GDPR: rassegna stampa N° 8 / 2025
Rassegna stampa mensile
Privacy e Protezione dei dati personali
- Disponibile anche in Podcast su Spotify
(cerca: privacy iSimply) o clicca QUI
- Disponibile anche in Video su YouTube
(cerca: privacy iSimply) o clicca QUI
Un agosto di privacy tra nuove regole, vecchie insidie e scelte decisive
Cari custodi della privacy,
ad agosto la cronaca ha messo al centro incidenti e minacce concrete: dalla sanzione del Garante a Poste Vita per un data breach e comunicazione tardiva, che richiama tutti a misure tecniche/organizzative adeguate e a una gestione tempestiva degli incidenti, alle verifiche avviate su furti di documenti d’identità negli hotel e all’attacco al CRM Salesforce di Google che conferma la vulnerabilità anche dei big tech. Quadro cui si aggiungono l’aumento dei reati informatici contro le imprese e i dubbi sull’uso “rafforzato” delle telecamere comunali per il contrasto all’abbandono dei rifiuti.
Sul piano regolatorio e dei controlli, emergono messaggi chiari: il richiamo del Garante a Confcommercio contro gli abusi della videosorveglianza nei negozi; la sanzione per i questionari post-malattia in ambito HR; le indicazioni su metadati e-mail (21 giorni come linea di demarcazione tra esigenze tecniche e controllo del lavoratore); l’attenzione ai cookie banner non conformi; e la necessità di una comunicazione dei data breach chiara e senza ingiustificato ritardo, soprattutto nella sanità.
La giurisprudenza ribadisce limiti sostanziali: il TAR Lazio afferma che la PA non può “inventarsi” basi giuridiche per trattamenti invasivi (caso foglio di servizio NCC), mentre la Cassazione censura i controlli investigativi troppo intrusivi sui dipendenti in malattia, per difetto di proporzionalità e presupposti.
Nel quadro europeo, proseguono gli assestamenti: l’ACN pubblica misure per la NIS2 e Bruxelles presenta ProtectEU come nuovo paradigma della sicurezza digitale; sul fronte istituzionale, resta lo stallo nella nomina del nuovo Garante europeo, tema che riporta al centro l’indipendenza dell’autorità.
Infine, i riflessi sulla vita quotidiana: scuole chiamate a prevenire errori umani nella gestione dei dati dei minori; nuove misure AGCOM anti-spoofing contro il telemarketing, utili ma non risolutive; e un dibattito pubblico acceso tra regole e innovazione, che chiede trasparenza, chiarezza e responsabilità, non solo adempimenti formali.
Agosto ci consegna un messaggio netto: la privacy non è un freno, ma la condizione per innovare in modo sostenibile. La fiducia nasce quando regole, pratiche e tecnologie si tengono insieme — con coerenza, proporzionalità e chiarezza.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
RASSEGNA STAMPA
1° agosto 2025 | Fonte: www.federprivacy.org
Data breach, il Garante della Privacy sanziona Poste Vita
Il Garante privacy ha sanzionato per 80mila euro Poste Vita, la società di investimenti e assicurazioni di Poste Italiane per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati di una cliente. Tardiva anche la comunicazione del data breach all’Autorità, che doveva essere notificato ai sensi del Regolamento europeo, entro 72 ore dall’appresa conoscenza della violazione. Il procedimento ha preso avvio dal reclamo di una cliente di Poste Vita che lamentava la comunicazione illecita di dati personali a un soggetto terzo non autorizzato che li aveva poi utilizzati nell’ambito di un procedimento giudiziario. I dati si riferivano a tre polizze vita di cui la reclamante era titolare. Nel corso dell’istruttoria, Il Garante ha accertato che il data breach era avvenuto a causa di una serie di errori commessi dagli operatori della compagnia, che avevano risposto ad alcune richieste di informazioni riguardanti le polizze dell’interessata senza aver preventivamente verificato l’effettiva corrispondenza tra l’indirizzo di posta elettronica da cui pervenivano e i recapiti rilasciati dalla cliente.
1° agosto 2025 | Fonte: www.cybersecurity360.it
Referti medici e AI: è allarme privacy, tra rischi di diagnosi errate e uso improprio dei dati sanitari
Il Garante privacy lancia l’allarme sull’uso sempre più frequente dell’AI generativa per interpretare referti medici: molti gli interrogativi in termini di privacy, sicurezza e affidabilità anche alla luce della crescente fiducia riposta in strumenti digitali ancora lontani dagli standard dei dispositivi medici regolamentati. Il Garante per la protezione dei dati personali continua a svolgere un ruolo centrale nella definizione degli equilibri tra innovazione e diritti, anche su un terreno – quello dell’intelligenza artificiale – in cui formalmente non è stato riconosciuto come autorità competente: questa volta lo fa intervenendo per lanciare l’allarme privacy sull’uso sempre più diffuso dell’AI generativa per interpretare referti medici. Com’è noto, il disegno di legge governativo ha affidato la supervisione nazionale sull’IA ad AgID e ACN. Una scelta discutibile, considerato che queste Agenzie non possiedono i requisiti di autonomia e indipendenza richiesti dal regolamento europeo AI Act.
1° agosto 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER N. 537 del 1° agosto 2025
– Videosorveglianza, il Garante privacy scrive a Confcommercio: attenzione agli abusi
– Data breach, il Garante sanziona Poste Vita per 80mila euro
– Lavoro, il Garante privacy sanziona un’azienda per questionari post-malattia
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10153922
1° agosto 2025 | Fonte: www.federprivacy.org
Il Garante della privacy scrive a Confcommercio: attenzione agli abusi della videosorveglianza nei negozi
Il Garante per la protezione dei dati personali ha inviato una lettera al presidente di Confcommercio-Imprese per l’Italia, Carlo Sangalli, per segnalare l’uso improprio, sempre più diffuso, dei sistemi di videosorveglianza nei negozi e sollecitare interventi concreti per prevenirne gli abusi, tutelare la privacy e avviare forme di collaborazione efficaci contro il fenomeno. L’intervento del Garante fa seguito alle numerose segnalazioni emerse dai controlli effettuati da Forze dell’ordine, Nucleo tutela privacy della Guardia di Finanza e Polizia locale, che hanno portato a sanzioni, anche di migliaia di euro, nei confronti di esercizi commerciali che utilizzavano sistemi di videosorveglianza non conformi alla normativa privacy. Le violazioni più frequenti hanno riguardato l’assenza di cartelli informativi, l’uso di telecamere puntate su aree pubbliche o proprietà altrui, in alcuni casi registrazioni audio non autorizzate e conservazione delle immagini oltre i limiti di tempo consentiti. Più gravi i casi in cui le telecamere venivano usate addirittura per controllare i dipendenti, senza rispettare le garanzie previste dallo Statuto dei lavoratori.
1° agosto 2025 | Fonte: www.agendadigitale.ue
Privacy a scuola, come tutelare i dati dei minori: le azioni concrete
Le scuole devono rafforzare le misure per garantire la protezione dei dati dei minori, a partire dalla formazione del personale e dalla gestione corretta dei documenti digitali.
a maggior parte delle violazioni privacy è causata da un errore umano, compiuto per semplice distrazione o per scarsa competenza, da un dipendente. Ciò avviene anche nelle scuole.
L’Autorità Garante per la Protezione dei Dati Personali ha infatti recentemente ammonito un istituto scolastico per una leggerezza commessa da un docente che ha condiviso un documento riservato di uno studente con il gruppo classe, esponendo dei dati sensibili.
Il tutto è nato da un errore ma le conseguenze sono state pesanti e hanno comportato la pubblicazione, seppur per un tempo breve, del Piano Educativo Individualizzato (PEI) sul registro elettronico, visibile all’intera classe.
4 agosto 2025 | Fonte: www.federprivacy.org
Attacchi cyber alle ASL: come gestire correttamente la comunicazione del data breach ai pazienti
Gli attacchi informatici al sistema sanitario nazionale rappresentano una delle minacce più concrete e pericolose per la protezione dei dati personali in Italia. I recenti provvedimenti del Garante Privacy nei confronti di diverse ASL vittime di cyber attacchi offrono importanti spunti operativi per comprendere come gestire correttamente la comunicazione di una violazione dei dati agli interessati, evidenziando gli errori da evitare e le best practice da seguire. L’articolo 34 del GDPR impone al titolare del trattamento di comunicare la violazione dei dati personali agli interessati quando sussiste un rischio elevato per i diritti e le libertà delle persone fisiche. Nel settore sanitario, dove vengono trattate categorie particolari di dati come quelli relativi alla salute, questo obbligo assume una rilevanza ancora maggiore. La natura sensibile delle informazioni sanitarie rende infatti qualsiasi violazione potenzialmente molto dannosa per gli interessati, non solo dal punto di vista patrimoniale ma anche sotto il profilo della dignità personale e della riservatezza. Il Garante ha chiarito nei suoi recenti provvedimenti che la comunicazione deve essere effettuata “senza ingiustificato ritardo” e deve contenere informazioni chiare e precise sulla natura della violazione, le categorie di dati coinvolti, le probabili conseguenze e le misure adottate o che si intendono adottare per porre rimedio alla violazione. La trasparenza e la tempestività diventano quindi elementi essenziali per una corretta gestione del data breach.
4 agosto 2025 | Fonte: www.cybersecurity360.it
Videosorveglianza nei negozi, il Garante privacy richiama Confcommercio: cosa impariamo Troppi i negozi che usano telecamere invasive e senza garanzie: per questo, il Garante privacy ha richiamato Confcommercio sollecitando interventi concreti per prevenirne gli abusi e tutelare la privacy. Ma attenzione anche ai nuovi protocolli del Ministero dell’interno e alle richieste delle forze di polizia. Il Garante per la protezione dei dati personali ha inviato un formale richiamo a Confcommercio, sollecitando un intervento deciso sul dilagare di sistemi di videosorveglianza irregolari all’interno degli esercizi commerciali. L’Autorità, con il comunicato diffuso con la newsletter n. 537 del primo agosto 2025, ha ribadito come telecamere installate senza cartelli, con microfoni attivi, puntate verso le strade pubbliche o proprietà altrui o addirittura utilizzate per monitorare i dipendenti, rappresentino una violazione non solo della normativa privacy ma anche delle garanzie previste dallo Statuto dei lavoratori.
4 agosto 2025 | Fonte: www.agendadigitale.ue
PA, l’AI non può essere alibi per negare i diritti di trasparenza
L’automazione dell’attività amministrativa è ancora utilizzata come pretesto per ostacolare l’esercizio di diritti, quale quello all’accesso agli atti. Ma l’inconoscibilità dell’AI non può essere un pretesto per negare i diritti. L’ha riconosciuto ora il Consiglio di Stato, ma è chiaro nell’AI Act e Gdpr. E sarà un campo di battaglia importante per il futuro. L’uso di sistemi di intelligenza artificiale nella PA rientra nel più ampio processo di digitalizzazione delle procedure amministrative, orientato a semplificare i rapporti tra uffici pubblici e cittadini. Eppure, accade ancora oggi, che l’automazione dell’attività amministrativa sia utilizzata come espediente per ostacolare l’esercizio di diritti riconosciuti ai cittadini, quale quello all’accesso agli atti amministrativi, che rappresenta un’articolazione fondamentale del principio di trasparenza.
5 agosto 2025 | Fonte: www.federprivacy.org
Accesso civico e tutela dei dati personali: un equilibrio da ricercare nel contesto
Con il provvedimento n. 352 del 12 giugno 2025, l’Autorità Garante per la protezione dei dati personali interviene nuovamente sul tema dell’accesso civico generalizzato ai dati personali, affrontando un caso che mette in evidenza la necessità di bilanciare correttamente la trasparenza amministrativa con la tutela della riservatezza. La vicenda trae origine da una richiesta di accesso civico ai sensi dell’art. 5, comma 2, del d.lgs. 33/2013, presentata da un giornalista nei confronti di un Ateneo, volta a ottenere copia del certificato di laurea di un soggetto identificato, con l’intento di verificarne la corrispondenza rispetto al titolo presentato nell’ambito di un concorso. La richiesta si inserisce in un contesto già oggetto di attenzione mediatica e oggetto di segnalazioni all’autorità giudiziaria, con indagini in corso da parte della Procura della Repubblica. L’Università ha rigettato l’istanza richiamando le limitazioni previste dall’art. 5-bis del decreto trasparenza, in particolare in relazione alla possibile compromissione di indagini e alla tutela della protezione dei dati personali. Il giornalista ha quindi attivato il riesame, chiedendo l’intervento del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) che, a sua volta, ha richiesto il parere del Garante. L’Autorità, pur ribadendo i consolidati principi in materia di accesso civico e protezione dei dati personali – (che aveva già chiarito in provvedimenti quali il n. 278 del 9 maggio 2018 (doc. web n. 9099910), il n. 18 del 18 gennaio 2018 (doc. web n. 7688820), il n. 37 del 4 febbraio 2022 (doc. web n. 9746944), nonché in recenti pronunciamenti come il n. 31 del 23 gennaio 2025 (doc. web n. 10110495) – ha evidenziato alcuni elementi peculiari della fattispecie. In particolare, la circostanza che alcune delle informazioni oggetto della richiesta risultano già rese pubbliche dal soggetto controinteressato, attraverso dichiarazioni spontanee rilasciate alla stampa.
5 agosto 2025 | Fonte: www.cybersecurity360.it
Questionari post-malattia, il Garante sanziona un’azienda automotive
Il Garante per la protezione dei dati personali ha sanzionato un’importante azienda del settore automotive, a seguito di una segnalazione sindacale che ha portato alla luce una gestione non conforme dei dati personali e sanitari dei lavoratori. Il caso solleva importanti questioni su trasparenza, base giuridica e conservazione dei dati in ambito HR. Ecco le principali violazioni del Gdpr e del Codice privacy riscontrate, suddivise per principio. Una prassi aziendale apparentemente improntata al benessere organizzativo ha finito per travalicare i limiti imposti dal Gdpr e dal Codice privacy. Con provvedimento del 25 luglio 2025, il Garante per la protezione dei dati personali ha sanzionato Magna PT S.p.A., società del settore automotive, per illecito trattamento dei dati personali dei lavoratori attraverso questionari compilati al rientro da assenze per malattia, infortunio o ricovero. La sanzione amministrativa è pari a 50mila euro. Ma il provvedimento ha anche disposto il divieto del trattamento e la cancellazione dei dati raccolti.
6 agosto 2025 | Fonte: www.federprivacy.org
Acea vittima di un cyberattacco, gli hacker pubblicano in rete 2,9 Terabyte di dati sensibili Secondo quanto riportato da RansomNews, il gruppo criminale WorldLeaks è tornato alla ribalta rivendicando un attacco ransomware – un attacco informatico finalizzato a criptare e/o esfiltrare i dati della vittima, per poi richiedere un riscatto per poterne ripristinare l’accesso – ad Acea, il gruppo industriale italiano che gestisce servizi idrici, energetici e ambientali a Roma e in cinque regioni italiane. Dopo la rivendicazione, come spesso accade in questa tipologia di cyberattacchi, i criminali hanno richiesto all’azienda una somma di denaro per evitare la pubblicazione dei dati in loro possesso, fissando al 29 luglio la data ultima per il pagamento del riscatto. Un avvertimento che Acea sembra aver ignorato. Proprio qualche ora fa, infatti, il gruppo WorldLeaks ha pubblicato in rete ben 2,9 terabyte di dati esfiltrati alla compagnia, mettendo così in allerta gli esperti di sicurezza. “Nelle scorse settimane Acea è stata oggetto di un attacco cyber su parte dei propri sistemi informativi che non ha interessato i servizi erogati dalla società a cittadini e imprese – fa sapere la compagnia in una nota -. L’azienda ha immediatamente messo in sicurezza i sistemi informatici ed informato le autorità competenti”.
6 agosto 2025 | Fonte: www.federprivacy.org
Microsoft 365 ha sanato le sue falle nella privacy europea e ora è conforme alle norme sulla protezione dei dati per le istituzioni e gli organi dell’UE
A seguito di un procedimento condotto dal Garante europeo della protezione dei dati (EDPS), che l’8 marzo 2024 aveva individuato una serie di violazioni e imposto misure correttive, adesso la Commissione europea ha ratificato la conformità al Regolamento UE 2018/1725 in relazione all’uso di Microsoft 365 esaminato dall’autorità per la privacy dell’UE. Dopo aver ricevuto una relazione di conformità nel dicembre 2024, il Garante dell’UE ha tenuto diverse discussioni con i servizi della Commissione per ottenere i chiarimenti necessari. Su tale base, e in particolare a seguito della lettera della Commissione del 3 luglio 2025 sulle misure supplementari attuate e programmate dalla Commissione e da Microsoft, l’EDPS ha concluso nella sua lettera dell’11 luglio che le violazioni individuate nella sua decisione del 2024 sono state finalmente sanate. Wojciech Wiewiórowski, Garante della privacy dell’UE ha dichiarato: “Grazie alla nostra indagine approfondita e al seguito dato dalla Commissione Europea, abbiamo contribuito congiuntamente a un significativo miglioramento della conformità alla protezione dei dati nell’uso di Microsoft 365 da parte della Commissione.
7 agosto 2025 | Fonte: www.agendadigitale.ue
DPO e sanzioni Gdpr: quello che le aziende non hanno ancora capito
Le sanzioni DPO emesse dal Garante della Privacy continuano a evidenziare una gestione superficiale della figura del Responsabile della protezione dei dati. Un’analisi delle ultime ordinanze mostra come errori banali ma gravi siano ancora all’ordine del giorno. “Non è la prima e non sarà neanche l’ultima” (purtroppo).
È sicuramente un fatto che, dopo oltre 8 anni dall’entrata in vigore del Regolamento UE n. 2016/679 (GDPR), le aziende vengono ancora oggi sanzionate per violazione delle norme sul DPO (Data Protection Officer), conosciuto anche come Responsabile della protezione dei dati personali.
8 agosto 2025 | Fonte: www.garanteprivacy.it
Big tech e regolatori firmino un New deal: le norme strangolano l’innovazione, la tecnologia cancella la privacy
Basta aprire il giornale la mattina, accendere la televisione o la radio o scorrere la streamline dei social network per leggere e sentir parlare di come la regolamentazione – in particolare quella europea, ancora di più quella in materia di privacy – stia strangolando l’innovazione o, al contrario, di come la tecnologia stia travolgendo la regolamentazione o cancellando la privacy. Regole, privacy in testa e innovazione antagonisti, nemici giurati, rivali belligeranti. «In questo momento ci troviamo di fronte alla straordinaria prospettiva di una nuova rivoluzione industriale, alla pari dell’invenzione della macchina a vapore», ha detto il vicepresidente degli Stati Uniti d’America, JD Vance qualche mese fa intervenendo all’AI Summit, organizzato dal presidente francese Macron a Parigi, «ma non si realizzerà mai se l’eccessiva regolamentazione dissuaderà gli innovatori dall’assumersi i rischi necessari per far progredire il progetto», ha aggiunto. E alle parole del vicepresidente americano pronunciate a Parigi, poche settimane dopo, hanno fatto eco quelle arrivate a Washington, alla Casa Bianca, dalla Silicon Valley, dai rappresentanti delle più grandi fabbriche globali degli algoritmi, Sam Altman di OpenAI, in testa, in risposta alla consultazione pubblica lanciata dall’amministrazione Trump proprio in materia di regolamentazione dell’intelligenza artificiale: se la pressione regolamentare, in particolare in materia di copyright e privacy, non si allenta, l’industria americana dell’Ia non potrà competere con quella cinese e il nostro – loro – Paese è destinato alla sconfitta.
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10159078
9 agosto 2025 | Fonte: www.federprivacy.org
Via libera all’uso rafforzato delle telecamere comunali per pizzicare anche chi getta a terra fazzoletti e mozziconi di sigarette
In Gazzetta Ufficiale il DL “Terra dei Fuochi” che potenzia il controllo ambientale e l’abbandono dei rifiuti. Lo smaltimento illegale dei rifiuti non pericolosi di piccolissime dimensioni a piedi o con l’impiego dei veicoli ora potrà essere sanzionato anche ai sensi del codice stradale senza necessità di contestazione immediata. Ma per l’impiego delle fototrappole per il controllo dei veicoli servirà attendere un provvedimento interministeriale ad hoc. Via libera invece all’inasprimento delle sanzioni penali per i comportamenti più gravi con sospensione della patente in arrivo. Ma sul tappeto restano tanti dubbi privacy. Non c’è alcun via libera generalizzato all’impiego amministrativo delle fototrappole comunali nel decreto terra dei fuochi, il Decreto Legge 116/2025 pubblicato sulla Gazzetta Ufficiale n. 183 dell’8 agosto 2025. L’attesa dei sindaci era molto alta per cercare potenziare il contrasto sanzionatorio amministrativo dell’abbandono dei rifiuti con l’impiego dei tradizionali sistemi di videosorveglianza. Ma i rigori penali del testo unico dell’ambiente non sono stati allentati. Si è solo cercato di valorizzare l’impiego dei sistemi di videosorveglianza urbana per le fattispecie più leggere, inasprendo le sanzioni e introducendo ulteriori misure punitive come la sospensione della patente per i casi più gravi.
11 agosto 2025 | Fonte: www.federprivacy.org
Gli hacker violano i sistemi del CRM di Google
Una nuova ondata di attacchi mirati ai sistemi CRM stavolta ha preso di mira Google, con gli hacker che sono riusciti a violare il database Salesforce del colosso di Mountain View rubando dati personali dei clienti. In un post sul blog del 5 agosto, il Google Threat Intelligence Group ha infatti confermato che uno dei suoi sistemi di database Salesforce, utilizzato per archiviare informazioni di contatto e note correlate per piccole e medie imprese, è stato violato da un gruppo di hacker noto come “ShinyHunters”, formalmente designato come UNC6040. “Nemmeno Google è completamente resiliente all’ondata di attacchi di ingegneria sociale che quest’anno hanno preso di mira le grandi aziende” commenta Axios che aggiunge “non è chiaro se Google abbia ricevuto una richiesta di riscatto per i dati rubati.” Secondo Google, il gruppo di criminali informatici è entrato in uno dei suoi sistemi di database Salesforce, che memorizzava informazioni su piccole e medie imprese. Gli hacker hanno avuto accesso al database per “un breve lasso di tempo prima che l’accesso venisse interrotto”, ha aggiunto Google, e sono riusciti a rubare principalmente informazioni “aziendali di base e in gran parte disponibili al pubblico”. “I dati recuperati dall’autore della minaccia erano limitati a informazioni aziendali di base e in gran parte disponibili al pubblico, come nomi di aziende e recapiti”, ha precisato l’azienda.
https://www.federprivacy.org/informazione/societa/gli-hacker-violano-i-sistemi-del-crm-di-google
12 agosto 2025 | Fonte: www.agendadigitale.ue
Oltre la trasparenza: la chiarezza come vantaggio competitivo
La chiarezza nei rapporti è fondamentale per costruire fiducia e ridurre rischi normativi. Un approccio solo formale alla trasparenza non basta più. La chiarezza nei rapporti con gli stakeholder esterni è un fattore critico di successo per le organizzazioni che operano nei moderni mercati e non va limitata al solo rispetto formale delle normative e all’aspetto della trasparenza informativa, bensì deve essere intesa come un elemento strategico per il proprio business. Altrimenti, quel che si rischia è non solo incertezza e sanzioni ma anche sfiducia.
12 agosto 2025 | Fonte: www.cybersecurity360.it
Dal Garante Privacy un codice operativo per gli strumenti di lavoro AI-based
Il Provvedimento n. 243/2025, emanato dal Garante Privacy, a conclusione di un accertamento d’ufficio nei confronti della Regione Lombardia, tocca tre ambiti distinti. Ecco quali e il caso della carenza sistemica nella gestione documentale e relazionale del trattamento in Regione Lombardia. Nel contesto di una crescente digitalizzazione dei processi lavorativi e amministrativi, il Provvedimento n. 243/2025, emanato dal Garante per la protezione dei dati personali, a conclusione di un accertamento d’ufficio nei confronti della Regione Lombardia, rappresenta un passaggio di rilievo per chiunque si occupi di governance dei dati, diritto del lavoro e compliance normativa.
13 agosto 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Furto di dati negli hotel, Garante privacy avvia verifiche
Al Garante per la protezione dei dati personali è pervenuta notizia di violazioni dei sistemi informatici di alcune strutture ricettive italiane che avrebbero provocato la sottrazione di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento, utilizzati dai clienti al momento del check-in. Alcune strutture ricettive hanno immediatamente notificato la violazione della disciplina sulla protezione dei dati personali dei propri clienti. Saranno, quindi, adottate le previste misure di tutela urgente. Alle strutture ricettive che, invece, non avessero ancora provveduto ad alcuna segnalazione, il Garante raccomanda di comunicare, senza indugio, ogni anomalia per attivare immediate iniziative a tutela della riservatezza dei dati e, come prescritto dalla legge, di avvisare di eventuali violazioni i clienti interessati. Si suggerisce, inoltre, a chi sospettasse che i propri documenti possano essere stati illecitamente sottratti, di chiederne conferma alle strutture nelle quali si è soggiornato. Si sollecitano, da ultimo, gli operatori di settore ad avvalersi delle modalità sicure di trattamento dei dati mediante l’utilizzo del portale “Alloggiati web” allocato presso l’infrastruttura informatica della Polizia di Stato.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10158043
15 agosto 2025 | Fonte: www.federprivacy.org
Tracciatori online e responsabilità del Data Protection Officer: tra valutazione d’impatto, profilazione e strategia
Negli ultimi mesi l’impatto normativo sui cookie e tracciatori è cresciuto sensibilmente: in UK, l’ICO ha esteso a mille siti web la review sulla cookie compliance, includendo il controllo sui tracciatori passivi come il fingerprinting e il 19 giugno 2025 con l’approvazione del Data Use and Access Act 2025 ha alzato il livello delle sanzioni per abusi nel direct marketing e uso dei cookie. In Svizzera sono state introdotte linee guida contro i dark patterns nei banner cookie. Negli USA, la CPPA ha imposto la sua prima sanzione per interfacce cookie che negavano scelte agli utenti. Anche il nostro Garante nella sua Relazione 2024 ha confermato che l’attività di verifica in ambito cookie e altri tracciatori “proseguirà anche nel corso del 2025, rappresentando una delle linee di priorità fissate dal Garante nella programmazione dei propri interventi” (a conferma, uno degli ultimi provvedimenti di giugno 2025).
18 agosto 2025 | Fonte: www.federprivacy.org
Nuove misure dell’Agcom per bloccare i call center che usano numeri falsificati, ma il telemarketing selvaggio non si fermerà
A partire dal 19 agosto 2025 entra in funzione il nuovo sistema di filtraggio anti-spoofing imposto da Agcom agli operatori telefonici, ma è meglio non illudersi pensando che le nuove misure possano davvero segnare una svolta per milioni di italiani assillati dalle incessanti telefonate promozionali. Se è pur vero che si tratta di un meccanismo concepito per bloccare efficacemente le chiamate con identificativi numerici falsificati, peccato però che le nuove misure siano come quei farmaci che curano il sintomo e non la causa, e dalla cui assunzione può derivare temporaneamente un certo sollievo, ma non potranno poi essere risolutivi per la piena guarigione da una malattia più seria di un semplice raffreddore. E il problema del telemarketing selvaggio non è un fenomeno passeggero, bensì una questione complessa che si trascina ormai da molti anni nonostante vari e promettenti tentativi di debellarlo che però hanno poi puntualmente deluso sempre le aspettative. Basti ricordare ad esempio il Registro Pubblico delle Opposizioni, il pugno duro del Garante della privacy con sanzioni milionarie e più di recente la confisca delle banche dati telefoniche illecite, ma anche gli sperati benefici che ancora si attendono dal “Codice di Condotta per le attività di telemarketing e teleselling” che in ogni caso comporta l’adesione facoltativa, e al quale è logico aspettarsi che ad aderirvi siano i call center seri che bene o male sono disposti a conformarsi alle regole, mentre si guarderanno bene dal fare la stessa cosa proprio quegli operatori senza scrupoli che assillano illegalmente gli utenti a ogni ora del giorno.
19 agosto 2025 | Fonte: www.agendadigitale.ue
Lavoro: quando le e-mail diventano sorveglianza
Il Garante privacy stabilisce regole precise per la conservazione dei metadati e-mail aziendali. La soglia di 21 giorni divide gestione tecnica da controllo dipendenti, con conseguenze su accordi sindacali e autorizzazioni. La gestione dei metadati generati dai sistemi di posta elettronica aziendali rappresenta un tema di crescente attenzione da parte del Garante privacy italiano. A partire dal documento di indirizzo del 6 giugno 2024, l’Autorità ha cercato di definire in modo puntuale i limiti di liceità per la raccolta e conservazione dei log e-mail, ossia quei dati “esteriori” delle comunicazioni (come mittente, destinatario, orario, oggetto) che, pur estranei al contenuto del messaggio, possono fornire informazioni dettagliate sul comportamento e sulle attività svolte dal dipendente.
20 agosto 2025 | Fonte: www.agendadigitale.ue
ProtectEU, cosa dice il nuovo paradigma europeo della sicurezza digitale
Cosa sapere sul progetto ProtectUE, strategia per la sicurezza presentata dalla Commissione europea ad aprile 2025: ecco in cosa consiste, gli obiettivi e i risvolti privacy. Nel cuore di un’Unione Europea sempre più esposta a tensioni geopolitiche, minacce ibride e vulnerabilità tecnologiche, la strategia ProtectEU, presentata dalla Commissione il primo aprile 2025[1], si propone come nuova architettura della sicurezza interna europea. Ma dietro il lessico della resilienza e della cooperazione multilivello, si cela una trasformazione profonda dell’equilibrio tra libertà fondamentali e poteri pubblici nello spazio digitale.
21 agosto 2025 | Fonte: www.agendadigitale.ue
Nis2, ecco le misure dell’Acn per la sicurezza delle imprese
Tutte le regole indicate dall’Acn per garantire la compliance alla direttiva Nis2, che alza gli standard di sicurezza nelle imprese: ecco cosa bisogna fare. L’ACN, con Determinazione 164179 del 14 aprile 2025 ha stabilito le misure di sicurezza minime (“obblighi proporzionati” o “misure di sicurezza di base”) per i soggetti coinvolti nelle disposizioni della direttiva NIS2. Sono state numerose le critiche mosse alle misure proposte da ACN. In estrema sintesi, queste riguardano il modello di riferimento (il Cyber security framework del NIST) e il ritorno al concetto di “misure minime” a discapito di quello di “responsabilizzazione”.
https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/
22 agosto 2025 | Fonte: www.federprivacy.org
Quando la PA non può “inventarsi” una base giuridica per trattare i dati personali Con la sentenza n. 15273 del 4 agosto 2025 il TAR del Lazio ha annullato il decreto interministeriale n. 226 del 16 ottobre 2024, che intendeva regolare il cosiddetto foglio di servizio elettronico per i conducenti di NCC. Secondo i giudici, il provvedimento ministeriale violava diverse norme in materia di protezione dei dati (GDPR e Codice privacy), perché introduceva obblighi sproporzionati e senza un’adeguata base giuridica che legittimasse il trattamento dei dati personali. Secondo il suddetto decreto, i dati degli utenti e dei conducenti degli NCC (noleggio con conducente) sarebbero stati conservati centralmente dal Ministero dei Trasporti per tre anni, l’accesso sarebbe stato concesso a un’“amplissima platea di soggetti” come comuni, forze di polizia, motorizzazione civile etc. e la la giustificazione addotta era che il decreto, come atto amministrativo generale, fosse sufficiente a costituire la base giuridica del trattamento. D’altra parte, la Legge n. 21/1992, come fonte primaria stabilisce invece che il foglio di servizio è compilato dal conducente, contiene dati specifici, e va conservato solo 15 giorni. Il decreto interministeriale 226/2024 avrebbe pertanto potuto disciplinare solo aspetti tecnici, ma non cambiare la sostanza delle regole fissate dalla legge. Il Tribunale amministrativo del Lazio ha quindi chiarito alcuni punti chiave sui paletti che devono rispettare gli atti amministrativi:
- un decreto ministeriale non può derogare o modificare norme fissate dalla legge. Non può quindi diventare, da solo, una “base giuridica” per trattamenti invasivi di dati personali
- passare da 15 giorni a 3 anni di conservazione dei dati sugli spostamenti degli utenti è sproporzionato e lesivo della privacy
- assenza di garanzie: non c’è stata né una valutazione d’impatto (DPIA), né una motivazione specifica, né misure di tutela adeguate
- limiti ai poteri dell’Amministrazione: il Ministero non aveva ricevuto dal legislatore il potere di imporre un sistema di controllo generalizzato.
La sentenza 15273/2025 ribadisce perciò un concetto fondamentale: la Pubblica Amministrazione non può crearsi da sola una base giuridica per trattare i dati personali oltre i limiti già stabiliti dalla legge primaria. In altre parole, anche se un decreto ministeriale ha indubbiamente valore generale, non può però giustificare trattamenti di dati che violano i principi del GDPR (necessità, proporzionalità, limitazione della conservazione).
27 agosto 2025 | Fonte: www.it.euronews.com
Stallo nella selezione del nuovo Garante della privacy europeo: denunce e incertezze Ai Act, Il processo per la nomina del nuovo Garante europeo della protezione dei dati (Gepd) è in stallo, con due denunce ricevute dal Mediatore europeo. Il dibattito coinvolge candidati in conflitto e preoccupazioni sull’indipendenza dell’autorità. Il processo di selezione del nuovo Garante europeo della protezione dei dati (Gepd) sta attraversando una fase di stallo, alimentato da divergenze politiche tra il Parlamento europeo e gli Stati membri dell’Ue, nonché da crescenti preoccupazioni riguardo all’indipendenza della figura scelta. L’ufficio del Mediatore europeo ha confermato di aver ricevuto due denunce in merito a questo processo, con la prima risalente prima dell’estate e la seconda di natura più urgente, attualmente sotto esame. Il Gepd è un’autorità indipendente responsabile del monitoraggio del rispetto delle normative sulla protezione dei dati da parte delle istituzioni europee.
22 agosto 2025 | Fonte: www.federprivacy.org
Banner cookie non conformi: il recente intervento del Garante Privacy insegna come evitare gli errori più comuni
Sottostimare un banner cookie pensando che nessuno lo vada a leggere o non possa già di per sé costituire degli elementi di contestazione da parte dell’autorità di controllo è un errore piuttosto comune. Anche perché, per quanto riguarda i cookie e gli altri strumenti di tracciamento, il Garante Privacy all’interno della Relazione sull’attività 2024 ha già anticipato una parte del piano ispettivo del secondo semestre 2025: “L’attività di verifica in tale specifico ambito proseguirà anche nel corso del 2025, rappresentando una delle linee di priorità fissate dal Garante nella programmazione dei propri interventi”, ponendosi così in linea di continuità e confermando la prosecuzione di un’attività iniziata in seguito all’adozione delle Linee guida cookie e altri strumenti di tracciamento del 2021. All’interno del provvedimento n. 327 del 4 giugno 2025, emerge come il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza abbia condotto e conduca un’attività ispettiva su delega del Garante su campioni di operatori per ambiti tramite accertamenti online. In seguito agli accessi ad un sito web di e-commerce, sono state così rilevate diverse non conformità relative alla gestione dei cookie la cui analisi consente di esplorare alcuni degli errori più comuni e diffusi da parte dei titolari del trattamento nella gestione di un sito web e nell’impostazione dei cookie e degli strumenti di tracciamento.
25 agosto 2025 | Fonte: www.federprivacy.org
I controlli troppo invasivi sulla vita privata del dipendente in malattia violano il GDPR
I controlli troppo invasivi nella vita privata del lavoratore violano i principi di proporzionalità e minimizzazione prescritti dalla normativa in materia di privacy. Il principio è stato ribadito dalla Cassazione, Sezione Lavoro, con l’ordinanza n. 23578 del 20 agosto 2025, con cui è stata confermata l’illegittimità del licenziamento disciplinare intimato a un lavoratore, con qualifica di dirigente. Nel caso in esame, al dipendente assente per malattia era stato contestato di non avere rispettato varie volte l’obbligo di garantire la reperibilità nelle fasce orarie stabilite dalla legge e dalla contrattazione collettiva. La violazione era stata accertata attraverso un controllo operato da parte di un’agenzia investigativa incaricata dal datore di lavoro. La Corte d’Appello aveva ritenuto il licenziamento nullo in quanto “privo di giusta causa e della c.d. giustificatezza”. In particolare, i giudici avevano accolto il motivo di reclamo con cui il dirigente aveva lamentato la “inutilizzabilità del report dell’agenzia investigativa ai fini della prova del fatto contestato nella lettera di addebito disciplinare”. Secondo la Corte territoriale, il controllo era stato posto in essere al di fuori dei presupposti di legittimità, perché la società datrice di lavoro non aveva né allegato né provato circostanze oggettive tali da configurare un fondato o ragionevole sospetto di illecito commesso o in corso di commissione da parte del lavoratore, sussistente prima dell’avvio del controllo.
26 agosto 2025 | Fonte: www.cybersecurity360.it
Responsabile della protezione dati (DPO): rilievi e indicazioni operative da parte del Garante
iversi provvedimenti del Garante, aldilà delle sanzioni e misure correttive applicate, possono essere letti in chiave pedagogica, come interventi volti a inquadrare in maniera pertinente il ruolo del responsabile della protezione dei dati (DPO). Ecco quattro provvedimenti che rispecchiano situazioni eterogenee, nonché la presenza di interpretazioni inadeguate o riduttive della funzione del DPO. Il Regolamento UE 679/2016 (GDPR) fornisce indicazioni chiare, ancorché generali, in merito al ruolo del Responsabile per la protezione dei dati (DPO). Inoltre, numerosi chiarimenti sono stati forniti anche attraverso orientamenti delle Autorità di controllo. Tra questi spiccano le Guidelines on Data Protection Officers del Gruppo di lavoro Art. 29 (poi, con il GDPR, evoluto nell’EDPB) nonché il Documento di indirizzo emesso nel 2021 dal Garante privacy italiano, dedicato specificamente al DPO in ambito pubblico.
26 agosto 2025 | Fonte: www.federprivacy.org
In quattro anni +45,5% reati informatici contro le imprese italiane
Imprese italiane sempre più a rischio di cyberattacchi. I reati informatici denunciati dalle aziende sono aumentati del 45,5% tra il 2019 e il 2023, a fronte della crescita del 10% di tutti gli illeciti a danno dell’attività d’impresa. In testa alle regioni più colpite ci sono la Toscana, dove gli episodi di cybercrime contro le aziende in 4 anni sono cresciuti dell’88,3%, il Veneto (+63,7%), le Marche (+56%), la Puglia (+54,7%), il Lazio (+53,2%), l’Emilia Romagna (+53%), Piemonte (47%), Lombardia (45,5%). A lanciare l’allarme è Confartigianato che ha rilevato il trend di truffe, frodi e aggressioni on line subite dagli imprenditori. In generale, i reati informatici rappresentano il 35,5% dei delitti contro le aziende e il 15,8% delle imprese, a fronte del 21,5% della media Ue, ha registrato almeno un incidente informatico con conseguenze come l’indisponibilità dei servizi ICT, la distruzione o la divulgazione di dati. Le nostre imprese sembrano essere consapevoli della necessità di proteggere il patrimonio dei propri dati. Confartigianato evidenzia, infatti, che l’83,1% attribuisce un’alta importanza alla cybersicurezza, una percentuale che supera la media dell’Unione Europea (71,1%) e che ci colloca al secondo posto dopo l’Irlanda. Nel 2024, il 42,6% delle aziende ha investito in sicurezza informatica, anche adottando strumenti di intelligenza artificiale. Nonostante questo, soltanto il 32,2% degli imprenditori adotta almeno 7 delle 11 misure di sicurezza monitorate dall’Istat, un dato inferiore al 38,5% della media UE.
27 agosto 2025 | Fonte: www.ilsole24ore.com
Privacy e digitale, aziende nel labirinto delle regole Ue
Ai Act, Ai Act, Dma, Dsa, Data act. È un labirinto di sigle, quello della normativa europea sul digitale. Ma l’affastellarsi di direttive e regolamenti da Bruxelles rischia di diventare anche un rompicapo per le aziende del settore, chiamate ad applicare – una dietro l’altra – le novità normative. All’inizio fu il Gdpr, il regolamento Ue sulla privacy operativo dal 2018. Il regolamento è tuttora in vigore, tanto che le altre regole europee rimandano al Gdpr per la parte di tutela dei dati.
https://www.ilsole24ore.com/art/privacy-e-digitale-aziende-labirinto-regole-ue-AHyIEa4B
27 agosto 2025 | Fonte: www.agendadigitale.ue
Attacco ransomware, pagare o no il riscatto? Ecco cosa dice la legge
L’attacco con ransomware, riconducibile all’estorsione informatica e anche al reato di rapina, prevede la richiesta di un riscatto da parte dei cyber criminali, ponendo la vittima in una difficile condizione, anche psicologica: ecco come tutelarsi al meglio e cosa prevede la legge.
L’estorsione informatica tramite attacco ransomware rappresenta una minaccia significativa per il privato, l’ente pubblico e la società quotata e non quotata, determinando di fatto una significativa paralisi dell’attività operativa nonché un rilevante pregiudizio anche in termini economici, oltre al rischio della diffusione di dati sensibili, documenti e informazioni riservati; la vittima del cyber criminale si trova spesso di fronte alla non-alternativa di pagare il riscatto.
28 agosto 2025 | Fonte: www.cybersecurity360.it
Diretta streaming delle sedute consiliari di Enti locali: obblighi di pubblicità e data protection
Nell’ambito del processo di transizione digitale delle pubbliche amministrazioni, sospinto non soltanto da obblighi normativi (cfr. CAD e Piano Triennale AGID per l’Informatica nella Pubblica Amministrazione), ma anche dalle ingenti risorse previste dal Piano Nazionale di Ripresa e Resilienza (PNRR), si assiste auuna sostanziale ma fisiologica ridefinizione dei rapporti tra PA e cittadino. La digitalizzazione non ha prodotto, infatti, effetti soltanto sulla semplificazione dei processi o sull’accessibilità dei cittadini, bensì anche sulle modalità e sulla frequenza della partecipazione degli stessi alla vita pubblica. In tale contesto si inserisce il tema delle videoriprese e delle dirette streaming delle sedute consiliari degli enti locali territoriali (Comuni, Provincie, Città Metropolitane e Regioni) e della trasmissione delle stesse in modalità live streaming o tramite pubblicazione online. La questione è piuttosto dibattuta e si inserisce nel più ampio panorama del delicato bilanciamento tra la trasparenza amministrativa e la protezione dei dati personali degli interessati. Ecco gli strumenti utili al corretto inquadramento della problematica ed alla ricerca delle soluzioni più coerenti con la normativa in materia.
29 agosto 2025 | Fonte: www.agendadigitale.ue
Professione hacker etico: chi è, cosa fa e come diventarlo
L’hacker etico, uno specialista di sicurezza informatica capace di aiutare enti e imprese a scoprire le proprie vulnerabilità, deve ancora essere ben regolamentato dalla legge per avere le necessarie tutele. Si sta assistendo ad una vera e propria riscoperta del ruolo dell’hacker etico, che segna un ritorno al significato originario e positivo del termine. È sempre più evidente come aziende e istituzioni possano trarre vantaggio dalle competenze digitali di sviluppatori, ricercatori e dei c.d. hacker etici (anche «white hats»), valorizzandone il contributo nella prevenzione e gestione delle vulnerabilità informatiche. Tuttavia, in assenza di un quadro giuridico specifico, l’etichetta di “etico” rimane priva di un significato giuridico univoco, esponendo inevitabilmente al rischio di criminalizzazione anche di quegli hacker che operano animati da “buone intenzioni”.
https://www.agendadigitale.eu/sicurezza/professione-hacker-etico-chi-e-cosa-fa-e-come-diventarlo/
Altre news
Rifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”
arrow_forwardTRIBUTI: rassegna stampa N° 9/2025 agosto
arrow_forwardBuone pratiche di cybersecurity di base per i dipendenti della PA
arrow_forwardTRIBUTI: rassegna stampa N° 8/2025 luglio
arrow_forwardGDPR: rassegna stampa N° 7/2025 luglio
arrow_forward