Italia bersaglio di attacchi di tipo ransomware. Anche il rapporto Clusit 2025 conferma che il ransomware continua a dominare la scena.
Con 165 eventi cyber al mese, gestititi dal CSIRT Italia, il nostro Paese ha registrato un aumento degli eventi del 40% e un incremento degli incidenti che sfiora il 90%. “La Relazione 2024 dell’ACN evidenzia dunque un netto peggioramento del panorama cyber nazionale”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Mirella Castigli
Giornalista
16 maggio 2025 | Fonte: www.cybersecurity360.it
Le 4 tendenze del mercato della sicurezza in Italia, tra AI e quantum computing
Cresce il mercato della cyber security in Italia, grazie a una maggiore consapevolezza dei rischi e all’effetto delle normative. Ma l’Italia rimane tra gli ultimi posti nel G7 per quanto riguarda il rapporto tra spesa e Pil. Ecco i dati e i trend secondo l’Osservatorio Cyber security & Data protection.
Il rapido sviluppo tecnologico, alimentato da innovazioni come l’intelligenza artificiale e, in prospettiva, il quantum computing, sta accelerando la trasformazione digitale e aumentando i rischi cyber delle organizzazioni di tutto il mondo.
Questo progresso implica sfide sempre più ardue nella protezione delle infrastrutture e delle informazioni, contribuendo a rendere il panorama delle minacce sempre più complesso e articolato.
Giorgia Dragoni
Ricercatrice Senior Osservatorio Cybersecurity & Data Protection, School of Management Politecnico di Milano
Nicola Ciani
Ricercatore Osservatorio Cybersecurity & Data Protection
17 maggio 2025 | Fonte: www.federprivacy.org
Dati degli utenti usati dai social per addestrare l’intelligenza artificiale: gli attivisti della privacy non ci stanno e partono al contrattacco
Nelle scorse settimane Meta ha annunciato che a partire dal 27 maggio utilizzerà i dati personali degli utenti europei, italiani compresi, per addestrare la sua intelligenza artificiale, ma se gli utenti possono essere rassegnati a subire passivamente l’ennesima invasione della loro privacy, invece gli attivisti non ci stanno e partono al contrattacco.
Ad opporsi allo strapotere della Big Tech di Mark Zuckerberg, è l’organizzazione non governativa NOYB (acronimo di “None of Your Business”) fondata dall’Avv. Max Schrems per difendere i diritti digitali dei cittadini europei a partire da quelli tutelati dal GDPR.
Infatti, a NOYB non va proprio giù l’intenzione di Meta di mettere le mani su tutti i contenuti immessi dagli utenti nelle sezioni pubbliche dei social network Instagram e Facebook (post, commenti, didascalie, foto, etc.), e anche sui dati acquisiti tramite l’utilizzo dei servizi di IA di Meta (come il nuovo chatbot recentemente inserito coattivamente su WhatsApp), per usarli a suo piacimento dandoli in pasto ai propri algoritmi con l’obiettivo di addestrare i propri sistemi di intelligenza artificiale. E tutto ciò, come si legge in un comunicato sul sito dell’organizzazione non profit, “senza che gli utenti abbiano espresso un loro consenso esplicito”, ma sulla base di un presunto interesse legittimo usato come escamotage “per risucchiare tutti i dati degli utenti”.
17 maggio 2025 | Fonte: www.federprivacy.org
Anche sms e messaggi WhatsApp di istituzioni governative e pubbliche amministrazioni rientrano nel diritto di accesso sulla trasparenza amministrativa
Con la sentenza del 14 maggio 2025 (causa T-36/23), il Tribunale dell’Unione europea (Grande Sezione) ha affermato un principio destinato a incidere significativamente sull’organizzazione documentale delle istituzioni pubbliche, stabilendo che anche gli SMS, al pari degli altri documenti digitali, possono costituire atti soggetti al diritto di accesso secondo le normative sulla trasparenza amministrativa.
La vicenda trae origine da una richiesta formulata da una giornalista del New York Times, volta a ottenere dalla Commissione europea copia dei messaggi scambiati tra la stessa Presidente della Commissione, Ursula von der Leyen, e l’amministratore delegato di Pfizer, Albert Bourla, nel contesto della gestione pandemica.
La Commissione aveva negato l’accesso alle informazioni, sostenendo genericamente di non detenere tali documenti. Il Tribunale ha ritenuto però la risposta inadeguata, annullando il diniego e precisando che l’istituzione era tenuta a fornire motivazioni chiare e verificabili circa l’asserita indisponibilità dei messaggi.
18 maggio 2025 | Fonte: www.federprivacy.org
Sanzionato il Comune che non aveva mai nominato il Responsabile della Protezione dei Dati
Scatta una sanzione salata per i comuni che non hanno ancora provveduto a nominare il proprio Responsabile per la Protezione dei Dati. Sono passati sette anni dall’entrata in vigore definitiva del Gdpr ma alcuni enti risultano ancora senza DPO/RPD. E quando l’Autorità di controllo se ne accorge sono guai grossi per il primo cittadino.
Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 5 del 16 gennaio 2025. Da un controllo d’ufficio l’Autorità ha riscontrato che un comune siciliano non ha mai provveduto a notificare la nomina del proprio Responsabile per la Protezione dei Dati. E di questa importante figura non risulta nessuna traccia neppure sul sito istituzionale dell’Ente. Pertanto, specifica il collegio, “con nota del XX, l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per non aver designato il RPD e per non aver pubblicato i dati di contatto dello stesso né effettuato la relativa comunicazione all’Autorità, in violazione dell’art. 37, parr. 1 e 7, del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità. Al riguardo, tuttavia, non sono pervenuti scritti difensivi”.
19 maggio 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – AI: Il Garante sanziona la società che gestisce il chatbot “Replika”
Aperta una nuova indagine sulle modalità di addestramento del modello di intelligenza artificiale generativa alla base del servizio
Il Garante privacy ha sanzionato per 5 milioni di euro la società statunitense Luka Inc. che gestisce il chatbot “Replika” e ha avviato una autonoma istruttoria per verificare il corretto trattamento dei dati personali effettuato dal sistema di intelligenza artificiale generativa alla base del servizio.
Il chatbot, dotato di un’interfaccia scritta e vocale, consente all’utente di “generare” un “amico virtuale” a cui attribuire il ruolo di confidente, terapista, partner romantico o mentore.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10132048
20 maggio 2025 | Fonte: www.agendadigitale.ue
Relazione ACN 2024: governance cyber rafforzata, sistema ancora fragile
La Relazione ACN 2024 esamina lo scenario della cybersicurezza nazionale, rilevando un aumento del 40% degli eventi cyber e dell’89% degli incidenti. Tra i settori più colpiti: PA centrale, telecomunicazioni e università.
L’Agenzia per la cybersicurezza nazionale ha pubblicato la Relazione annuale al Parlamento 2024. Si tratta di un corposo documento, dall’indubbio valore strategico nella ricognizione dello stato dell’arte e nella proiezione di scenari futuri, che si articola in 138 pagine, ove viene descritta la complessiva attività realizzata dall’ACN per rafforzare la resilienza tecnologica dell’Italia come prioritario intervento da realizzare in uno scenario geopolitico sempre più complesso che emerge nel panorama internazionale.
Angelo Alù
studioso di processi di innovazione tecnologica e digitale
20 maggio 2025 | Fonte: www.federprivacy.org
Il GDPR compie 7 anni, ma oltre 6 miliardi di euro di sanzioni non hanno portato i risultati auspicati
Il 25 maggio di 7 anni fa entrava in vigore il Regolamento europeo sulla protezione dei dati con la promessa di introdurre maggiori tutele per la privacy dei cittadini e pesanti sanzioni per i trasgressori.
Secondo le statistiche fornite da Enforcement Tracker, da maggio 2018 a maggio 2025 sono state registrate 2.560 multe* per violazioni del GDPR, per un ammontare complessivo di oltre 6 miliardi di euro# , ovvero mediamente una sanzione ogni giorno per un importo medio di 2,4 milioni di euro.
I garanti più attivi in assoluto nello Spazio Economico Europeo (SEE) sono rispettivamente quello della Spagna con ben 932 multe comminate, seguito da quello italiano con 400 provvedimenti sanzionatori, mentre quello della Romania è terzo nella classifica delle autorità più prolifiche con 197 ammende.
Eppure, nonostante le cifre ragguardevoli complessivamente raggiunte a suon di multe negli scorsi 7 anni, mai come oggi è stato così difficile per i cittadini proteggere la propria privacy, con call center che li tartassano incessantemente, sistemi di tracciamento online che spiano gli utenti attraverso gli smartphone, e sistemi di intelligenza artificiale sempre più invasivi.
20 maggio 2025 | Fonte: www.cybersecurity360.it
Conformità alla NIS 2: il ruolo dei Cda dei fornitori
La Direttiva NIS 2 e il relativo Decreto di recepimento attribuiscono una ì responsabilità significativamente maggiore ai fornitori in materia di cyber security. Ecco il ruolo che i Consigli di Amministrazione dei fornitori svolgono nel garantire la sicurezza informatica, integrando la cyber nelle strategie aziendali e assicurando la conformità normativa.
La Direttiva NIS 2, recepita in Italia con il D.Lgs. 138/2024, ha ridefinito il panorama della cyber security, evidenziando il ruolo strategico dei fornitori come vincoli nella protezione delle infrastrutture digitali dei loro clienti.
Questa normativa non si limita a sottolineare la responsabilità dei soggetti essenziali e importanti, ma impone anche obblighi specifici ai fornitori di medie e grandi dimensioni, richiedendo un approccio proattivo alla sicurezza digitale. In questo contesto, i Consigli di amministrazione (Cda) dei fornitori giocano un ruolo fondamentale nell’orientare la governance verso pratiche che garantiscano la conformità, rafforzino le relazioni con i clienti e promuovano la resilienza operativa.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
https://www.cybersecurity360.it/legal/conformita-alla-nis-2-il-ruolo-dei-cda-dei-fornitori/
21 maggio 2025 | Fonte: www.federprivacy.org
La valutazione d’impatto sulla protezione dei dati: adempimento essenziale ma spesso sconosciuto
Sono trascorsi ormai diversi anni dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), eppure la valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment o DPIA), disciplinata dall’articolo 35, rimane uno degli strumenti meno compresi e più sottovalutati nell’intero panorama normativo della privacy europea. Nonostante la sua centralità nell’architettura del regolamento, molti titolari e responsabili del trattamento continuano a considerarla come un adempimento formale, quando non la ignorano del tutto.
Ma perché questo strumento così importante viene ancora poco compreso? La risposta risiede probabilmente nella sua natura: la DPIA non è un semplice documento da compilare, ma un vero e proprio processo che richiede un’analisi approfondita e, soprattutto, l’assunzione di una responsabilità concreta da parte del titolare del trattamento, tanto sul piano giuridico quanto su quello organizzativo e tecnico. Questo approccio basato sull’accountability rappresenta un cambio di paradigma che molte organizzazioni faticano ancora ad abbracciare pienamente.
21 maggio 2025 | Fonte: www.agendadigitale.ue
Data breach: come, quando e perché va notificato al Garante
La notifica di Data breach al Garante privacy è uno strumento di mitigazione dei danni, non solo un adempimento normativo. Il GDPR prevede la collaborazione tra titolari e Autorità per contenere gli effetti delle violazioni dei dati personali.
La diffusione ormai endemica degli attacchi informatici, se riguardata dal punto di prospettiva del GDPR, sta portando sempre più al centro dell’attenzione l’istituto della notifica al Garante.
Chiunque abbia avuto la ventura di misurarsi con un incidente che può comportare una violazione dei dati personali, sa bene che le energie organizzative e tecniche non possono concentrarsi solo su una immediata reazione intesa a verificare cosa sia accaduto e quali siano i rimedi per porvi riparo: una buona parte di quelle energie va al contrario convogliata anche, e da subito, sulla scelta per niente semplice di procedere o meno ad investire l’Autorità dell’accaduto mediante la famigerata notifica (anche solo preliminare) entro le 72 ore.
Paolo Ricchiuto
Avvocato
21 maggio 2025 | Fonte: www.federprivacy.org
Sicurezza, privacy e intelligenza artificiale: la politica per i dipendenti si allarga anche all’AI
La sicurezza, come principio fondamentale di una organizzazione, si è estesa negli anni dall’ambito fisico per abbracciare anche la protezione dei dati personali e successivamente la sicurezza delle informazioni. Ora deve considerare di integrare anche la componente dell’AI. La politica aziendale di una organizzazione, deve quindi, in modo sempre più esteso, focalizzarsi sulla cultura della responsabilità individuale, trovando una naturale applicazione anche nel contesto della introduzione di strumenti di AI a comunicare da quella generativa che oramai è parte integrante delle attività quotidiane.
In questo articolo vogliamo esplorare il contesto di applicazione e gli elementi di base di un regolamento o di parte di un regolamento per i collaboratori per un uso responsabile di soluzioni di AI.
22 maggio 2025 | Fonte: www.garanteprivacy.it
Fisco e privacy, alla ricerca dell’equilibrio tra diritti e lotta all’evasione
La recente riforma fiscale – realizzata nell’esercizio della delega legislativa conferita al Governo dalla l. n. 111 del 2023 e alla quale è stata data ampia attuazione attraverso la Legge di bilancio del 2024 – ci fa riflettere su un tema centrale per la democrazia: il rapporto tra efficienza delle politiche fiscali di lotta all’evasione, innovazione, rispetto dei diritti individuali.
Si tratta di un tema delicatissimo per un Paese come il nostro che si caratterizza per l’elevato tasso di evasione ed elusione fiscale. Non è in dubbio che il contrasto di tali fenomeni sia indispensabile per realizzare la “promessa” dell’equità fiscale sancita dalla Costituzione e correlata al principio di progressività delle imposte. Sarebbe, tuttavia, semplicistico declinare il rapporto tra lotta all’evasione fiscale e privacy in termini di reciproca esclusione o, come talvolta è stato fatto, di antitesi. È un falso mito che il rispetto del diritto fondamentale della protezione dei dati ostacoli il raggiungimento degli obiettivi di politica fiscale.
Intervento di Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali
(AgendaDigitale, 22 maggio 2025)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10133759
22 maggio 2025 | Fonte: www.agendadigitale.ue
Un anno da incubo per le VPN: cronologia degli attacchi 2024
Nel 2024 numerosi attacchi informatici hanno evidenziato gravi vulnerabilità nei sistemi di accesso remoto, compromettendo la sicurezza di reti aziendali e istituzionali.
Lo sfruttamento da parte degli attaccanti di vulnerabilità inerenti le tecnologie tradizionali di accesso remoto come le VPN è stato un argomento ricorrente nel panorama della sicurezza informatica nel corso del 2024 (ed un trend che non sembra diminuire nel corso del 2025).
Dopo la grande corsa alla messa in esercizio massiva di soluzioni VPN, dapprima con la pandemia e successivamente con l’esplosione del lavoro da remoto, come si spiega l’insorgere di vulnerabilità riguardanti le tecnologie VPN ad una simile frequenza? Paolo Passeri
Cyber Intelligence Principal, Netskope
https://www.agendadigitale.eu/sicurezza/un-anno-da-incubo-per-le-vpn-cronologia-degli-attacchi-2024/
22 maggio 2025 | Fonte: www.garanteprivacy.it
Lo spazio europeo dei dati sanitari non è in contrasto con la tutela della privacy: l’analisi di Guido Scorza
La tutela della privacy non è in contrasto con lo scambio e l’utilizzo dei dati sanitari, se la loro disponibilità genera benefici per tutti i cittadini. Ne è convinto l’avvocato Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, intervistato dal direttore di Culture Felicia Pelagalli, che lancia il Data summit del 6 giugno.
“Da oggi non possiamo più nasconderci dietro l’alibi della privacy: abbiamo il framework, dobbiamo riempirlo”, afferma, ricordandoci che i prossimi quattro anni saranno decisivi per preparare e far decollare lo spazio europeo dei dati sanitari. “Questa è la sfida, questa è la missione”, sottolinea, auspicando che l’Europa ci aiuti a non perdere il ritmo: del resto, “l’elemento di fragilità è sempre stato il tempo”.Intervista a Guido Scorza, componente del Garante per la protezione dei dati personali
(di Felicia Pelagalli, ADNKronos, 22 maggio 2025)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10133775
20 maggio 2025 | Fonte: www.ilsole24ore.com
Europa, il rischio è di fare passi indietro sulla protezione dei dati
Da un lato un nuovo Pontefice che, già con la scelta del proprio nome, intende lanciare un messaggio sul ruolo per niente neutrale della Chiesa rispetto allo sviluppo dell’intelligenza artificiale; dall’altro la Commissione europea, alle prese con un ambizioso (per alcuni tardivo, per altri improvvido) progetto di semplificazione di alcune norme sulla data economy. Due eventi molto diversi e solo apparentemente distanti, ma che se letti in modo combinato possono dirci molto su uno dei temi più importanti di questi anni: la governance dei dati e delle nuove tecnologie. Da qui passa economia, progresso tecnologico e sviluppo sostenibile, politiche sociali, diritti, regole e nuovo umanesimo.
https://www.ilsole24ore.com/art/europa-rischio-e-fare-passi-indietro-protezione-dati-AHr6WKs
23 maggio 2025 | Fonte: www.federprivacy.org
L’ingresso dell’intelligenza artificiale in azienda? dalla porta principale, con adeguato set di regole
Non può sfuggire la rilevanza dell’indagine condotta da Ivanti (società USA con sede a Salt Lake City, Utah) su oltre 6.000 impiegati e 1.200 professionisti IT (di cui dà conto il rapporto “2025 Technology at Work: Reshaping Flexible Work”, indagine di cui questo sito ha tempestivamente riportato la notizia), stando alla quale il 32% dei dipendenti ricorre a sistemi di AI generativa all’insaputa del proprio datore di lavoro.
A parte i moventi delle condotte e le condotte stesse – sicuramente meritevoli di analisi, valutazioni, misure e attenzioni meditate -, che interpellano varie tipologie di operatori (responsabili risorse umane, rappresentanti sindacali dei lavoratori, formatori, psicologi, sociologi, giuristi, ecc.), la particolarità (non la novità) offerta dall’indagine è, in un certo senso, il punto di vista. Il dibattito sulle nuove tecnologie, infatti, risulta più spesso concentrato sulle opportunità che esse rappresentano per le aziende in termini di incrementi di efficienza/produttività e sui rischi che dischiudono quanto a possibili interferenze/compressioni dei diritti dei prestatori di lavoro.
23 maggio 2025 | Fonte: www.cybersecurity360.it
Dal GDPR al GDPR 2.0: le sfide della privacy digitale moderna
In concomitanza con il nono anniversario del GDPR ovvero il settimo dalla sua piena applicazione, si pensa a un restyling del Regolamento anche alla luce di come è stato vissuto in questo quasi decennio. E così la Commissione UE pensa a una nuova versione 2.0.
Sono passati quasi dieci anni da quando è entrato in vigore il Regolamento (UE) 2016/679 meglio noto come GDPR e sette anni dalla sua piena applicazione ricordando tutti quel 25 maggio 2018. Data storica che ha imposto a tutte le organizzazioni, più o meno strutturate, di adeguarsi a detta normativa.
Ciò ha determinato, nella realtà, non pochi problemi concreti che sono così giunti sul banco della Commissione europea, la quale sta pensando a una revisione del Regolamento.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
https://www.cybersecurity360.it/news/dal-gdpr-al-gdpr-2-0-le-sfide-della-privacy-digitale-moderna/
23 maggio 2025 | Fonte: www.federprivacy.org
L’intelligenza artificiale nella Pubblica Amministrazione e nelle imprese: AgID, AI Act e strumenti a supporto per le valutazioni d’impatto
L’adozione dell’intelligenza artificiale (IA) nella Pubblica Amministrazione (PA) e nelle Imprese rappresenta una leva strategica, ma impone nuove responsabilità normative. A livello europeo, il Regolamento AI Act (UE 2024/1689) introduce un quadro giuridico armonizzato per lo sviluppo e l’uso dell’IA, promuovendo un approccio antropocentrico e affidabile. In Italia, le Linee Guida AgID 2025 declinano questi principi nel contesto pubblico nazionale, richiedendo valutazioni specifiche prima di adottare sistemi IA.
Due strumenti fondamentali garantiscono un uso responsabile dell’IA:
– FRIA (Fundamental Rights Impact Assessment): prevista per i sistemi ad alto rischio, valuta l’impatto sui diritti fondamentali.
– DPIA (Data Protection Impact Assessment): obbligatoria secondo il GDPR per i trattamenti ad alto rischio sui dati personali.
25 maggio 2025 | Fonte: www.federprivacy.org
Pubblicata la proposta di revisione del GDPR: molto rumore per nulla
La prima bozza di revisione del GDPR è inserita nel quarto pacchetto “semplificazione Omnibus” pubblicato il 21 maggio dalla Commissione Europea, tracciando così il quadro politico del mandato 2025-2029.
Gli intenti proclamati sono quelli di voler ridurre gli adempimenti e facilitare i percorsi di conformità per la normativa in materia di protezione dei dati personali pur mantenendo elevati standard di privacy e sicurezza, soprattutto nei confronti di piccole e medie imprese (PMI) e le imprese a media capitalizzazione di piccole dimensioni.
Si propone l’inserimento all’interno delle definizioni di cui all’art. 4 di “microimprese, piccole e medie imprese” e “imprese a media capitalizzazione di piccole dimensioni” e l’aggiunta del riferimento a queste ultime all’interno dell’art. 40 par. 1 (Codici di condotta) e dell’art. 42 par. 1 (Certificazioni).
25 maggio 2025 | Fonte: www.garanteprivacy.it
Siamo noi i peggiori genitori di sempre?
Siamo noi i peggiori genitori di sempre? N egli anni ’70 i bambini viaggiavano in macchina su un’amaca sospesa agganciata da un lato all’altro dei sedili posteriori. A ogni buca, frenata o curva rischiavano inesorabilmente di finire fuori dal finestrino o di rimbalzare sul sedile e carambolare sui tappetini dell’auto. E l’amaca in questione non era un aggeggio fatto in casa ma l’ultimo gadget per il benessere dei bambini prodotto e venduto da un’azienda tuttora leader nel settore della prima infanzia.
Vedere oggi la pubblicità dell’epoca di quell’amaca mette i brividi. Eppure, su quell’amaca, bambini di ogni età hanno attraversato l’Italia e l’Europa, sono andati in vacanza per anni, al mare e in montagna. E lo hanno fatto come si trattasse della cosa più naturale del mondo perché, semplicemente, lo era.
I loro genitori erano irresponsabili, incoscienti, criminali? Può darsi.
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(Specchio, 25 maggio 2025)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10133817
27 maggio 2025 | Fonte: www.cybersecurity360.it
GDPR e NIS 2: quando la normativa cyber diventa strategia di difesa nazionale
C’è un legame strutturale tra dottrina militare e cyber security, interpretata attraverso la visione strategica del generale prussiano Carl von Clausewitz e concretizzata nelle architetture normative del GDPR e della Direttiva NIS 2. Ecco perché la sicurezza è il linguaggio comune della sovranità, mentre la cyber security ne è il suo campo di battaglia quotidiano.
Sicurezza deriva dal latino sine cura, cioè “senza preoccupazione”. Ma, paradossalmente, la sicurezza è tutt’altro che un’assenza di preoccupazione: è una preoccupazione continua, lucida, organizzata.
È la forma più alta della vigilanza. Non significa vivere senza timori, ma sapere come affrontarli prima che si trasformino in danni.
La sicurezza non è quindi uno “stato”, per esempio lo stato di chi dorme tranquillo, bensì un’azione ovvero l’azione di chi pianifica, presidia e protegge.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
27 maggio 2025 | Fonte: www.agendadigitale.ue
Compliance integrata: quando le regole diventano vantaggi
La pressione normativa crescente impone alle aziende di ripensare la compliance come funzione strategica integrata. L’approccio frammentato non è più sostenibile di fronte a regolamenti sempre più complessi che toccano ogni aspetto del business.
La pressione normativa sulle aziende è ormai enorme e continua ad aumentare. Viene spontaneo un paragone con la fisica: un razzo, per sfuggire alla gravità terrestre, deve raggiungere una certa velocità di fuga (escape velocity), altrimenti ricade al suolo. Allo stesso modo, la funzione compliance di un’impresa ha bisogno di uno slancio sufficiente per “staccarsi” dalla gravità delle vecchie strutture organizzative e prendere il volo. Luca Libutti
compliance director EMEA – Zimmer Biomet
Giuseppe Vaciago
Partner 42 Law Firm e Docente di Data Ethics e Data Protection al Politecnico di Torino
https://www.agendadigitale.eu/industry-4-0/compliance-integrata-quando-le-regole-diventano-vantaggi/
27 maggio 2025 | Fonte: www.cybersecurity360.it
Telemarketing, sette call center sotto indagine antitrust: usato anche lo spoofing
L’Autorità garante della concorrenza e del mercato apre un’istruttoria su presunte pratiche ingannevoli nei settori energia e telecomunicazioni. Coinvolti anche operatori che avrebbero usato il CLI spoofing, camuffando i numeri di telefono per ingannare i consumatori. L’Agcm (Autorità garante della concorrenza e del mercato) ha annunciato l’apertura di sette procedimenti istruttori contro altrettante società di call center sospettate di pratiche commerciali scorrette attraverso il telemarketing.
Le società finite nel mirino dell’Autorità operano nei settori dell’energia e delle telecomunicazioni, due ambiti già da tempo osservati speciali per l’alto numero di segnalazioni ricevute dai consumatori.
Rosario Palumbo
Giurista d’impresa, Data protection specialist
28 maggio 2025 | Fonte: www.agendadigitale.ue
Digitalizzazione e innovazione delle PA italiane: l’esperienza di Regione Puglia
La digitalizzazione e innovazione delle PA italiane passa dalla ridefinizione dei processi, come quelli legati alla presentazione dalle istanze online, tramite soluzione informatica ad hoc: approfondiamo l’esperienza della Regione Puglia.
La digitalizzazione della pubblica amministrazione in Italia avanza in modo disomogeneo, con progetti che si sviluppano a ritmi diversi tra amministrazioni centrali e locali. Una leva strategica importante è quella della reingegnerizzazione dei processi, in quanto ridisegnarli in ottica digital by design favorisce flussi di lavoro più snelli e la costruzione di un rapporto migliore con cittadini e imprese dei territori. In questo quadro, la Regione Puglia ha avviato un lavoro strutturato attraverso il suo Dipartimento per la Transizione al digitale, puntando su strumenti condivisi, dati aperti e formazione interna. Un percorso che offre spunti utili per comprendere come si stanno muovendo i territori.
28 maggio 2025 | Fonte: www.federprivacy.org
Innovazione responsabile e compliance per la sostenibilità della società digitale: il sondaggio di Federprivacy
Come sarà messo in evidenza al Privacy Day Forum di quest’anno in programma venerdì 6 giugno 2025 ad Arezzo, la rapida diffusione dell’intelligenza artificiale richiede la necessità di promuovere un’innovazione responsabile e la compliance, perché il coscienzioso sviluppo delle nuove tecnologie e il rispetto delle regole sono alla base della realizzazione di una società digitale sostenibile.
Di recente, il G7 dei Garanti privacy ha infatti sottolineato la necessità di “porre al centro la libera e responsabile circolazione dei dati, le tecnologie emergenti, l’attuazione di una cooperazione internazionale che miri a stabilire nuove regole di ingaggio a livello globale per garantire un’Innovazione sostenibile, inclusiva, equa e giusta, per tutti.”
29 maggio 2025 | Fonte: www.agendadigitale.ue
IA nella cybersecurity: così può diventare alleata delle aziende
L’intelligenza artificiale trasforma la cybersecurity creando nuove minacce come deepfake e phishing sofisticati, ma offre anche strumenti avanzati di rilevamento e prevenzione automatizzata per proteggere dati e sistemi aziendali.
Le sfide e le opportunità generate dall’intelligenza artificiale sono particolarmente evidenti per i professionisti della sicurezza informatica.
L’IA assume oggi, infatti, simultaneamente il ruolo di minaccia e di soluzione. Mentre i cybercriminali sfruttano sempre più queste tecnologie per perfezionare i loro attacchi, i professionisti della sicurezza informatica stanno sviluppando strumenti di difesa altrettanto avanzati per proteggere le organizzazioni moderne.
Alessandro Fontana
Regional Director e Country Manager Netskope Italia
29 maggio 2025 | Fonte: www.agendadigitale.ue
Aggiornamento dati NIS2: nuove scadenze e obblighi
Il termine per l’aggiornamento dei dati sul registro ACN è stato esteso al 31 luglio per i soggetti che hanno richiesto supporto. La proroga riflette l’approccio collaborativo dell’Agenzia verso imprese e PA. Il Dlgs. 138/2024 che attua in Italia la direttiva NIS2 prevede che i soggetti NIS aggiornino annualmente – sul registro istituito presso la piattaforma dell’Agenzia Nazionale per la Cybersecurity – le informazioni relative, fra l’altro, a:
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
- l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del Decreto (ove applicabile);
- i responsabili di cui all’articolo 38, comma 5, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
- il sostituto del punto di contatto (di cui al comma 1, lettera c)), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono (art. 7, comma 4).Oreste Pollicino
- professore ordinario di diritto costituzionale, Università Bocconi e founder Oreste Pollicino Advisory
Flavia Scarpellini
Corporate Lawyer
30 maggio 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER 30 maggio 2025
Telemarketing aggressivo: il Garante sanziona le prime agenzie immobiliari
- Lavoro: email e navigazione web, il Garante sanziona la Regione Lombardia
- Data breach: sanzione del Garante all’Ordine degli psicologi della Lombardia
- La Conferenza di primavera dei Garanti europei rafforza la collaborazione
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10135126
Altre news
Rifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”
arrow_forwardGDPR: rassegna stampa N° 8/2025 agosto
arrow_forwardTRIBUTI: rassegna stampa N° 9/2025 agosto
arrow_forwardBuone pratiche di cybersecurity di base per i dipendenti della PA
arrow_forwardTRIBUTI: rassegna stampa N° 8/2025 luglio
arrow_forward