Tra semplificazione e responsabilità: la privacy alla prova della maturità digitale
Cari custodi della privacy,
novembre si presenta come un mese denso di riflessioni e snodi decisivi, in cui la protezione dei dati personali si confronta apertamente con le sfide della cybersicurezza, dell’intelligenza artificiale e della governance istituzionale. Le notizie di queste settimane restituiscono l’immagine di un ecosistema digitale sempre più interconnesso, nel quale il rischio non è soltanto tecnologico, ma anche normativo, organizzativo e culturale.
Sul piano europeo, il dibattito si concentra attorno alla tenuta complessiva del framework normativo digitale. L’AI Act mostra le prime frizioni con il GDPR, il Data Act e il Data Governance Act, mentre prende forma il progetto del Digital Omnibus, che promette semplificazione ma solleva interrogativi profondi sul futuro dei diritti digitali. La sensazione è chiara: l’Europa è chiamata a scegliere se la semplificazione sarà uno strumento di chiarezza o il pretesto per un arretramento delle tutele che hanno reso il GDPR un modello globale.
Accanto a questo confronto regolatorio, emergono con forza i temi della libertà di informazione e dell’indipendenza delle Autorità di controllo. L’entrata in vigore dell’European Media Freedom Act rafforza il pluralismo e il ruolo dei media, ma riporta al centro il delicato bilanciamento tra trasparenza, riservatezza e poteri investigativi. Non a caso, novembre è anche il mese delle riflessioni critiche sull’autonomia dei Garanti privacy, sulla credibilità delle istituzioni di vigilanza e sulla necessità di rafforzarne la resilienza in un contesto di crescente pressione politica ed economica.
La cronaca nazionale e internazionale conferma però che la regolazione, da sola, non basta. I numerosi casi di data breach, dagli attacchi alle infrastrutture strategiche fino alla violazione dei sistemi di grandi fornitori IT, mostrano come la superficie di esposizione continui ad ampliarsi. L’uso dell’intelligenza artificiale nel cybercrime, con attacchi sempre più automatizzati e sofisticati, segna un salto di qualità nelle minacce e rende evidente che la sicurezza non può più essere affrontata come un problema settoriale.
In questo scenario, la videosorveglianza diventa un banco di prova emblematico della maturità delle organizzazioni. Le decisioni del Garante e della giurisprudenza dimostrano che cancellare dati per “compliance” non equivale a proteggere i diritti, così come implementare tecnologie senza una governance solida conduce inevitabilmente a blocchi, sanzioni e perdita di fiducia. La privacy, ancora una volta, non è l’alibi per non gestire, ma il criterio per gestire meglio.
Grande attenzione viene riservata anche alla protezione dei dati nei contesti lavorativi e pubblici: dall’uso improprio delle e-mail interne alla gestione dei dati nei concorsi pubblici, fino ai chiarimenti su whistleblowing e trasparenza amministrativa. Ogni intervento ribadisce un messaggio costante: l’urgenza operativa non giustifica scorciatoie, e il rispetto dei principi del GDPR resta imprescindibile anche – e soprattutto – nelle organizzazioni pubbliche.
Novembre è infine il mese della consapevolezza. Le nuove guide del Garante sui social media, le linee guida EDPS sull’uso dell’IA e l’evoluzione degli standard di audit dimostrano che la protezione dei dati è un processo vivo, che richiede aggiornamento continuo, competenze trasversali e una visione integrata tra privacy e sicurezza.
Il quadro che emerge è chiaro: la privacy europea è entrata in una fase di maturità, in cui non basta più dichiarare conformità. Occorre dimostrare coerenza, capacità di governo e responsabilità. Perché in un contesto di iper-digitalizzazione, la vera posta in gioco non è solo la sicurezza dei dati, ma la fiducia dei cittadini nelle istituzioni e nelle organizzazioni che quei dati trattano.
Con stima e fiducia in un domani digitale più consapevole,
Enrico Capirone
Rassegna stampa mensile
Privacy e Protezione dei dati personali
Disponibile anche in Podcast su Spotify
(cerca: privacy iSimply)
Disponibile anche in Video su YouTube
4 novembre 2025 | Fonte: www.cybersecurity360.it
European Media Freedom Act, il regolamento UE sulla libertà dei media: i legami con la privacy
La libertà d’informazione è un pilastro fondamentale di ogni democrazia. Il Regolamento UE 1083/2024 è noto come European Media Freedom Act (Emfa). Ecco gli aspetti relativi a privacy, whistleblowing e ruolo del DPO, anche riguardo al ruolo presso la magistrautra e le autorità inquirenti, nell’ambito del relativo GDPR costituito dal D.lgs 51/2018. Con la piena entrata in vigore del Regolamento UE 1083/2024 sulla libertà dei media, noto come European Media Freedom Act (EMFA), si può sostenere che l’8 agosto ha rappresentato un momento di svolta per la tutela della libertà di informazione nell’Unione europea. L’UE ha stabilito un quadro normativo vincolante e innovativo per proteggere il pluralismo, l’indipendenza e l’integrità del sistema mediatico in tutti gli Stati membri.
5 novembre 2025 | Fonte: www.federprivacy.it
Il titolare del trattamento decide i tempi di conservazione della videosorveglianza, ma i filmati non devono sparire per colpa di regolamenti obsoleti
I tempi di conservazione dei filmati di videosorveglianza non sono scolpiti nella pietra. È il titolare del trattamento a doverli determinare in base alla finalità effettiva del trattamento.
Solo per la finalità di sicurezza urbana il legislatore ha previsto un limite massimo rigido di sette giorni (art. 6, D.L. 11/2009). In tutti gli altri casi – tutela ambientale, sicurezza stradale, prevenzione di danneggiamenti o vandalismi – il periodo di conservazione deve essere valutato dal titolare, all’interno di un range ragionevole, che può variare da 48 ore a qualche settimana, purché sorretto da una motivazione documentata nel registro dei trattamenti e nella valutazione d’impatto (DPIA).
Su questo tema si innesta la recente sentenza n. 8472 del 31 ottobre 2025 del Consiglio di Stato, che offre un interessante spunto di riflessione sul confine tra compliance formale e effettività della tutela giuridica del dato. Il caso, apparentemente banale, riguarda una collisione stradale avvenuta a Bergamo sotto una telecamera comunale. L’automobilista coinvolta, dopo alcuni mesi, aveva chiesto di visionare i filmati per dimostrare la responsabilità dell’altro conducente. Il Comune aveva opposto diniego, spiegando che le immagini erano state automaticamente cancellate dopo cinque giorni, secondo quanto previsto dal proprio regolamento.
4 novembre 2025 | Fonte: www.agendadigitale.ue
AI Act, tanti conflitti con altre norme Ue: ecco quali
Il nuovo protocollo tra Garante Privacy e AGCM definisce strategie comuni per vigilare sul marketing digitale, affrontando insieme i rischi legati alla profilazione, ai dark patterns e all’uso improprio dei dati personali. l protocollo d’intesa sottoscritto il 29 luglio 2025 tra il Garante per la protezione dei dati personali e l’Autorità Garante della Concorrenza e del Mercato segna un passo importante nel rafforzamento della cooperazione istituzionale.
Esaminiamo di seguito il tema relativo alle sfere di competenza delle due autorità e la loro collaborazione, mettendo in luce come la tutela della privacy e la disciplina delle pratiche commerciali scorrette si sovrappongano in settori significativi, come quello del marketing digitale.
7 novembre 2025 | Fonte: www.cybersecurity360.it
Videosorveglianza urbana: pochi giorni e i filmati spariscono, ma la privacy non è un alibi
In caso di incidente sotto il cono di una telecamera comunale, se il cittadino non formalizza immediatamente una richiesta di accesso, il filmato scompare. Non per scelta tecnica, ma per “compliance”. E così, dopo pochi giorni, anche la verità viene sovrascritta. Ecco perché cancellare invece di gestire non è la soluzione, ma un paradosso italiano. el mare di regolamenti comunali copia-incolla sulla videosorveglianza urbana, la privacy continua a essere il rifugio perfetto per chi preferisce cancellare invece di gestire.
In caso di incidente sotto il cono di una telecamera comunale, se il cittadino non formalizza immediatamente una richiesta di accesso, il filmato scompare. Non per scelta tecnica, ma per “compliance”. E così, dopo pochi giorni, anche la verità viene sovrascritta.
7 novembre 2025 | Fonte: www.cybersecurity360.it
Videosorveglianza veicolare: ecco perché è stato bloccato il progetto di Bolzano
La sicurezza dei dati non si garantisce con le telecamere, ma con la governance che le controlla. Ecco cosa stabilisce il provvedimento n. 531 del 25 settembre 2025 del Garante per la protezione dei dati personali sul progetto di videosorveglianza veicolare di Bolzano. uando la tecnologia arriva prima delle regole, la sanzione è solo una conseguenza logica.
Con il provvedimento n. 531 del 25 settembre 2025, il Garante per la protezione dei dati personali ha imposto il blocco immediato e una sanzione da 32.000 euro alla Provincia Autonoma di Bolzano. Ecco perché.
7 novembre 2025 | Fonte: www.federprivacy.it
Quando un data breach colpisce un’applicazione di AI che tratta dati personali
L’entrata in vigore del Regolamento (UE) 2024/1689, noto come AI Act, segna un punto di svolta nella regolamentazione dei sistemi di intelligenza artificiale. Tra i molti aspetti da considerare, il Regolamento dedica, come del resto è logico aspettarsi, particolare attenzione alla gestione degli incidenti che coinvolgono sistemi di AI ad alto rischio, come definiti dall’art. 6.
L’obiettivo è quello di garantire trasparenza, sicurezza e tutela dei diritti fondamentali delle persone. Quando l’incidente riguarda anche dati personali, il quadro si complica: entrano in gioco sia gli obblighi del fornitore, dell’utilizzatore o del deployer della soluzione di AI (ai sensi dell’AI Act), sia quelli del titolare del trattamento dei dati (ai sensi del GDPR). In questo articolo cerchiamo di analizzare i punti di contatto tra le due normative.
Gli obblighi di segnalazione degli incidenti secondo l’AI Act – L’articolo 73 dell’AI Act “Comunicazione di incidenti gravi” rappresenta la disposizione chiave in materia. Stabilisce che i fornitori di sistemi di AI ad alto rischio devono segnalare alle autorità competenti qualsiasi incidente grave che si verifichi e di cui vengano a conoscenza.
La segnalazione deve avvenire secondo la tempistica indicata nello stesso articolo, sulla base della gravità associata all’incidente.
7 novembre 2025 | Fonte: www.cybersecurity360.it
La nuova governance: integrare GDPR e NIS 2 per guidare efficacemente le organizzazioni
La più grande occasione offerta dal GDPR (il Regolamento generale sulla protezione dei dati dell’Unione Europea) e dalla NIS 2 (direttiva europea che rafforza la cyber sicurezza e la resilienza delle infrastrutture digitali nella UE) consiste nell’usare queste norme come architravi della governance aziendale.
Significa considerarli strumenti centrali per governare rischi, processi e decisioni. Sono due leve strategiche per creare fiducia, garantire continuità e guidare lo sviluppo. Occorre superare definitivamente la logica dell’adempimento e costruire una governance capace di unire protezione, sicurezza e crescita in un unico disegno coerente. Ecco come GDPR e NIS 2, oltre a proteggere, rendono l’organizzazione più solida, veloce e competitiva, nel momento in cui vengono pienamente integrate nei sistemi di governo.
10 novembre 2025 | Fonte: www.agendadigitale.ue
Gdpr, 7 anni dopo: cosa funziona e cosa resta incompiuto
Dalla centralità del DPO alla sicurezza IT, dalla gestione dei data breach alla minimizzazione dei dati e alla portabilità: cosa funziona davvero e dove l’approccio risk-based resta ancora incompleto. Sono passati sette anni dall’entrata in vigore del GDPR. Sette anni in cui aziende, professionisti e istituzioni hanno dovuto fare i conti con una delle normative più discusse e impattanti sul tema dei dati personali. Dopo tutto questo tempo, possiamo dirlo: il GDPR non è più “nuovo”.
È diventato parte della quotidianità, e per questo vale la pena fermarsi e chiedersi: cosa ha davvero funzionato? E cosa invece resta un obiettivo ancora lontano?
11 novembre 2025 | Fonte: www.agendadigitale.ue
Ma il garante privacy è indipendente? Come funziona in Italia e in altri Paesi
Il caso Report – Garante privacy italiano porta a riflettere su come, in Europa e nel resto del mondo, vengano scelti i membri delle analoghe autorità ma anche a sondare scandali e inchieste che hanno riguardato queste istituzioni. Dalle inchieste di Report in Italia all’ex lobbista di Meta nominata a componente Data Protection Commission irlandese, fino alle pressioni politiche in Europa: nel mondo, le autorità per la protezione dei dati dovrebbero essere indipendenti, ma la realtà ne mette spesso in dubbio l’imparzialità.
Dall’Italia al Giappone, passando per Stati Uniti, Germania e India, un viaggio tra modelli di nomina, casi controversi e possibili rimedi per restituire credibilità a chi vigila sul potere dei dati.
12 novembre 2025 | Fonte: www.agendadigitale.ue
Norme UE, semplificare è necessario: ecco il Digital Omnibus
L’UE avvia una grande semplificazione normativa con il Digital Omnibus Regulation: Data Act come fulcro, sportello unico per gli incidenti, allineamento AI Act–GDPR e abrogazione P2B. Obiettivo: ridurre costi, duplicazioni e incertezza per imprese e PA. Non vi è dubbio che l’Unione Europea sta lavorando per affermarsi come leader globale nella legislazione digitale, tenendo alta la tutela dei diritti.
Né vi è dubbio che tale obiettivo ha portato negli ultimi 5 anni a una significativa “iperproduzione legislativa”, creando un quadro normativo complesso e di difficile applicazione. In altre parole, molti regolamenti sul digitale, tutti con obiettivi rilevanti, ma molto spesso con norme sovrapposte, duplicazioni e una conseguente interpretazione difficile anche per chi lo fa di mestiere.
https://www.agendadigitale.eu/sicurezza/privacy/digital-omnibus-ci-siamo-come-cambia-gdpr-ai-act/
12 novembre 2025 | Fonte: www.cybersecurity360.it
Semplificare o smantellare il GDPR? Il Digital Omnibus e il futuro del cittadino digitale
Il pacchetto “Digital Omnibus” mira ufficialmente ad aggiornare e armonizzare il quadro giuridico digitale UE, intervenendo su GDPR, ePrivacy e eIDAS2, coerentemente con AI Act e NIS2. Ma il timore è che si arrivi ad accettare che sia l’innovazione a definire il diritto e non più il diritto a definire i limiti dell’innovazione. Aquasi un decennio dall’entrata in vigore del Regolamento generale sulla protezione dei dati personali (GDPR), la Commissione europea si appresta a introdurre quello che molti definiscono un punto di svolta, altri una svolta pericolosa: il cosiddetto “Digital Omnibus”, un pacchetto di semplificazioni e modifiche orizzontali volto ufficialmente ad aggiornare e armonizzare il quadro giuridico digitale dell’Unione, che interviene su più di dieci normative, dal GDPR al regolamento eIDAS2, fino al Data Governance Act e alla direttiva ePrivacy.
12 novembre 2025 | Fonte: www.agendadigitale.ue
Il futuro della privacy digitale tra Gdpr e nuove sfide tecnologiche
La tutela della privacy in ambito digitale è diventata un pilastro essenziale per la gestione responsabile dei dati personali da parte di aziende, professionisti e istituzioni. Alla crescente emanazione di specifiche normative corrispondo obblighi che, tuttavia, costituiscono al tempo stesso una preziosa occasione per sfruttare appieno le opportunità offerte dalla digitalizzazione. In un contesto socioeconomico in cui le evoluzioni tecnologiche corrono veloci e la digitalizzazione pervade ormai molti aspetti della vita lavorativa, si assiste a una crescente risposta sotto il profilo normativo, che si riflette sulla necessità per aziende, professionisti e istituzioni di ripensare alle proprie strategie e strumenti per garantire efficacemente la protezione dei dati personali e la riservatezza delle informazioni acquisite.
14 novembre 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Social media: online la guida aggiornata del Garante privacy
Sei sicuro che le foto e le informazioni che pubblichi ti piaceranno anche tra qualche anno? Da quanto tempo non verifichi le impostazioni privacy dei tuoi profili social? Hai mai provato a navigare insieme a tuoi figli? Sono alcuni degli spunti di riflessione che il Garante per la protezione dei dati personali rivolge a minori, genitori e utenti nella nuova edizione della guida “Social privacy. Come tutelarsi nell’era dei social media “.
I social network sono il luogo in cui non esistono barriere tra la vita digitale e quella reale: quello che succede online – ricorda l’Autorità – ha sempre più spesso impatto fuori da Internet, nel quotidiano e nei rapporti con gli altri. I social rendono più semplici i contatti, favoriscono lo scambio di informazioni con un numero enorme di persone, permettono di esprimere idee, passioni o talenti, ma amplificano allo stesso tempo i rischi di un utilizzo improprio o fraudolento dei dati personali, esponendo gli utenti a furti di identità, abusi, danni della reputazione, informazioni non verificate o vere e proprie fake news.
Proprio con l’obiettivo di aumentare la consapevolezza dei giovani, e degli adulti, e far conoscere i diritti di ognuno e gli strumenti di tutela proposti dal Garante, l’Autorità ha aggiornato questa guida ai social media mantenendo la struttura agile che ne ha favorito la diffusione e il facile utilizzo, grazie anche a una serie di “avvisi ai naviganti” e consigli di utilizzo.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10191571
14 novembre 2025 | Fonte: www.cybersecurity360.it
Primo cyber attacco AI su larga scala: superata la linea rossa, ecco come proteggersi A metà settembre 2025 Anthropic ha rilevato attività sospette che, da successive indagini, sono risultate parte di una campagna di spionaggio cinese altamente sofisticata. Gli autori hanno sfruttato le capacità “agenti” dell’intelligenza artificiale sfruttandola per sferrare un cyber attacco guidato dall’AI stessa, cioè senza intervento umano. Anthropic, la società di Claude AI, ha rilasciato un report sul primo caso documentato di cyber attacco eseguito dall’AI su larga scala senza un intervento umano significativo, con implicazioni rilevanti per la sicurezza informatica nell’era degli agenti di intelligenza artificiale.
“Se questo caso verrà confermato, significa che abbiamo superato la linea rossa che molti continuavano a minimizzare: l’AI non sta più ‘assistendo’ gli attaccanti, sta iniziando a sostituirli”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
17 novembre 2025 | Fonte: www.cybersecurity360.it
Evolvono le strategie cyber criminali: così sfruttano le app di AI per creare siti di phishing Gli autori delle minacce utilizzano sempre più spesso Lovable, una piattaforma di generazione di siti web basata su intelligenza artificiale per creare contenuti fraudolenti finalizzati al phishing di credenziali e alla distribuzione di malware. e barriere di accesso per i cyber criminali non sono mai state così basse: è facile creare o clonare siti web che imitano marchi famosi, utilizzare CAPTCHA per il filtraggio e pubblicare credenziali su Telegram: basta utilizzare Lovable, una piattaforma di generazione di siti web basata sull’intelligenza artificiale. Rispetto alle e-mail o agli script generati dai modelli linguistici di grandi dimensioni (LLM), l’utilizzo di questi strumenti di intelligenza artificiale ha un impatto notevole sul panorama delle minacce.
17 novembre 2025 | Fonte: www.cybersecurity360.it
IA e protezione dei dati: ecco come applicare le linee guida EDPS per la gestione dei rischi
Particolare attenzione deve essere posta su trasparenza, interpretabilità e spiegabilità del modello. L’organizzazione deve comprendere come l’IA prende le decisioni, quali fattori le influenzano e quali siano le motivazioni alla base dei singoli risultati, affinché il sistema non funzioni come una “scatola nera”.
l Garante europeo per la protezione dei dati (EDPS) ha pubblicato nuove linee guida per aiutare organizzazioni e istituzioni a gestire i rischi legati ai sistemi di intelligenza artificiale, con un focus sulla protezione dei dati personali. Pur rivolte principalmente alle istituzioni UE, queste indicazioni rappresentano un riferimento prezioso anche per le aziende private, offrendo strumenti concreti per garantire compliance, trasparenza e correttezza nell’uso dell’IA.
18 novembre 2025 | Fonte: www.federprivacy.it
La nuova ISO/DIS 19011:2025 applicate al contesto degli audit sui dati personali
La linea guida ISO 19011, riferimento internazionale per la conduzione degli audit dei sistemi di gestione, è in fase di revisione con la versione aggiornata “ISO/DIS 19011:2025”, la cui pubblicazione è prevista per il primo quadrimestre del 2026.
Questa revisione introduce elementi di grande rilievo per chi opera nell’ambito della protezione dei dati personali, integrando concetti chiave come digitalizzazione, audit da remoto e tecnologie emergenti.
Tematiche che si intersecano pienamente con i principi del GDPR e con i sistemi di gestione conformi alla ISO/IEC 27001:2022 ed alla ISO/IEC 27701:2025 di recentissima pubblicazione.
L’obiettivo di questo articolo è quello di analizzare le principali novità della linea guida, nella versione ad oggi disponibile, con particolare attenzione alla loro applicazione pratica negli audit privacy e nella gestione della conformità dei trattamenti di dati personali.
Le principali novità applicate alla protezione dei dati – Sono riportate di seguito le modifiche, ad oggi disponibili della linea guida, non si tratta dell’elenco di tutte le variazioni presenti, ma di quelle che si reputa abbiano un impatto diretto sugli audit in materia di protezione dei dati personali.
18 novembre 2025 | Fonte: www.federprivacy.it
Presentato il Digital Omnibus: la proposta della Commissione UE che ridisegna il quadro normativo della protezione dei dati europea
Il 19 novembre 2025 la Commissione Europea ha presentato ufficialmente il Digital Omnibus, la proposta legislativa che rappresenta la più ampia revisione del quadro normativo digitale dell’UE dall’entrata in vigore del GDPR nel 2018, che potrebbe segnare un cambio di paradigma per la protezione dei dati europea.
L’iniziativa introduce un insieme di modifiche a molteplici regolamenti digitali dell’UE, tra cui GDPR e Artificial Intelligence Act, sollevando un dibattito senza precedenti tra necessità di competitività e tutela dei diritti fondamentali.
Da un lato, vi è l’esigenza concreta di rendere operativo un framework normativo articolato da numerosi regolamenti che negli ultimi anni è diventato un labirinto, mentre d’altra parte il potenziale rischio è quello che la semplificazione diventi il pretesto per una rinegoziazione dei principi fondamentali che hanno reso l’Europa un punto di riferimento globale in materia di protezione dati. Obiettivi e tempistiche del Digital Omnibus: L’obiettivo dichiarato dalla Commissione Europea è quello di ridurre il carico amministrativo di almeno il 25% per tutte le imprese e del 35% per le PMI, rispondendo alle preoccupazioni espresse nel rapporto Draghi sulla competitività europea.
20 novembre 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – Garante privacy, Collegio estraneo a richiesta controllo dati dei dipendenti
In relazione alle notizie di stampa riportate oggi, il Collegio del Garante per la protezione dei dati personali afferma la propria totale estraneità rispetto alla comunicazione a firma dell’ex Segretario Generale – alla quale, peraltro, non è mai stato dato seguito – riguardante una richiesta di dati dei dipendenti relativi all’uso dei sistemi informatici.
Il Garante ricorda che come da suo costante orientamento giurisprudenziale l’accesso da parte del datore di lavoro a taluni dati personali dei dipendenti relativi all’utilizzo dei sistemi informatici può costituire violazione della privacy.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10194534
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10194503
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10194650
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10194820
20 novembre 2025 | Fonte: www.agendadigitale.ue
Dato personale o no? La sfida tecnica che il GDPR non spiega
La sentenza Ue C-413/23 rimette al centro il concetto di pseudonimizzazione, assente nel GDPR come “dato” ma cruciale come processo. Cosa significa per chi invia, per chi riceve e per i passaggi tecnici necessari a evitare re-identificazioni. C’è un convitato di pietra nella commentatissima sentenza della corte di Giustizia dell’Unione Europea sulla causa C‑413/23[1] che ha visto contrapposti il Garante europeo della protezione dei dati e il Comitato di risoluzione unico (SRB o CRU) sulla natura personale o anonima dei dati che quest’ultimo soggetto trasferiva a una società di consulenza per lo svolgimento di alcune analisi. Questo convitato di pietra è il concetto di dato pseudonimizzato, una nozione che ricorre molto spesso nella sentenza (17 volte!) ma che non è mai presente nel GDPR.
21 novembre 2025 | Fonte: www.cybersecurity360.it
ACN, a ottobre preoccupa la persistenza di esposizioni di dati in PA, Telco e finanza
Non devono ingannare alcuni dati dell’appuntamento mensile di CSIRT Italia, perché in realtà il Paese continua a inciampare sempre sugli stessi problemi. Ecco cosa fotografa l’ACN nell’Operational summary di ottobre 2025, dove a sorprendere è l’assenza di riferimenti espliciti ad APT. L’ACN ha rilasciato l’Operational summary di ottobre 2025, da cui emerge che gli eventi cyber sono in linea con il mese precedente, mentre gli incidenti significativi calano a 51.
“Ma la variabilità mensile non riflette necessariamente un rischio minore”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Inoltre non bisogna cadere nell’”errore comune di ritenere questo argomento come di esclusivo interesse per i soggetti NIS, sarebbe particolarmente pericoloso”, avverte Stefano Gazzella, Dpo e Consulente Privacy & ICT Law: “Ignorare lo stato dell’arte o la panoramica delle minacce, comporta dei punti ciechi nella gestione della sicurezza con rischi estremamente significativi”.
24 novembre 2025 | Fonte: www.cybersecurity360.it
Cybercrime contro le PMI: i bersagli principali degli attacchi informatici
Le piccole imprese sono sempre più vulnerabili agli attacchi del cybercrime contro le PMI. Dati e casi dimostrano che la supply chain è il vero bersaglio, con impatti economici gravi e strategie urgenti di protezione da adottare. Le piccole e medie imprese italiane ed europee sono sempre più al centro dell’attenzione dei criminali informatici.
Il mito che le realtà di dimensioni ridotte siano troppo marginali per destare interesse negli hacker si è rivelato non solo falso, ma pericoloso. A dimostrarlo sono i dati e i casi analizzati da Lina Novetti, responsabile della divisione Cyber Security Awareness di SHOT, nel podcast Pillole di Cybersicurezza, dedicato proprio al tema del cybercrime contro le PMI.
25 novembre 2025 | Fonte: www.cybersecurity360.it
Attacchi informatici con l’AI: un rischio crescente
Le PMI sono sempre più esposte agli attacchi informatici con l’AI, dalle truffe vocali ai ransomware. Dati e casi reali mostrano rischi economici enormi e l’urgenza di adottare difese proattive e formazione continua La diffusione dell’intelligenza artificiale nel crimine informatico sta modificando radicalmente il panorama della cyber sicurezza.
Non si tratta più di campagne amatoriali piene di errori, ma di attacchi altamente sofisticati capaci di colpire anche aziende di piccole e medie dimensioni.
Nella puntata del podcast Pillole di Cybersicurezza by SHOT Cybersecurity Awareness, Lina Novetti, responsabile della divisione Cyber Security Awareness di Shot, ha delineato i principali rischi che le PMI stanno affrontando, citando dati, casi reali e prospettive economiche preoccupanti.
https://www.cybersecurity360.it/nuove-minacce/attacchi-informatici-con-lai-un-rischio-crescente/
25 novembre 2025 | Fonte: www.federprivacy.it
L’urgenza non può giustificare l’invio di un’unica mail contentente dati personali ad un gruppo di colleghi
Con il provvedimento n. 582 del 9 ottobre 2025, il Garante privacy si è pronunciato riguardo la diffusione impropria di dati personali da parte di un dipendente della Procura di Milano, che aveva inviato a un gruppo di colleghi un’e-mail con allegato un file contenente l’elenco dei dipendenti che non avevano completato i test formativi sulla piattaforma Syllabus.
Nell’allegato erano indicati cognome dei dipendenti, numero di test non effettuati e titoli dei corsi incompleti. Pur non trattandosi di valutazioni qualitative, si trattava comunque di dati personali connessi all’adempimento di obblighi formativi. La scelta di una comunicazione cumulativa ha esposto tali informazioni a soggetti privi di specifiche funzioni autorizzative, permettendo ai destinatari di conoscere la posizione formativa dei colleghi senza alcuna necessità organizzativa.
Il Garante ha ritenuto che la divulgazione interna non fosse giustificata da finalità legittime: l’obiettivo del sollecito avrebbe potuto essere raggiunto tramite notifiche individuali, più rispettose della riservatezza. La diffusione dell’elenco poteva inoltre generare percezioni di inadempienza, pregiudizi reputazionali e un clima lavorativo non coerente con i principi di tutela dei dati personali.
26 novembre 2025 | Fonte: www.agendadigitale.ue
Dati anonimi, pseudonimizzati e identificabilità: gli errori che espongono a rischi
Il confine tra dati personali, dati pseudonimizzati e dati anonimi è meno netto di quanto sembri. Norme europee, linee guida EDPB e una recente sentenza della Corte di giustizia ridisegnano il concetto di identificabilità e gli obblighi per titolari e terzi. L’equivoco sui “dati anonimi” è molto frequente e nasconde una realtà normativa decisamente più sfaccettata, in particolare quando si parla di dati pseudonimizzati. Il confine tra ciò che è anonimo e ciò che è ancora riconducibile a una persona fisica è complesso, come dimostrano le definizioni del GDPR e le recenti pronunce giurisprudenziali.
27 novembre 2025 | Fonte: www.cybersecurity360.it
Indipendenza delle Autorità privacy: le tre direttrici di riforma per un Garante più resiliente
Tre assi di intervento mirano a rafforzare l’architettura istituzionale del Garante italiano, in piena conformità con il GDPR e con gli standard europei. Ecco come assicurare l’indipendenza delle Autorità privacy e una governance resistente di fronte a crisi reputazionali, tra previsioni europee, fragilità nazionali e riforme per la resilienza istituzionale. n un’epoca segnata dalla crescente “datafication” della vita pubblica e privata, il ruolo delle Autorità nazionali per la protezione dei dati personali è diventato centrale non soltanto per la tutela dei diritti fondamentali, ma anche per il funzionamento stesso delle democrazie.
Ecco come assicurare l’indipendenza delle Autorità privacy e una governance resistente di fronte a crisi reputazionali, tra previsioni europee, fragilità nazionali e riforme per la resilienza istituzionale
https://www.cybersecurity360.it/legal/privacy-dati-personali/garante-privacy-coerenza-istituzionale/
27 novembre 2025 | Fonte: www.garanteprivacy.it
NEWSLETTER 27 novembre
- Sanità, il Garante privacy sanziona società che gestisce un ospedale
- Garante: online le FAQ su trattamento dati e trasparenza nei concorsi pubblici
- Whistleblowing: nuovo parere del Garante privacy sulle Linee guida di ANAC
- “La scuola a prova di privacy”. Online il vademecum aggiornato del Garante
- GDPR e obblighi di trasparenza, il Garante privacy partecipa al CEF 2026
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10193417
27 novembre 2025 | Fonte: www.agendadigitale.ue
PA, più digitale nel nuovo CCNL Funzioni Centrali
Il CCNL Funzioni Centrali introduce valorizzazione del mentoring, recupero delle indennità di trasferta e welfare aziendale. Il contratto riguarda seimila dirigenti dello Stato e apre la strada alla trasformazione digitale della PA. Il CCNL Funzioni Centrali è un contratto che arriva a triennio scaduto e con risorse già in gran parte allocate, ma produce risultati concreti. Soprattutto, apre la possibilità di impostare con metodo la prossima stagione contrattuale, decisiva per la trasformazione digitale della Pubblica Amministrazione.
30 novembre 2025 | Fonte: www.federprivacy.it
Hacker viola i sistemi di Almaviva e trafuga 2,3 terabyte di dati sensibili e piani industriali di Ferrovie dello Stato
Il panorama della cybersecurity italiana ha subìto un colpo durissimo con la violazione dei sistemi di Almaviva, gigante nazionale dei servizi IT e digitali con 41.000 dipendenti e un fatturato di 1,411 miliardi di euro. L’incidente ha esposto dati sensibili di Ferrovie dello Stato e potenzialmente di altre importanti organizzazioni italiane, sollevando interrogativi preoccupanti sulla sicurezza delle infrastrutture critiche nazionali. La portata della compromissione, che coinvolge un fornitore che ironia della sorte offre proprio servizi di cybersecurity al settore della Difesa e della Sicurezza, amplifica le implicazioni dell’attacco ben oltre il perimetro di un singolo data breach. Un hacker ha rivendicato il furto di 2,3 terabyte di dati sensibili dai sistemi di Almaviva, un volume che suggerisce un’infiltrazione profonda e prolungata nelle infrastrutture del provider IT.
30 novembre 2025 | Fonte: www.federprivacy.it
Garante Privacy: online le FAQ su trattamento dati e trasparenza nei concorsi pubblici
Sono disponibili online sul sito del Garante privacy – www.gpdp.it – le risposte alle domande più frequenti sul trattamento dei dati personali nei concorsi pubblici e nelle prove selettive.
Le FAQ, realizzate in collaborazione con il Dipartimento della Funzione Pubblica, aiuteranno le amministrazioni a garantire la privacy dei candidati durante le procedure concorsuali e selettive, alla luce delle novità introdotte dal decreto-legge 25/2025, convertito con modificazioni dalla L. n. 69/2025. In particolare, offrono indicazioni pratiche su come comunicare con i candidati durante le varie fasi delle selezioni e su come pubblicare online le graduatorie finali senza incorrere in violazioni. L’obiettivo è rendere le procedure concorsuali più trasparenti e sicure. Anche grazie al Portale InPA, che centralizza il reclutamento pubblico e introduce nuove funzionalità digitali per semplificare l’intero processo.
30 novembre 2025 | Fonte: www.federprivacy.it
Garante Privacy: online le FAQ su trattamento dati e trasparenza nei concorsi pubbliciWhistleblowing: nuovo parere del Garante Privacy sulle Linee Guida di ANAC
Il Garante privacy ha espresso parere su due proposte di delibera dell’Anac relative al whistleblowing. La prima riguarda l’approvazione delle Linee guida per le segnalazioni interne, la seconda l’aggiornamento delle Linee guida per le segnalazioni esterne. L’obiettivo è rendere la gestione delle segnalazioni, sia interne che esterne, più uniforme ed efficace.
Le Linee guida tengono conto delle interlocuzioni intercorse con l’Ufficio del Garante, nella prospettiva di assicurare, in particolare, la piena tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, nonché la tutela dei dati delle persone a vario titolo coinvolte.
Molti i punti di attenzione, tra i quali, in particolare, i possibili rischi derivanti dall’utilizzo della posta elettronica come canale di segnalazione; la necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia; i tempi di conservazione della segnalazione e della relativa documentazione; la possibilità, in talune circostanze, di condividere il canale di segnalazione, ferma restando la necessità di adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza.
30 novembre 2025 | Fonte: www.clusit.it
Newsletter 30/11/2025
- Evento su NIS2 con ACN
- Rapporto Clusit di metà anno
- Questionario fornitori (V2.2)
- Pubblicazioni – Articoli
- Formazione
Le altre rassegne
TRIBUTI: rassegna stampa N° 4/2026 del mese di aprile
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 4/2026
arrow_forwardTransizione Digitale: rassegna stampa trimestrale N° 1/2026
arrow_forwardGDPR e protezione dei dati: rassegna stampa N° 3/2026
arrow_forwardTRIBUTI: rassegna stampa N° 3/2026 del mese di marzo
arrow_forward