GDPR: rassegna stampa N° 6 / 2025
Cari custodi della privacy, in un mondo sempre più connesso, la privacy non è solo una questione di conformità normativa, ma il cuore pulsante di una società che vuole proteggere la libertà e la dignità di ogni individuo. Ogni passo che compiamo insieme rappresenta un tassello per costruire un ecosistema digitale più sicuro, trasparente e rispettoso dei diritti fondamentali.
Giugno ci ha lasciato in eredità una lezione limpida, quasi scolpita nella pietra: la protezione dei dati personali non può essere sospesa per mancanza di fondi. Il Garante Privacy ha chiarito con forza che l’inerzia operativa non si giustifica dietro il paravento del bilancio. Le misure tecniche e organizzative devono essere sempre adottate, perché la tutela dei diritti fondamentali non conosce pause né deroghe economiche. È un messaggio potente, che suona come un campanello d’allarme per enti pubblici e organizzazioni che si trovano a destreggiarsi tra vincoli di spesa e obblighi di compliance. Ed è anche uno spartiacque culturale: la privacy non è un lusso riservato a chi se lo può permettere, ma un dovere imprescindibile, qualunque sia il costo da sostenere.
Accanto a questo principio, il mese ci ha portato altre riflessioni importanti sul fronte pubblico. Non posso non soffermarmi sul ruolo dell’OIV, l’Organismo indipendente di valutazione della performance, che si conferma una figura chiave tra le maglie della governance e della trasparenza nella Pubblica Amministrazione. L’OIV, come ci ricorda Pasquale Mancino, non è soltanto un ingranaggio tecnico ma una vera sentinella a tutela dell’efficienza, della legalità e, sempre più, della privacy. La sua presenza si intreccia inevitabilmente con le competenze del DPO e del Responsabile della Prevenzione della Corruzione e della Trasparenza, delineando un ecosistema di controlli che diventa decisivo in tempi in cui i dati, nella PA, scorrono come linfa vitale ma anche come rischio da presidiare.
E se la PA si confronta con la necessità di bilanciare governance e riservatezza, il mondo del lavoro ci consegna un’altra storia significativa. A Tropea, un istituto scolastico è stato sanzionato per aver imposto l’uso delle impronte digitali al personale amministrativo. Una sanzione forse modesta sul piano economico, ma dal valore simbolico enorme. Non basta il consenso, ci ricorda il Garante, quando si parla di dati biometrici: servono norme chiare, finalità precise, necessità e proporzionalità scolpite nella legge. E qui emerge il tema cruciale del confine fra legittimo controllo e violazione della dignità individuale. Anche nella scuola, anche dove l’intento può sembrare nobile o pragmatico, la privacy resta un diritto che non si può comprimere con leggerezza.
Questo mese, insomma, ci ha ricordato che la privacy vive di sostanza e non di parole, di misure concrete e non di proclami. Che la sostenibilità economica non può tradursi in abbandono dei presidi di sicurezza. Che nella Pubblica Amministrazione ogni ruolo ha un peso nella difesa dei dati. E che la biometria, per quanto affascinante e comoda, resta terreno minato se non viene gestita con rigore assoluto.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
RASSEGNA STAMPA
3 giugno 2025 | Fonte: www.agendadigitale.ue
Ddl AI: la privacy tradita dall’intelligenza artificiale
La nuova disciplina dell’intelligenza artificiale riduce la privacy a criterio amministrativo, ignorando il principio personalista costituzionale e creando un sistema privo di garanzie effettive per i diritti fondamentali.
La relazione tra privacy e intelligenza artificiale costituisce una delle sfide più complesse per il diritto costituzionale contemporaneo.
Il recente disegno di legge italiano del marzo 2025, recante princìpi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e di modelli di intelligenza artificiale, tenta di regolamentare l’uso dell’IA nella pubblica amministrazione, ma presenta criticità strutturali che compromettono la tutela effettiva dei diritti fondamentali nell’era digitale.
Francesca Niola
Research Fellow Legal manager @ Aisma srl
4 giugno 2025 | Fonte: www.cybersecurity360.it
NIS2 e CER, istituito il punto di contatto unico: le sfide per la resilienza dei soggetti critici
In fase di recepimento delle direttive europee NIS 2 e CER, il testo normativo istituisce nuove strutture all’interno della presidenza del Consiglio dei ministri, tra cui quella del punto di contatto unico (PCU) per completare il percorso di adeguamento. Il recente decreto del presidente del Consiglio dei ministri (Dpcm) del 2 aprile 2025 introduce significative modifiche alla struttura organizzativa della Presidenza del Consiglio dei ministri (Pcm), con l’obiettivo di potenziare il coordinamento sul tema della resilienza dei soggetti critici e di rafforzare la cyber sicurezza nazionale.
Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
Tommaso Diddi
Analista Hermes Bay
Marco Carbonelli
Risk Analysis Expert – Pubblica Amministrazione Centrale
5 giugno 2025 | Fonte: www.cybersecurity360.it
Trasparenza nella PA: profili privacy e ruolo di DPO, RCPT e OIV
L’OIV (Organismo indipendente di valutazione della performance) svolge un ruolo centrale tra le funzioni di governance e controllo. Ecco le sue competenze in ambito privacy, secondo il disegno di legge recentemente approvato
Un peculiare ruolo centrale tra le funzioni di governance e controllo, in ambito pubblico, compete all’Organismo indipendente di valutazione della performance (OIV).
Le sue competenze sono delineate in particolare dall’art. 14 del decreto legislativo 150/2009 afferente la materia dell’ottimizzazione della produttività del lavoro pubblico e le tematiche dell’efficienza e della trasparenza delle PA.
Pasquale Mancino
Internal auditor e Revisore di Organizzazione sindacale
5 giugno 2025 | Fonte: www.federprivacy.org
Modelli organizzativi per la gestione dei sistemi di intelligenza artificiale in conformità al GDPR e all’AI Act
L’avvento dell’Intelligenza Artificiale (IA) sta trasformando radicalmente il panorama aziendale e sociale, offrendo opportunità senza precedenti in termini di efficienza e produttività in numerosi settori, dalla sanità alla finanza.
Tuttavia, questa rivoluzione tecnologica comporta anche rischi significativi, tra cui la discriminazione algoritmica, l’opacità dei sistemi (“black box”), le violazioni della privacy e complesse problematiche di sicurezza. Per gestire proattivamente questi rischi e garantire la conformità normativa, le organizzazioni devono adottare modelli organizzativi strutturati.
Il quadro normativo europeo è all’avanguardia in questo settore, fondandosi su due pilastri fondamentali: il Regolamento Generale sulla Protezione dei Dati (GDPR – Reg. UE 2016/679) e il più recente AI Act (Reg. UE 2024/1689).
Il GDPR tutela i dati personali e si applica ogni qualvolta un sistema di IA tratta informazioni riconducibili a individui, mantenendo la sua piena validità anche con l’entrata in vigore dell’AI Act. Le sue implicazioni per i sistemi di IA sono profonde e riguardano l’intero ciclo di vita del sistema. Requisiti non negoziabili includono: una base giuridica valida per il trattamento dei dati (es. consenso libero, specifico, informato), la trasparenza sulle logiche di funzionamento dell’IA, la minimizzazione dei dati per l’addestramento e l’integrazione della “Data Protection by Design e by Default” (Art. 25 GDPR). È altresì cruciale il diritto degli interessati di opporsi a decisioni basate unicamente sul trattamento automatizzato, inclusa la profilazione (Art. 22 GDPR), enfatizzando la centralità dell’individuo e la necessità di un controllo umano.
5 giugno 2025 | Fonte: www.federprivacy.org
Indagini su dipendenti infedeli: come e quando è lecito farlo nel rispetto del GDPR
L’investigatore privato è un professionista autorizzato mediante licenza prefettizia a svolgere attività investigativa. La sua figura giuridica ha origini nel Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) del 1931. Ad oggi, il riferimento normativo principale è l’art. 134 TULPS, cui si affianca il D.M. 269/2010 che individua, oltre a nuovi requisiti professionali, sei distinti ambiti operativi, tra cui indagini aziendali su richiesta del datore di lavoro finalizzate alla tutela di diritti anche in sede giudiziaria, come: infedeltà professionale, concorrenza sleale, tutela del patrimonio, marchi, brevetti.
Con l’entrata in vigore del GDPR (Regolamento UE 2016/679) e del D.Lgs. 101/2018, l’attività investigativa è subordinata a rigorose regole deontologiche. In particolare, l’investigatore non può intraprendere indagini autonomamente: è necessario un incarico scritto con l’indicazione del diritto da esercitare e delle finalità dell’indagine, deve trattare i dati nel rispetto del principio di minimizzazione e può coinvolgere collaboratori esterni solo se indicati per iscritto sul mandato stesso. Inoltre, è obbligato a fornire aggiornamenti al committente sull’andamento dell’indagine e, solo in determinati casi contemplati all’art. 14, l’informativa può non essere fornita all’interessato se ciò pregiudicherebbe gli scopi dell’indagine. Tuttavia, tale omissione deve essere giustificata e proporzionata.
5 giugno 2025 | Fonte: www.federprivacy.org
Sharenting: dal Garante Privacy consigli per genitori troppo social
Foto, video, perfino ecografie dei propri figli condivisi online: è rivolto ai genitori “troppo social” il secondo episodio di “A proposito di privacy”, podcast del Garante per la protezione dei dati personali.
Al centro della puntata, c’è infatti il fenomeno dello sharenting, l’eccessiva condivisione online da parte di mamme e papà di immagini che riguardano i propri figli. Se ne parla, con l’avvocato Guido Scorza, componente del Collegio del Garante privacy.
Foto, video, perfino ecografie dei propri figli condivisi online: è rivolto ai genitori “troppo social” il secondo episodio di “A proposito di privacy”, podcast del Garante per la protezione dei dati personali.
Al centro della puntata, c’è infatti il fenomeno dello sharenting, l’eccessiva condivisione online da parte di mamme e papà di immagini che riguardano i propri figli. Se ne parla, con l’avvocato Guido Scorza, componente del Collegio del Garante privacy.
Nel corso dell’episodio, oltre a mettere in guardia i genitori dai rischi che lo sharenting comporta sull’identità digitale dei più piccoli e sulla corretta formazione della loro personalità, vengono proposti anche alcuni accorgimenti per tutelare i minori, qualora si decida di pubblicare le loro immagini in rete.
La puntata è anche l’occasione per affrontare un altro tema delicato, quello del revenge porn e, nel caso in cui si abbia un fondato timore che immagini a contenuto sessualmente esplicito possano essere diffuse senza consenso, delle modalità con cui richiederne al Garante privacy la rimozione da piattaforme social e di messaggistica.
Il podcast è disponibile sul sito istituzionale www.gpdp.it e sul canale YouTube del Garante.
https://www.youtube.com/watch?v=VgVJ2vTGPcg
5 giugno 2025 | Fonte: www.cybersecurity360.it
Investimenti cyber e benefici del GDPR: un’economia che fa bene alle aziende
Ebbene sì, investire nella cyber security strettamente connessa alla protezione dei dati personali conviene.
A dimostrarlo è un recente studio del 5 giugno 2025, di analisi economica che la CNIL ha pubblicato dimostrando come l’economia della sicurezza informatica vada a braccetto con gli obblighi di sicurezza dettati dal GDPR.
Di qui i vantaggi che emergono dai dati elaborati dall’Autorità garante privacy francese, arrivando a concludere che “il GDPR ha evitato tra i 54 e 132 milioni di euro [in termini] di perdite legate ai costi diretti del furto di identità in Francia e [più in generale] tra 405 milioni di euro e 988 milioni di euro di perdite in tutta la UE”, come si ha modo di leggere nel documento.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
6 giugno 2025 | Fonte: www.agendadigitale.ue
Controllo dipendenti senza regole: le ragioni della multa a Regione Lombardia
Il Garante Privacy ha sanzionato per 50 mila euro la Regione Lombardia per controllo sistematico di metadati dei dipendenti. Violazioni riguardano conservazione prolungata, assenza accordi sindacali e mancata valutazione impatto privacy secondo GDPR.
Il 29 aprile 2025, il Garante per la protezione dei dati personali ha adottato un provvedimento di particolare rilievo nei confronti della Regione Lombardia, a seguito di un’indagine condotta sull’infrastruttura informatica utilizzata per la gestione del lavoro subordinato pubblico.
Francesca Niola
Research Fellow Legal manager @ Aisma srl
9 giugno 2025 | Fonte: www.federprivacy.org
La governance dei dati non è (più) una questione informatica che riguarda solo password e antivirus, ma tocca tutta l’azienda
In Italia, il concetto di corporate governance ha sempre avuto una doppia anima: quella che si mostra nei documenti ufficiali, nei report di sostenibilità, nei codici etici redatti con calligrafia perfetta (o impaginatura eccezionale e allineata), e quella reale, fatta di consigli d’amministrazione dominati da famiglie, soci silenziosi che tutto vedono, partecipazioni incrociate e meccanismi opachi ma perfettamente tollerati, purché funzionino. Si è sempre pensato che bastasse inserire qualche parola inglese nei regolamenti interni (audit, compliance, privacy, cybersecurity e post briefing) per essere al passo coi tempi. Poi è arrivato il GDPR, poi la NIS2, ora l’AI Act. E all’improvviso le aziende si sono accorte che la governance non è più solo una questione di equilibrio tra proprietà e controllo, ma di sopravvivenza.
9 giugno 2025 | Fonte: www.privacylab.it
Trattamento dati personali e intelligenza artificiale: quale futuro auspicare?
Proseguiamo con gli articoli tratti dal GDPR Forum 2025. Quello che segue è il secondo articolo, un’intervista, estratta dall’intervento di Francesco Pizzetti, Professore emerito UniTO, già Presidente dell’Autorità Garante per la Protezione dei dati personali.
Hai letto il primo: Il GDPR è nato anche per favorire la circolazione dei dati nella società digitale? No? Allora recuperalo e poi torna qui, che ci concentriamo sull’AI Act e sulle sue conseguenze per le aziende che decidono di usare l’intelligenza artificiale!
Perché L’UE ha adottato l’AI Act?
Andrea Chiozzi: Professore, perché si è arrivati all’AI Act? Sentiamo in giro frasi come “abbiamo fatto la prima norma al mondo che regola l’intelligenza artificiale, wow quanto siamo bravi, quanto siamo belli…” ma è davvero così?
Francesco Pizzetti: Siamo sinceri, l’Unione Europea ha adottato l’AI Act perché temeva, giustamente, che l’intelligenza artificiale – tecnologia sviluppata nel mondo statunitense, ma non presente con efficacia analoga in Europa – potesse mettere in crisi il mercato unico europeo.
11 giugno 2025 | Fonte: www.cybersecurity360.it
Doppia sanzione a Vodafone: una lezione sull’importanza di investire in protezione dei dati
Ebbene sì, Il Garante privacy tedesco (BfDI) ha inflitto due sanzioni a Vodafone, per carenze nei controlli su propri data processor e per vulnerabilità nei processi di autenticazione. L’Istituto federale per l’infrastruttura digitale (BfDI), Garante per la privacy tedesco, ha inflitto due pesanti sanzioni a Vodafone, per violazione del GDPR. Da un lato, per mancato controllo della filiera dei responsabili; dall’altro, per carenza di misure di sicurezza. Ecco i dettagli.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
12 giugno 2025 | Fonte: www.federprivacy.org
Rapporto Europol 2025: nei crimini informatici aumenta il ricorso all’intelligenza artificiale, e le attività degli hacker sono sempre più “crime-as-a-service”
I dati personali dei cittadini vengono sempre più utilizzati come merce di valore nell’ambito della criminalità informatica, mentre il mercato delle informazioni rubate è in rapida espansione. Ad affermarlo è l’ Europol in occasione della pubblicazione del suo rapporto “Online Organized Crime Threat Assessment 2025”, sottolineando che i dati rubati sono alla base di un sistema criminale che consente una serie di attività illegali online e frodi a danno di minori.
“Non ci si può difendere da ciò che non si capisce. Il nostro nuovo rapporto rivela l’economia nascosta dei dati rubati che alimenta le minacce informatiche più pericolose di oggi”, ha affermato Edwards Schilleris, Direttore del Centro europeo per la criminalità informatica di Europol.
12 giugno 2025 | Fonte: www.accademiaitalianaprivacy.it
Le strette correlazioni tra corporate governance e GDPR
Chi parla di sostenibilità, di ESG e di corporate governance, oggi, senza mettere sul tavolo la questione dei dati personali, sta raccontando solo una parte della storia. Ed è la parte più comoda. Perché parlare di principi etici e bilanci sociali è di moda, rassicura gli investitori e fa bella figura nei convegni.
Ma la verità è che ogni scelta di governance incide su come vengono raccolti, trattati, custoditi e, soprattutto, condivisi i dati delle persone. E se questi dati finiscono in mani sbagliate, o semplicemente troppo larghe, salta tutto: la reputazione, la fiducia, la legalità.
Il GDPR, in questo contesto, non è una legge tecnica. È una legge di potere. Una legge che impone di scegliere chi vede cosa, chi accede a cosa, chi decide cosa. Una legge che obbliga l’azienda a domandarsi non solo “possiamo trattare questo dato?”, ma “perché lo stiamo trattando?”, “chi deve davvero conoscerlo?” e “chi deve restarne fuori?”. La risposta a queste domande è tutta governance. È una questione di ruoli, di limiti, di autorizzazioni. È l’abc di ogni organizzazione sana.
https://accademiaitalianaprivacy.it/dettaglioNews.asp?id=1973
13 giugno 2025 | Fonte: www.agendadigitale.ue
Medico competente: come gestire i dati sanitari nel rispetto del Gdpr
Il medico competente gestisce dati sanitari dei lavoratori come titolare autonomo del trattamento secondo Gdpr. Deve garantire protezione, riservatezza e sicurezza delle informazioni senza condividerle con il datore di lavoro.
Il medico competente è quel professionista sanitario che, in possesso dei titoli e dei requisiti professionali richiesti dall’art. 38 del D. Lgs. 81/2008, collabora con il datore di lavoro nella valutazione dei rischi ed effettua la sorveglianza sanitaria finalizzata alla tutela della salute e della sicurezza dei lavoratori.
Nello svolgimento delle predette attività, il medico viene quindi a conoscenza di un’elevata mole di dati personali, anche di natura particolare, dei lavoratori che, in quanto tali, devono essere trattati nel massimo rispetto della normativa in materia di protezione dei dati personali vigente e con tutte le dovute cautele ivi previste.
Simona Custer
A&A – Albè & Associati Studio Legale
Luca Giacomuzzo
A&A – Albè e Associati Studio Legale
13 giugno 2025 | Fonte: www.cybersecurity360.it
AGCM, Poste Italiane sanzionata per scorretta gestione delle app: tutti i problemi privacy
Sanzionata Poste Italiane per pratica commerciale scorretta consistita nella mala gestio delle app BancoPosta e PostePay. Così l’AGCM infligge a Poste una multa da 4 milioni di euro perché, di fatto, obbligava i clienti a dare il consenso al trattamento dati per (poter) usare le app bancarie. Per usare una delle App di Poste Italiane, Bancoposta o Postepay, bisognava consentire l’accesso ai propri dati personali. Così l’Autorità Garante della Concorrenza e del Mercato (AGCM) nello scovare questo meccanismo, è arrivata ad infliggere una pesante sanzione di 4 milioni di euro. Vediamo quali sono state le principali implicazioni, con focus sulla privacy.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
16 giugno 2025 | Fonte: www.cybersecurity360.it
Decreto sicurezza: le assenze in ambito cyber
Il Decreto sicurezza, appena convertito in legge, introduce 14 nuovi reati. Tra i punti chiave, il potenziamento dei poteri dei servizi segreti. Ecco perché è problematica la lacuna di misure concrete sulla sicurezza in ambito cyber. Lo scorso 9 giugno, è stato convertito in legge il decreto-legge 11 aprile 2025, n. 48, recante disposizioni urgenti in materia di sicurezza pubblica, di tutela del personale in servizio, nonché di vittime dell’usura e di ordinamento penitenziario.
Tra i punti chiave, il potenziamento dei poteri dei servizi segreti. Evidente l’assenza di misure concrete sulla sicurezza in ambito cyber.
Marco Santarelli
Investigative Analysis Government Entities, Advisory Information Security and Terrorism, Semiotics and Intelligence Professor
17 giugno 2025 | Fonte: www. agendadigitale.ue
Tempi di conservazione dei dati personali: normativa e casi pratici
Il principio di accountability nel GDPR obbliga i titolari a dimostrare il rispetto dei tempi di conservazione dati. La limitazione temporale protegge gli interessati e riduce i rischi di data breach attraverso misure organizzative adeguate.
Una delle principali novità introdotte dal Regolamento 2016/679 o GDPR è il principio di “responsabilizzazione” (cosiddetto “accountability” art. 24 GDPR), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di dimostrare il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR).
Ada Fiaschi
Responsabile delle Protezione dei dati & Privacy Specialist
17 giugno 2025 | Fonte: www. www.italiaoggi.it
ChatGpt: ecco perché la decisione di un giudice americano può mettere in pericolo la privacy degli europei
OpenAi deve conservare a tempo indeterminato le chat di tutti gli utenti del mondo, anche quelle eliminate, per ordine di un giudice americano. Una decisione che viola il Gdpr europeo? Facciamo un passo indietro e capiamo come siamo arrivati a questo punto.
Il tutto è partito a fine 2023 quando il New York Times fece causa a OpenAi per violazione del copyright, sostenendo che l’azienda stesse usando, in modo illegale, gli articoli del giornale per addestrare i vari strumenti di intelligenza artificiale come ChatGpt. A inizio 2025 il giudice, Sindney Stein, dopo aver letto i vari incartamenti presentati dalle parti coinvolte, respinse solo in parte la richiesta di archiviazione, ritenendo fondati gli esempi in cui il chatbot riproduceva contenuti che risultavano essere protetti dal copyright. E arriviamo alla decisione dei giorni scorsi.
17 giugno 2025 | Fonte: www.cybersecurity360.it
Privacy e sostenibilità: la protezione dei dati non si sospende per mancanza di budget
Un provvedimento del Garante Privacy ha ribadito che l’inerzia operativa non può essere mascherata da mancanza di risorse. Ecco la portata strategica della decisione e le indicazioni operative per enti pubblici e organizzazioni. Un recente provvedimento del Garante per la protezione dei dati personali ha ribadito un principio cardine del GDPR: le misure tecniche e organizzative per la sicurezza dei dati devono essere sempre adottate, anche quando le risorse economiche sono limitate. Questo articolo analizza il contenuto della decisione, ne evidenzia la portata strategica e propone indicazioni operative per enti pubblici e organizzazioni che si trovano a bilanciare tutela dei diritti fondamentali e vincoli di bilancio.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
18 giugno 2025 | Fonte: www.federprivacy.org
Se c’è un fondato sospetto, non violano la privacy le video riprese effettuate per documentare il comportamento disonesto del lavoratore
Con la sentenza n. 79 del 6 maggio 2025, la Corte di Appello di L’Aquila, Sezione Lavoro, si è pronunciata in materia di licenziamento disciplinare e utilizzabilità delle prove audiovisive acquisite da soggetti terzi. Il procedimento riguardava un lavoratore impiegato come presidiante presso un centro di selezione rifiuti.
Una società investigativa privata incaricata da una società appaltante aveva effettuato video riprese nell’impianto, documentando modifiche non autorizzate ai risultati delle operazioni di pesatura dei rifiuti, in cui il lavoratore veniva ritenuto coinvolto per non aver segnalato tali irregolarità, contribuendo inoltre al riversamento nel sistema informatico di dati non conformi.
La Corte territoriale aveva ritenuto ammissibili le riprese del lavoratore realizzate da un soggetto terzo come prova documentale in giudizio. Tali controlli non sono stati considerati un controllo a distanza disciplinato dall’art. 4 dello Statuto dei Lavoratori, ma strumenti di tutela del patrimonio aziendale legittimamente utilizzabili. La pronuncia richiama la giurisprudenza della Corte di Cassazione (sentenze n. 25732/2021 e n. 27732/2021) in materia di controlli difensivi basati su fondato sospetto di illecito.
18 giugno 2025 | Fonte: www.agendadigitale.ue
GDPR e NIS2: la formazione chiave per una cyber sicurezza efficace
GDPR e Direttiva NIS2 convergono sull’importanza della formazione del personale. Gli enti devono implementare percorsi formativi integrati che coprano privacy, sicurezza informatica e gestione incidenti per garantire continuità operativa. Nell’era digitale, la sicurezza delle informazioni e la protezione dei dati personali costituiscono priorità fondamentali per le singole organizzazioni e per l’intero sistema, sia a livello nazionale e sia di Unione Europea.
Stefano Saglimbeni
Avvocato
18 giugno 2025 | Fonte: www.federprivacy.org
Gli italiani si preoccupano della privacy, ma sottovalutano i rischi oltre lo smartphone
In un mondo sempre più permeato dalla tecnologia e dall’Intelligenza Artificiale, una nuova ricerca condotta a livello europeo da Samsung rivela che in Italia quasi 9 persone su 10 (90%) esprimono preoccupazione per la propria privacy in relazione a queste innovazioni, con il 45% che si dichiara addirittura molto preoccupato.
Tuttavia la maggior parte dei consumatori si preoccupa della sicurezza del proprio smartphone, nonostante altri dispositivi smart in casa raccolgano dati personali e siano potenzialmente altrettanto vulnerabili alle minacce. La ricerca di Samsung, condotta su oltre 8.000 rispondenti tra Millennial e Gen Z in tutta Europa, evidenzia che più di un terzo (36%) dei giovani europei non pensa mai alla sicurezza dei propri elettrodomestici smart. Al contrario, 1 persona su 2 (49%) riflette quotidianamente sulla privacy del proprio smartphone, un dato significativo se si considera l’elevata connettività dei dispositivi smart e la previsione che entro il 2028 le case intelligenti in Europa supereranno i 100 milioni.
19 giugno 2025 | Fonte: www.garanteprivacy.it
IA e cultura europea. Il Giurista: dati e diritti da difendere
Intervista a Guido Scorza, componente del Garante per la protezione dei dati personali
(di Damiano D’Agostino, Il Messaggero, 19 giugno 2025)
Ciò che dicono le big tech sulla prossima sparizione della cultura europea dai modelli di intelligenza artificiale è un’affermazione «potenzialmente vera». A dirlo è il giurista Guido Scorza, componente del collegio del Garante della privacy. «Bisogna però capire se al fine di garantire questa continuità culturale serva raccogliere dati indiscriminatamente», dice l’avvocato. «O si può immaginare – sottolinea l’esperto, membro del collegio dell’Autorità – di costruire la tecnologia in maniera tale da scongiurare il pericolo di egemonie culturali algoritmiche, rispettando soprattutto i diritti».
Scorza, quindi ritiene che ci sia un fondo di verità in tutta questa storia legata allo sviluppo dell’intelligenza artificiale?
«Quella “profezia” l’ho sentita ripetere con una certa frequenza dalle grandi aziende, non vorrei che ci trovassimo davanti a una sorta di ricatto tecnologico».
In che senso?
«Personalmente non ho niente in contrario che dentro la pancia di un modello di IA ci siano anche modi di dire europei. Mi preoccupo se insieme a quei modi di dire ci finiscono dati sensibili di persone che vivono in Europa. Sembra che stiano dicendo: “Se vuoi che ci sia anche la cultura europea allora lasciaci fare senza freni”».
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10142464
20 giugno 2025 | Fonte: www.agendadigitale.ue
Riconoscimento facciale con l’IA: discipline Ue e Usa a confronto
La disciplina europea dei dati biometrici nell’intelligenza artificiale si distingue per un approccio basato sul rischio e controlli stringenti, contrastando con il modello statunitense caratterizzato da frammentazione normativa e minori garanzie. Il trattamento dei dati biometrici nell’ambito della sicurezza pubblica, disciplinato dal recente Regolamento IA (UE) 2024/1689, affronta una sfida normativa complessa in Europa. La legislazione europea si differenzia significativamente da quella degli Stati Uniti, dove manca un quadro normativo federale chiaro, creando un contrasto nelle modalità di utilizzo di queste tecnologie.
Paola Perin
Studio GGM Avvocati – Avvocato e Organismo di Vigilanza, esperta in protezione e trattamento dei dati personali, compliance e tutela dei lavoratori
21 giugno 2025 | Fonte: www.garanteprivacy.it
L’informazione ai tempi dei chatbot è una sfida epocale per editori e lettori
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(Milano Finanza, 21 giugno 2025)
Motori di ricerca e social network hanno ormai da tempo sostituito gli editori di giornali nel ruolo di intermediari tra i fatti e i lettori e imposto a questi ultimi di accettare di vedere i loro contenuti tecno-intermediati. Leggiamo quello che Google e i suoi concorrenti ci propongono nelle prime pagine dei risultati di una ricerca o quello che Facebook, X, Instagram o TikTok inseriscono nelle nostre streamline. Tutto il resto, un universo sterminato di contenuti, pure preziosi, di qualità e talvolta capaci di soddisfare meglio taluni nostri appetiti informativi, è come se non esistesse. C’è ma non si vede, si potrebbe dire con una battuta.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10143924
23 giugno 2025 | Fonte: www.cybersecurity360.it
La dipendenza europea dalle piattaforme digitali USA è vulnerabilità geopolitica
A metà febbraio Microsoft ha disattivato l’account di posta istituzionale del procuratore capo della Corte penale internazionale, Karim Ahmad Khan, privando la Cpi di un canale di comunicazione critico. Ecco cosa implica la dipendenza europea dalle piattaforme digitali USA, se espone l’Europa a una vulnerabilità geopolitica.
Nei primi mesi del 2025, si è verificato un episodio che illustra con chiarezza come la dipendenza europea dalle piattaforme digitali statunitensi possa trasformarsi in vulnerabilità geopolitica. Ecco cos’è successo e cosa implica l’accaduto per la sovranità digitale europea.
Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
Tommaso Diddi
Analista Hermes Bay
23 giugno 2025 | Fonte: www.federprivacy.org
Il rispetto delle norme sulla privacy vale anche per i sistemi di accesso ai varchi della ZTL che rilevano le targhe delle auto
La gestione automatizzata dei varchi di accesso alle zone a traffico limitato deve oggi confrontarsi con un principio imprescindibile: il rispetto della privacy, che si traduce in obblighi di chiarezza e trasparenza verso i cittadini. Cartelli informativi ben visibili ai varchi e informative puntuali, pubblicate in rete, non sono più un optional, ma il segno concreto di un trattamento corretto dei dati personali. Lo ha ribadito il Garante per la protezione dei dati personali con il provvedimento n. 168 del 27 marzo 2025, infliggendo una sanzione al Nuovo Circondario Imolese per carenze proprio su questo fronte. Il caso riguardava il sistema che registra le targhe dei veicoli diretti alla ZTL di Imola, gestito dall’Unione dei Comuni del territorio. Per oltre un anno i cartelli ai varchi indicavano erroneamente il Comune come titolare del trattamento, mentre sul sito istituzionale mancava l’informativa completa prevista dall’articolo 13 del GDPR. Il Garante non ha messo in discussione la liceità del sistema in sé – limitato alla mera rilevazione delle targhe – ma ha rilevato la violazione degli articoli 5, 12 e 13 del Regolamento europeo, sottolineando l’assenza di trasparenza e la scorretta individuazione del titolare.
24 giugno 2025 | Fonte: www.cybersecurity360.it
Privacy e accessibilità: due pilastri per la libertà individuale nella società digitale
Il Decreto legislativo 82/2022 che ha recepito l’European Accessibility Act segna un punto di svolta nell’integrazione dei diritti digitali, poiché impone l’accessibilità come condizione strutturale per l’offerta di prodotti e servizi. C’è un momento in cui le norme non si limitano a regolamentare ma cambiano la cultura: il Decreto Legislativo 82/2022, che ha recepito la Direttiva (UE) 2019/882, nota anche come European Accessibility Act (EAA), entrerà in vigore il 28 giugno 2025 e porterà con sé una trasformazione culturale.
L’accessibilità non sarà più un’opzione, ma un dovere giuridico, sociale e progettuale. Ma ciò che colpisce di più è la profonda affinità con i principi fondativi del GDPR. Entrambe le normative mirano alla stessa meta e cioè garantire dignità, autonomia e autodeterminazione. Ecco un’analisi integrata e operativa sui punti di contatto tra i due framework, con l’obiettivo di aiutare chi progetta, valuta, gestisce e decide a cogliere un’opportunità unica: rendere i diritti digitali non solo esigibili, ma concretamente fruibili da tutti.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
25 giugno 2025 | Fonte: www.federprivacy.org
Sanzionato dal Garante Privacy un istituto scolastico che richiedeva l’uso delle impronte digitali al personale amministrativo
L’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori. Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito. È quanto ha ribadito il Garante privacy che, a seguito di un reclamo, ha sanzionato un Istituto di istruzione superiore di Tropea per 4mila euro per aver impiegato un sistema di riconoscimento biometrico che, allo scopo di rilevarne la presenza e di prevenire danneggiamenti e atti vandalici, richiedeva l’uso delle impronte digitali del personale amministrativo. I lavoratori coinvolti erano quelli che avevano rilasciato il proprio consenso e che non intendevano ricorrere a modalità tradizionali di attestazione della propria presenza in servizio.
25 giugno 2025 | Fonte: www.agendadigitale.ue
Politiche pubbliche data driven: GDPR e sfide privacy nella PA
Nonostante i vantaggi, l’implementazione di politiche data driven affronta sfide giuridiche. La complessità normativa e la gestione dei dati sensibili richiedono un approccio attento e conforme al GDPR e al codice privacy. IBig Data sono una risorsa utilissima per il management delle politiche pubbliche. Nuove soluzioni tecnologiche che combinano data analytics, data mining e data visualization possono facilitare la programmazione delle scelte di governo, il monitoraggio sulla loro attuazione, la valutazione dei loro esiti, garantendo che il processo decisionale sia sostenuto da evidenze empiriche. Le Pubbliche Amministrazioni (specialmente i grandi enti territoriali) guardano con attenzione all’uso dei Big Data e dell’intelligenza artificiale per analisi su larga scala nei singoli comparti e per l’interrelazione tra i sistemi dei diversi comparti.
Diego Fulco
Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati
25 giugno 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER 25 giugno 2025
- Il Garante privacy sanziona Autostrade spa per 420mila euro
- Lavoro: no alle impronte digitali per la rilevazione presenze
- Marketing: il Garante sanziona per 45mila euro una società di rivendita auto online
- G7 Privacy: azioni comuni per un ambiente digitale più sicuro
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10144357
25 giugno 2025 | Fonte: www.federprivacy.org
Concluso a Ottawa il G7 Privacy: azioni comuni per un ambiente digitale più sicuro
Promuovere la fiducia nell’economia digitale e sostenere l’innovazione nel rispetto della privacy e della protezione dei dati personali. È questo l’impegno condiviso dalle Autorità di protezione dei dati personali con la Dichiarazione approvata a conclusione del G7 Privacy che si è svolto in Canada il 17, 18, 19 e 20 giugno. Secondo i Garanti le azioni comuni intraprese contribuiranno a creare un ambiente digitale più sicuro per il futuro. Il trattamento dei dati dovrebbe essere progettato per servire l’umanità, per questo le Autorità incoraggiano sviluppatori e innovatori a riflettere sui contenuti della dichiarazione approvata a Ottawa. Inoltre, dando seguito al Piano d’azione adottato al G7 di Roma nel 2024, le Autorità invitano a promuovere un’innovazione responsabile e a proteggere i minori, dando priorità alla privacy. “I bambini vogliono e hanno il diritto di essere cittadini digitali attivi – sostiene la dichiarazione – e meritano una protezione forte e adeguata, che tenga conto dei loro interessi e permetta loro di partecipare pienamente al mondo digitale”.
25 giugno 2025 | Fonte: www.cybersecurity360.it
Metadati di e-mail e internet: regole operative sui tempi di conservazione
Il nuovo intervento del Garante Privacy su prassi diffuse ma problematiche delinea un quadro complesso. Nel provvedimento sanzionatorio nei confronti della Regione Lombardia si censura la gestione dei metadati delle e-mail e dei log di navigazione da parte dell’ente. Il Garante per la protezione dei dati personali è intervenuto nuovamente sul delicato tema della conservazione dei log informatici generati dalle attività dei dipendenti. Questa volta ha emanato un provvedimento sanzionatorio nei confronti della Regione Lombardia, adottato lo scorso 29 aprile 2025 [10134221], in cui si censura la gestione dei metadati email e dei log di navigazione da parte dell’ente. Il caso riaccende così i riflettori su prassi tanto diffuse quanto problematiche.
Riccardo Berti
Avvocato e DPO in Verona
26 giugno 2025 | Fonte: www.federprivacy.org
Condannati 5 informatici che avevano ottenuto e messo in vendita l’accesso a migliaia di telecamere di videosorveglianza private
Cinque esperti informatici, tra cui alcuni installatori di sistemi di videosorveglianza e domotica, sono stati condannati per aver ottenuto e poi messo in vendita l’accesso ai video delle telecamere di videosorveglianza che trasmettevano scene di vita privata di migliaia di ignare persone, installate all’interno di case o esercizi commerciali. Grazie alle loro competenze, gli imputati accedevano abusivamente alle videocamere di sorveglianza deviando i flussi video su server esterni per poi rivendere le credenziali di accesso su chat private e forum, seguendo il fenomeno generale stimato di recente con 40.000 telecamere “esposte” su Internet in cui la rete viene scandagliata da programmi informatici che catturano le credenziali di accesso non cambiate o non aggiornate dagli utenti (o addirittura lasciate identiche alle impostazioni di default), oppure che riescono a “forzare” password troppo semplici.
27 giugno 2025 | Fonte: www.agendadigitale.ue
Privacy dei dipendenti comunali, come evitare sanzioni: le regole
La pubblicazione dei nominativi dei dipendenti pubblici è regolata da leggi e atti amministrativi. Senza una base giuridica, la diffusione dei dati è illecita. Il Comune deve agire con trasparenza, rispettando la privacy. Molti sono convinti che i nominativi dei dipendenti pubblici possano essere pubblicati e utilizzati senza problemi per finalità di trasparenza. In realtà non è così. Ecco come gestire i dati anagrafici del personale comunale senza violare la loro privacy.
Enrico Capirone
DPO e Presidente di iSimply
Lucia Gamalero
Privacy Specialist di iSimply
27 giugno 2025 | Fonte: www.garanteprivacy.it
Chi vigila sull’IA? Le Autorità privacy tra controllo e innovazione
Le Autorità di protezione dei dati personali svolgono un ruolo cruciale nel controllo dell’uso dell’IA, garantendo che le innovazioni rispettino i diritti fondamentali e agendo anche contro attori economici e politici potenti
Intervento di Ginevra Cerrina Feroni, Vice presidente del Garante per la protezione dei dati personali
Discutere del ruolo delle Autorità di Protezione dei Dati nella governance dell’IA non è una questione banale. E non solo perché l’argomento è troppo tecnico, ma perché è troppo vasto. L’IA è una trasformazione generale che attraversa regimi giuridici, settori economici, pratiche sociali e, soprattutto, sta ridefinendo il potere: come viene esercitato, da chi, in base a quale investitura. Sfida la nostra comprensione dei diritti, delle libertà, del lavoro e dei mercati. Accelera il processo decisionale, ma rischia anche di marginalizzare il controllo democratico. Promette efficienza, ma solleva nuove domande su equità e responsabilità. Non è solo una tecnologia, è una nuova interfaccia tra istituzioni e individui.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10146185
27 giugno 2025 | Fonte: www.cybersecurity360.it
Kill switch, la vera arma con cui Trump minaccia la sovranità digitale europea
Ottemperando a un ordine di Trump, Microsoft ha sospeso l’account email istituzionale del procuratore capo della Corte penale internazionale, Karim Kha, interrompendo il flusso di comunicazioni ufficiali di uno dei massimi rappresentanti della giustizia penale internazionale. Quando un semplice indirizzo email diventa il teatro invisibile di una contesa geopolitica, è lecito interrogarsi su quanto la sovranità giuridica e politica degli Stati – o delle istituzioni internazionali – possa dirsi realmente tutelata, soprattutto in un’epoca in cui le infrastrutture digitali non appartengono più al dominio pubblico, ma sono concentrate nelle mani di pochi attori privati, per lo più radicati in un solo ordinamento nazionale: quello degli Stati Uniti d’America. Ecco cosa significa il caso Microsoft-Icc e quale impatto ha sulla fragile autonomia europea.
Federica Giaquinta
Consigliere direttivo di Internet Society Italia
28 giugno 2025 | Fonte: www.garanteprivacy.it
Telemarketing selvaggio e truffe telefoniche, Scorza (Privacy): “Il nodo? I call center illegali”
Intervista a Guido Scorza, Componente del Garante per la protezione dei dati personali
(di Rita Bartolomei, Quotidiano Nazionale, 28 giugno 2025)
Il peso sempre crescente dell’Intelligenza artificiale. “Un chatbot vocale, soprattutto in Italia, costa sicuramente meno di un dipendente, pur non trattato benissimo”. Cosa potrà cambiare con la delibera Agcom.
Guido Scorza, avvocato, componente del Garante privacy. La delibera dell’Agcom risolverà il problema del telemarketing selvaggio legato allo spoofing?
Un sospiro, al telefono. “Fatta la legge, trovato l’inganno. Questo si dice da ben prima che fossimo investiti dalla rivoluzione tecnologica. E questo vale evidentemente ancora di più, oggi. Non credo, per essere obiettivo, che questa delibera risolva il problema dello spoofing e neppure quello del telemarketing. Altrimenti creiamo di nuovo una falsa aspettativa”.
https://www.garnteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10146474
30 giugno 2025 | Fonte: www.clusit.it
Newsletter 30/06/2025
- Security Summit
- Prossimi appuntamenti
- Pubblicazioni – Articoli – Video
- Notizie e segnalazioni dai Soci
https://clusit.it/blog/newsletter-30-06-2025/
30 giugno 2025 | Fonte: www.agendadigitale.ue
Come l’AI supporta la gestione documentale della PA: le applicazioni
L’AI ha un ruolo fondamentale nel favorire l’efficienza della gestione documentale nella PA, per esempio nei settori della Giustizia, della Sanità e anche per le attività di procurement: ecco la situazione. L’intelligenza artificiale ha oggi un ruolo particolarmente rilevante per la PA italiana perché consente di affrontare sfide strutturali che fino a poco tempo fa sembravano irrisolvibili: la gestione massiva di documenti e dati non strutturati, l’efficientamento delle attività interne, la trasparenza amministrativa e, soprattutto, l’erogazione di servizi realmente centrati sui bisogni del cittadino.
Mario Noioso
Advisory Solutions Architect, MongoDB
Altre news
Rifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”
arrow_forwardGDPR: rassegna stampa N° 8/2025 agosto
arrow_forwardTRIBUTI: rassegna stampa N° 9/2025 agosto
arrow_forwardBuone pratiche di cybersecurity di base per i dipendenti della PA
arrow_forwardTRIBUTI: rassegna stampa N° 8/2025 luglio
arrow_forward