GDPR e protezione dei dati: rassegna stampa N° 12/2025

Rassegna stampa GDPR e protezione dei dati a cura di iSimply del mese di dicembre 2025

 

Governance, responsabilità e dati: la tenuta del sistema alla prova dei fatti

Cari custodi della privacy,

dicembre chiude l’anno con un quadro denso, stratificato, a tratti persino affaticato, ma estremamente rivelatore dello stato di maturità – e delle fragilità – dell’ecosistema digitale europeo e nazionale. La protezione dei dati, la cybersicurezza e la regolazione dell’intelligenza artificiale non sono più ambiti separati: si fondono in un’unica questione di governance, che chiama in causa responsabilità chiare, scelte consapevoli e capacità di presidio reale.

La NIS2 entra definitivamente nel vivo. Le analisi e le guide pubblicate nel mese ribadiscono un messaggio ormai inequivocabile: la cybersecurity non è delegabile ai soli tecnici. Gli organi direttivi sono investiti di una responsabilità diretta nella gestione del rischio, nella definizione delle misure e nella supervisione degli incidenti. Le determinazioni dell’ACN sulla gestione degli eventi cyber e il costante aggiornamento di linee guida e FAQ mostrano un sistema regolatorio che si fa sempre più operativo e meno indulgente verso improvvisazioni o ritardi.

Parallelamente, il pacchetto Digital Omnibus apre una fase di profonda riflessione sul futuro del GDPR. Le proposte di riforma sugli articoli 9 e 13, sulla DPIA e sulla pseudonimizzazione segnano un cambio di metodo: l’Europa sembra spostare l’attenzione dalla rigidità formale alla sostenibilità tecnica dei trattamenti complessi, in particolare quelli basati su intelligenza artificiale, blockchain e big data. È una svolta che promette semplificazione, ma che solleva interrogativi delicati sul rischio di frammentazione applicativa e sulla reale tenuta dei diritti fondamentali.

Il mese è segnato anche dal rafforzamento – non senza tensioni – dei presìdi di legalità. Le numerose sanzioni del Garante Privacy, dai casi di marketing illecito alle misure di sicurezza inadeguate, fino alla gestione impropria delle e-mail aziendali, raccontano una realtà ancora lontana da una piena interiorizzazione del GDPR, a sette anni dalla sua entrata in vigore. Allo stesso tempo, il sistema del whistleblowing si consolida con le nuove Linee guida ANAC e con il confronto sull’AI Act, confermando che la tutela del segnalante e la protezione dei dati devono procedere insieme.

Non mancano episodi che riportano l’attenzione sulla dimensione più concreta e vulnerabile della sicurezza. Attacchi a enti sanitari, dati personali e sanitari in vendita nel dark web, violazioni che generano richieste risarcitorie milionarie: segnali che mostrano come la mancata prevenzione abbia costi giuridici, economici e reputazionali sempre più elevati. A ciò si aggiungono i rischi spesso sottovalutati della cybersecurity fisica e del fattore umano, ricordandoci che la sicurezza non vive solo nei firewall, ma nei comportamenti quotidiani.

Sul piano geopolitico e istituzionale, dicembre mette in evidenza un’Europa che prova a riaffermare il proprio modello. Dalla sanzione a X per violazioni del Digital Services Act, alla posizione negoziale sull’euro digitale con un forte accento sulla privacy, fino al rinnovo dell’adeguatezza con il Regno Unito, emerge la volontà di difendere uno spazio digitale fondato su regole, trasparenza e diritti. In parallelo, lo sguardo agli Stati Uniti e alle scelte di deregolazione in materia di IA rende ancora più evidente la distanza tra modelli di governance.

Infine, la Pubblica Amministrazione si trova davanti a un passaggio decisivo. La riflessione su cosa resterà del PNRR digitale, insieme ai temi di interoperabilità, qualità dei dati e competenze, sposta l’attenzione dalla spesa ai risultati. La resilienza digitale diventa una questione strutturale, soprattutto per i piccoli enti, chiamati a governare piattaforme, fornitori e sicurezza con risorse limitate ma responsabilità crescenti.

Dicembre ci consegna, in sintesi, una consapevolezza netta: la protezione dei dati non è più un adempimento settoriale, ma l’asse portante della fiducia nel sistema digitale. In un contesto di intelligenza artificiale pervasiva, mercati globali e minacce ibride, privacy, sicurezza e governance diventano un unico linguaggio di responsabilità.

Ed è su questo terreno che si gioca la credibilità delle istituzioni, delle imprese e, in definitiva, della democrazia digitale europea.

Con stima e fiducia in un domani digitale più consapevole,

Enrico Capirone

 

 RASSEGNA STAMPA

 

1° dicembre 2025 | Fonte: www.agendadigitale.eu

NIS2 in Italia, cosa cambia per i vertici aziendali: una guida pratica

La Direttiva NIS2 attribuisce agli organi direttivi responsabilità diretta nella gestione della cybersecurity. Soggetti essenziali e importanti devono implementare piani di sicurezza secondo le linee guida ACN. Le certificazioni su norme armonizzate costituiscono strumento di attestazione conformità alle misure richieste.

 

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/nis2-in-italia-cosa-cambia-per-i-vertici-aziendali-una-guida-pratica/

 

 

1° dicembre 2025 | Fonte: www.agendadigitale.eu

Digital Omnibus: dati sensibili e IA, cosa cambia con l’art. 9

La Commissione europea riforma l’art. 9 GDPR per l’intelligenza artificiale. La proposta autorizza l’impiego di categorie particolari di dati quando eliminarle comporta sforzi sproporzionati, spostando il focus dalla minimizzazione alla sostenibilità tecnica della reingegnerizzazione del sistema. La gestione dei dati sensibili nel conteso dell’intelligenza artificiale si inserisce tra le sfide più complesse per le imprese che sviluppano sistemi algoritmici avanzati. Il Digital Omnibus propone una riforma dell’art. 9 GDPR che potrebbe ridefinire i confini tra protezione dei diritti fondamentali e sostenibilità tecnica dei modelli di IA.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/digital-omnibus-dati-sensibili-e-ia-cosa-cambia-con-lart-9/#:~:text=Il%20testo%20in%20esame%20consente,effetti%20e%20a%20circoscriverne%20l’uso.

Altri articoli sull’argomento: https://www.agendadigitale.eu/sicurezza/privacy/digital-omnibus-la-ue-cambia-metodo-addio-giungla-di-norme/

 

 

3 dicembre 2025 | Fonte: www.cybersecurity360.it

Luci e ombre nel whistleblowing per le violazioni dell’AI Act: le 4 questioni aperte

Il debutto del sistema di whistleblowing per l’AI Act prevede un canale sicuro e crittografato gestito dall’European AI Office per la segnalazione delle violazioni della normativa sull’intelligenza artificiale. Ecco opportunità e problematiche legate alla protezione legale, attiva dal 2 agosto dell’anno prossimo.

Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/luci-e-ombre-nel-whistleblowing-per-le-violazioni-dellai-act-le-4-questioni-aperte/ 

 

3 dicembre 2025 | Fonte: www.agendadigitale.eu

NIS2 in Italia, cosa cambia per i vertici aziendali: una guida pratica

La Direttiva NIS2 attribuisce agli organi direttivi responsabilità diretta nella gestione della cybersecurity. Soggetti essenziali e importanti devono implementare piani di sicurezza secondo le linee guida ACN. Le certificazioni su norme armonizzate costituiscono strumento di attestazione conformità alle misure richieste.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/nis2-in-italia-cosa-cambia-per-i-vertici-aziendali-una-guida-pratica/

 

3 dicembre 2025 | Fonte: www.cybersecurity360.it

Nuove linee guida Anac sul whistleblowing: i punti fermi del Garante Privacy

L’intervento del Garante Privacy sugli schemi di Linee guida Anac in materia di whistleblowing, non solo per i canali interni, consolida l’intero sistema italiano di gestione delle segnalazioni. Ecco la check-list per tradurre le previsioni del parere in controlli concreti e subito utilizzabili.

Il recente parere del Garante Privacy sugli schemi di Linee guida Anac in materia di whistleblowing – sia per i canali interni (messe in consultazione a fine 2024) sia per la modifica e integrazione delle Linee guida sul whistleblowing emanate nel 2023 – segna un ulteriore consolidamento dell’intero sistema italiano di gestione delle segnalazioni.

Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/nuove-linee-guida-anac-sul-whistleblowing-i-punti-fermi-del-garante-privacy/

 

 

4 dicembre 2025 | Fonte: www.garanteprivacy.it

COMUNICATO STAMPA – Garante privacy denuncia a Procura presunti accessi illeciti a locali e a sistemi informatici

Il Garante per la protezione dei dati personali ha trasmesso un esposto alla Procura della Repubblica di Roma chiedendo di valutare l’avvio delle indagini necessarie ad accertare quanto riportato da alcuni organi di stampa, secondo cui il 1° novembre 2025 persone non identificate avrebbero avuto accesso, o tentato di accedere, senza autorizzazione ai locali dell’Autorità.

Le stesse fonti riportano, inoltre, che tali individui avrebbero tentato, o eventualmente effettuato, intrusioni nei sistemi informatici dell’Autorità, con possibile sottrazione di dati e documenti.

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10199463

Altro articolo sul tema: https://www.federprivacy.org/informazione/garante-privacy/il-garante-privacy-presenta-denuncia-alla-procura-della-repubblica-per-presunti-accessi-illeciti-a-locali-e-a-sistemi-informatici

 

 

4 dicembre 2025 | Fonte: www.federprivacy.it

Dipendente in malattia viene licenziata dopo essere stata filmata da un collega mentre è al ristorante: sanzionato il comune per violazione della privacy

Assente dal lavoro per malattia, una dipendente del Comune di Curtarolo veniva filmata mentre era a pranzo al ristorante, fuori dagli orari di reperibilità, e per questo veniva licenziata, motivo per cui l’impiegata decideva di presentare ricorso al Garante per la protezione dei dati personali, che ha sanzionato l’amministrazione veneta per violazione della privacy.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/dipendente-in-malattia-viene-licenziata-dopo-essere-stata-filmata-da-un-collega-mentre-e-al-ristorante-sanzionato-il-comune-per-violazione-della-privacy

 

 

4 dicembre 2025 | Fonte: www.agendadigitale.eu

Dati personali, AI e risorse umane: come cambia la tutela dei lavoratori

L’intelligenza artificiale entra nei processi HR lungo tutto il ciclo di vita del dipendente, tra People Analytics, obblighi GDPR, AI Act e nuove norme italiane. Un sistema ad alto rischio che richiede trasparenza, tracciabilità e un vero scudo digitale dei diritti. Nel contesto della trasformazione digitale che caratterizza l’economia europea, l’intelligenza artificiale rappresenta uno dei vettori più potenti di cambiamento. Il suo impatto non è solo tecnologico, ma profondamente organizzativo e giuridico.

Per leggere l’articolo completo: https://www.agendadigitale.eu/industry-4-0/dati-personali-ai-e-risorse-umane-come-cambia-la-tutela-dei-lavoratori/

 

 

4 dicembre 2025 | Fonte: www.federprivacy.it

Il Garante Privacy dell’Unione Europea è scaduto da ormai un anno ma da Bruxelles tutto tace

Il mandato dell’attuale Garante europeo della protezione dei dati è scaduto da dicembre 2024, ma a distanza di un anno la posizione resta ancora inspiegabilmente vacante, e da Bruxelles tutto tace. Dopo ormai 12 mesi dalla scadenza del mandato del Garante europeo della protezione dei dati (European Data Protection Supervisor), i legislatori dell’Unione europea e i governi nazionali a quanto risulta non sono riesciti ancora a trovare un accordo su chi guiderà l’istituto, e da mesi hanno smesso pure di parlarne omettendo di fornire spiegazioni plausibili, per cui niente è noto su chi subentrerà all’attuale Garante europeo, il polacco Wojciech Wiewiórowski, lasciato nel limbo senza che ne sia stato finora nominato il successore per un ulteriore inacrico quinquennale.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/garante-privacy-dell-unione-europea-il-mandato-e-scaduto-da-7-mesi-ma-ancora-nessuna-fumata-bianca-e-all-orizzonte

 

 

8 dicembre 2025 | Fonte: www.federprivacy.it

Digital Omnibus e pseudonimizzazione: una svolta per la compatibilità tra blockchain e GDPR?

Il 19 novembre 2025 la Commissione europea ha presentato il pacchetto Digital Omnibus, un insieme di tre proposte legislative che rappresenta la più ampia revisione del quadro normativo digitale dell’Unione dall’entrata in vigore del GDPR nel 2018.Tra le molteplici innovazioni contenute in questo ambizioso progetto di riforma, merita particolare attenzione la ridefinizione del concetto di pseudonimizzazione e, più in generale, l’adozione di un approccio soggettivo alla qualificazione del dato personale.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/digital-omnibus-e-pseudonimizzazione-una-svolta-per-la-compatibilita-tra-blockchain-e-gdpr

 

 

9 dicembre 2025 | Fonte: www.agendadigitale.eu

Digital Omnibus: la trasparenza GDPR diventa modulata

l Digital Omnibus riforma l’articolo 13 GDPR introducendo una trasparenza modulata. Il titolare valuta autonomamente l’intensità del trattamento, creando variabilità interpretativa. L’assenza di criteri europei uniformi genera asimmetrie informative e differenzia la tutela degli interessati.

Nel progetto di riforma Digital Omnibus esiste una norma che è crocevia di molteplici problematiche e che, in modo evidente, mostra il cambiamento di visione politica che sta adottando l’Europa: il nuovo art 13 GDPR.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/digital-omnibus-la-trasparenza-gdpr-diventa-modulata/

Altri articoli sull’argomento: https://www.agendadigitale.eu/sicurezza/privacy/digital-omnibus-la-ue-cambia-metodo-addio-giungla-di-norme/

 

 

10 dicembre 2025 | Fonte: www.cybersecurity360.it

Videosorveglianza comunale, tra sanzioni privacy e confusione sui patti per la sicurezza urbana

Raffica di sanzioni dell’Autorità di controllo agli enti locali per le telecamere. Ecco perché è urgente risolvere la questione dei Patti per la sicurezza tra sindaco e prefetto in merito alla videosorveglianza comunale, su cui la confusione regna sovrana. enza un Patto dettagliato con la Prefettura e almeno una valutazione di impatto privacy aggiornata, il Comune non può attivare nessuna telecamera di videosorveglianza urbana.

Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/videosorveglianza-comunale-tra-sanzioni-privacy-e-confusione-sui-patti-per-la-sicurezza-urbana/

 

 

10 dicembre 2025 | Fonte: www.garanteprivacy.it

Tra Al e dati personali: la sfida di una democrazia digitale secondo Ginevra Cerrina Feroni

La protezione dei dati personali e la cittadinanza digitale sono diventati temi centrali in un Paese che sta vivendo una trasformazione digitale rapida e complessa. L’adozione di servizi digitali da parte della Pubblica amministrazione, l’uso crescente dell’intelligenza artificiale e la gestione di grandi volumi di informazioni personali richiedono non solo infrastrutture tecnologiche sicure, ma anche cittadini consapevoli dei propri diritti e strumenti adeguati per esercitarli.

In questo contesto, Ginevra Cerrina Feroni, Vicepresidente del Garante per la protezione dei dati personali, svolge un ruolo fondamentale nel promuovere la cultura della protezione dei dati, guidando iniziative di alfabetizzazione digitale e collaborando con scuole, associazioni civiche e istituzioni per garantire che l’innovazione tecnologica sia compatibile con i diritti e le libertà dei cittadini.

Abbiamo avuto l’opportunità di intervistarla per approfondire il livello di consapevolezza dei cittadini italiani, i rìschi legati alla gestione dei dati personali, il ruolo delle istituzioni nella governance digitale e le sfide future per costruire una democrazia digitale inclusiva, sicura e responsabile.

 

Per leggere l’articolo completo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10200860

 

 

11 dicembre 2025 | Fonte: www.agendadigitale.eu

Sanzione a X: così l’UE sfida big tech e USA

La sanzione da 120 milioni di euro contro X per violazioni sistemiche del Digital Services Act diventa il banco di prova della capacità dell’Unione Europea di imporre limiti pubblici al potere delle piattaforme e ridefinire l’ordine informativo digitale globale. La recente decisione della Commissione europea di irrogare a X, la piattaforma di proprietà di Elon Musk, una sanzione di 120 milioni di euro per violazioni sistemiche del Digital Services Act segna senza dubbio un passaggio cruciale nel confronto tra autorità pubblica e potere tecnologico privato. La conferma è chiara nello scontro che è seguito tra Musk, presidente Usa Trump da una parte e commissione Ue dall’altra.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/sanzione-a-x-cosi-lue-sfida-big-tech-e-usa/

 

 

15 dicembre 2025 | Fonte: www.agendadigitale.eu

Executive order sull’AI: perché Trump centralizza regole e mercato

L’11 dicembre 2025 Trump firma un ordine esecutivo con regole AI molto leggere e contro la frammentazione statale Nascono una AI Litigation Task Force al DOJ e un filtro sulle leggi “onerose”, con possibili effetti su contenzioso, preemption e fondi BEAD. Che c’è da sapere, per il futuro delle regole AI.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/executive-order-sullai-perche-trump-centralizza-regole-e-mercato/

Altri articoli sull’argomento: https://www.agendadigitale.eu/industry-4-0/ai-trump-spinge-sulla-deregulation-gli-impatti/

 

 

15 dicembre 2025 | Fonte: www.cybersecurity360.it

Rischi privacy per la conservazione delle e-mail: cosa prevede il Garante

Il provvedimento del 10 luglio 2025 del Garante Privacy riguarda il ciclo di vita delle caselle di posta elettronica messe a disposizione dal datore di lavoro e finite in un limbo di conservazione ingiustificata. Ecco cosa impariamo dalla sanzione di 8.000 euro a un’Università chiamata in causa su questa tematica.

Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/rischi-privacy-per-la-conservazione-delle-e-mail-cosa-prevede-il-garante/

 

 

15 dicembre 2025 | Fonte: www.agendadigitale.eu

Sistemi di gestione privacy: guida alla ISO/IEC 27701 aggiornata

La ISO/IEC 27701:2025 definisce i requisiti per i sistemi di gestione della privacy. La seconda edizione, pubblicata a ottobre 2025, può essere implementata indipendentemente dalla ISO/IEC 27001, introducendo controlli specifici per titolari e responsabili dei trattamenti. La ISO/IEC 27701 è il punto di riferimento internazionale per i sistemi di gestione della privacy, fornendo alle organizzazioni un framework strutturato per il trattamento dei dati personali.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/sistemi-di-gestione-privacy-guida-alla-iso-iec-27701-aggiornata/

 

 

17 dicembre 2025 | Fonte: www.agendadigitale.eu

EDPB, diritto di essere informati e obblighi di trasparenza nel GDPR

La quinta azione coordinata dell’EDPB riporta al centro il diritto di essere informati, verificando come titolari e responsabili rispondono alle richieste di accesso, rettifica e cancellazione. Un banco di prova concreto per gli obblighi di trasparenza GDPR e per la fiducia dei cittadini nei trattamenti. li obblighi di trasparenza GDPR tornano al centro dell’attenzione europea con la quinta azione coordinata di applicazione dell’EDPB, dedicata al diritto di essere informati sui trattamenti dei dati personali.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/edpb-diritto-di-essere-informati-e-obblighi-di-trasparenza-nel-gdpr/

 

17 dicembre 2025 | Fonte: www.federprivacy.it

Attacco hacker alla Asl dell’Aquila, alcune delle vittime chiedono maxi risarcimento danni di 2,5 milioni di euro

Un maxi-risarcimento da 2,5 milioni di euro. È questo il contenuto della diffida stragiudiziale presentata contro la Asl 1 abruzzese dagli avvocati Marco Colantoni, del foro dell’Aquila, e Pier Luigi D’Amore, del foro di Avezzano. L’oggetto della controversia: la violazione dei dati personali di oltre 10mila persone tra pazienti, dipendenti e consulenti dell’azienda sanitaria locale, avvenuta a maggio 2023.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/attacco-hacker-alla-asl-dell-aquila-alcune-delle-vittime-chiedono-maxi-risarcimento-danni-di-2-5-milioni-di-euro

 

 

17 dicembre 2025 | Fonte: www.federprivacy.it

Sistema informazione Schengen: online nel sito del Garante Privacy i nuovi modelli per l’esercizio dei diritti

Sono disponibili sul sito del Garante per la protezione dei dati personali i nuovi modelli per esercitare i diritti di accesso, rettifica e cancellazione dei propri dati personali contenuti nel Sistema informativo Schengen (SIS). La richiesta va indirizzata direttamente al Ministero dell’Interno – Dipartimento della pubblica sicurezza, quale autorità centrale competente sulla sezione nazionale del SIS (N.SIS). Nel caso in cui la richiesta non sia stata riscontrata, in tutto o in parte, dal Ministero dell’Interno, l’interessato può proporre reclamo al Garante con le modalità riportate sul sito www.gpdp.it.

Per leggere l’articolo completo:  https://www.federprivacy.org/informazione/garante-privacy/sistema-informazione-schengen-online-nel-sito-del-garante-privacy-i-nuovi-modelli-per-l-esercizio-dei-dirittiv

 

 

17 dicembre 2025 | Fonte: www.garanteprivacy.it

NEWSLETTER N. 541 del 17 dicembre 2025

 

 

Per leggere l’articolo completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10202719

 

 

17 dicembre 2025 | Fonte: www.federprivacy.it

Il Garante Privacy sanziona Aimag per misure di sicurezza inadeguate

Il Garante privacy ha comminato una sanzione di 300mila euro ad Aimag spa, azienda che gestisce servizi nel settore energetico, idrico, ambientale e del teleriscaldamento, per aver trattato i dati dei propri clienti senza adeguate misure di sicurezza e un’idonea base giuridica per finalità di telemarketing. Il procedimento trae origine da un’istruttoria avviata dall’Autorità a seguito di una segnalazione in cui l’interessato lamentava la mancanza di misure di sicurezza finalizzate a verificare l’identità degli utenti che effettuavano la registrazione nell’area riservata del sito della società, utile per consultare le bollette e lo storico dei consumi.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/il-garante-privacy-sanziona-aimag-per-misure-di-sicurezza-inadeguate

 

 

17 dicembre 2025 | Fonte: www.federprivacy.it

Il Garante Privacy sanziona Verisure Italia per per trattamento illecito di dati personali ai fini di marketing

Il provvedimento nasce dal reclamo di un ex cliente, che aveva continuato a ricevere sms promozionali indesiderati, anche dopo essersi opposto al trattamento dei dati, e dalla segnalazione di un potenziale cliente che, dopo aver richiesto un preventivo, aveva iniziato a ricevere telefonate, email e sms di natura pubblicitaria. In entrambi i casi, le comunicazioni erano proseguite nonostante l’esercizio del diritto di opposizione previsto dal Regolamento Ue.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/garante-privacy/il-garante-privacy-sanziona-verisure-italia-per-per-trattamento-illecito-di-dati-personali-ai-fini-di-marketing

 

 

18 dicembre 2025 | Fonte: www.cybersecurity360.it

Sette anni di GDPR e privacy ancora all’abc: la lezione dalla sanzione a Verisure e Aimag

Il Garante Privacy sanziona Verisure Italia e Aimag, ma le condotte multate sembrano appartenere alla preistoria del Regolamento. Ecco cosa ci insegnano questi due casi.

Per leggere l’articolo completo: https://www.cybersecurity360.it/news/sette-anni-di-gdpr-e-privacy-ancora-allabc-la-lezione-dalla-sanzione-a-verisure-e-aimag/

 

 

18 dicembre 2025 | Fonte: www.agendadigitale.eu

Ci siamo dimenticati della cybersecurity fisica: i rischi che sottovalutiamo

Parliamo di firewall, crittografia, quantum, intelligenza artificiale, e poi scansioniamo QR code trovati per strada e colleghiamo chiavette USB sconosciute. Gli attacchi fisici a cui non pensiamo più partono da quello che tocchiamo. Molte aziende spendono cifre sempre più alte per sistemi di sicurezza informatica avanzata: firewall di ultima generazione, crittografia end-to-end, autenticazione a più fattori, monitoraggio h24. Poi un collaboratore trova una chiavetta USB nel parcheggio e la collega al computer aziendale “per vedere di chi è”. E tutto crolla.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/qr-malevoli-chiavette-trovate-e-wi-fi-gratis-lattacco-e-nel-quotidiano/

 

 

19 dicembre 2025 | Fonte: www.agendadigitale.eu

DPIA e riforma GDPR: cosa cambia con l’elenco unico UE

Nel GDPR attuale la DPIA è una garanzia preventiva: serve a capire prima del trattamento quali rischi corrono le persone e quali misure servono. Con il Digital Omnibus, elenchi, modello e metodo diventano standard comuni UE, per rendere le valutazioni più uniformi e comparabili. Nel dibattito europeo sulla semplificazione delle regole digitali, il Digital Omnibus mira a rendere più uniforme e meno onerosa l’applicazione di varie discipline, incluso il GDPR, senza dichiarare un abbassamento degli standard di tutela.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/dpia-e-riforma-gdpr-cosa-cambia-con-lelenco-unico-ue/

 

 

19 dicembre 2025 | Fonte: www.cybersecurity360.it

Quando il dato viaggia chiuso: la non responsabilità del servizio di recapito

Nel caso dei servizi di recapito, si osserva che il GDPR non attribuisce ruoli e obblighi a chi trasporta informazioni senza poter incidere sul loro contenuto, ma individua tali ruoli e obblighi in capo a chi determina finalità, modalità e destino. La responsabilità non nasce dalla prossimità fisica al dato, ma dal potere di governarlo.

Per leggere l’articolo completo: https://www.cybersecurity360.it/legal/privacy-dati-personali/quando-il-dato-viaggia-chiuso-la-non-responsabilita-del-servizio-di-recapito/

 

 

21 dicembre 2025 | Fonte: www.federprivacy.it

Euro digitale, via libera del Consiglio UE alla posizione negoziale con l’obiettivo di consentire un alto grado di privacy

Semaforo verde del Consiglio UE alla posizione negoziale sull’euro digitale e al rafforzamento dello status di moneta legale del contante. A renderlo noto, è un comunicato stampa del 19 dicembre 2025 dello stesso Consiglio dell’Unione Europea. L’euro digitale dovrà affiancare il contante, con pagamenti anche offline, garantendo elevata tutela della privacy e limiti alle giacenze per evitare rischi alla stabilità finanziaria.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/euro-digitale-via-libera-del-consiglio-ue-alla-posizione-negoziale-con-l-obiettivo-di-consentire-un-alto-grado-di-privacy

 

 

22 dicembre 2025 | Fonte: www.federprivacy.it

Regno Unito: la Commissione UE rinnova la decisione di adeguatezza per il trasferimento dei dati personali

Il 19 dicembre 2025 la Commissione UE ha rinnovato le due decisioni di adeguatezza del 2021 per la libera circolazione dei dati personali con il Regno Unito. Le decisioni garantiscono che i dati personali possano continuare a circolare liberamente e in sicurezza tra lo Spazio Economico Europeo (SEE) e il Regno Unito, in quanto il quadro giuridico del Regno Unito contiene garanzie in materia di protezione dei dati sostanzialmente equivalenti a quelle fornite dall’UE.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/mondo/regno-unito-la-commissione-ue-rinnova-la-decisione-di-adeguatezza-per-il-trasferimento-dei-dati-personali

 

22 dicembre 2025 | Fonte: www.federprivacy.it

La scure dell’Antitrust si abbatte su Apple: sanzione da 98 milioni di euro per abuso di posizione dominante con le proprie regole sulla privacy

L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha irrogato alle società Apple Inc., Apple Distribution International Ltd e Apple Italia S.r.l. una sanzione di oltre 98,6 milioni di euro per abuso di posizione dominante e violazione delle regole sulla privacy. L’Autorità Antitrust ha accertato una condotta restrittiva della concorrenza per quanto riguarda l’App Tracking Transparency (“ATT”) policy, ossia le regole sulla privacy imposte dalla società agli sviluppatori terzi di app distribuite tramite l’App Store.

Per leggere l’articolo completo:  https://www.federprivacy.org/informazione/societa/la-scure-dell-antitrust-si-abbatte-su-apple-sanzione-da-98-milioni-di-euro-per-abuso-di-posizione-dominante-e-violazioni-delle-regole-sulla-privacy

 

 

22 dicembre 2025 | Fonte: www.federprivacy.it

Whistleblowing, canali di segnalazione e protezione dei dati personali: le nuove Linee Guida ANAC

Recentemente, l’ANAC ha varato le Linee Guida sui canali interni di segnalazione e l’aggiornamento alle Linee guida del 2023 sulle segnalazioni esterne ma di valenza generale sul whistleblowing, recependo alcune delle osservazioni formulate dai diversi partecipanti alla pubblica consultazione effettuata a fine 2024 per il canale interno. A questo punto si potrebbe ritenere maturo l’assetto dispositivo nazionale del whistleblowing applicativo del Dlgs 24/2023 che ha recepito la Direttiva UE 2019/1937 su tale materia. Ma solo in parte appare superata quella situazione che in passato avevamo definito a geometria variabile circa la possibilità per gli interessati di ricorrere al whistleblowing, in relazione alle connotazioni dell’organizzazione per cui operano.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/whistleblowing-canali-di-segnalazione-e-protezione-dei-dati-personali-le-nuove-linee-guida-anac

 

 

23 dicembre 2025 | Fonte: www.agendadigitale.eu

Catena del trattamento dati: obblighi e responsabilità del sub-responsabile

La gestione dei sub responsabili nel trattamento dati personali richiede attenzione normativa e operativa. Il Garante Privacy sottolinea l’importanza della nomina formale e della trasparenza verso il titolare. Analisi di casi pratici e obblighi del Responsabile.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/catena-del-trattamento-dati-obblighi-e-responsabilita-del-sub-responsabile/

 

 

24 dicembre 2025 | Fonte: www.cybersecurity360.it

Il caso Tper e i consigli per reagire alle fughe di dati

Roger, l’app per pagare i servizi di Trasporti per l’Emilia-Romagna (Tper) è finita nel mirino dei criminal hacker. Approfittiamo di questo recente episodio per stilare l’elenco delle cose da fare quando i nostri dati vengono violati e per parlare di trasparenza delle imprese.

Per leggere l’articolo completo: https://www.cybersecurity360.it/news/tper-consigli-reagire-fughe-dati/

 

 

24 dicembre 2025 | Fonte: www.agendadigitale.eu

Cosa resta del PNRR digitale: risultati, costi e nodi irrisolti

Dal 2026 la partita si sposta dalla spesa ai risultati: rendicontazione, sostenibilità dei servizi acquistati con fondi straordinari, e responsabilità. Sul digitale la sfida è misurare cosa resta davvero: interoperabilità, semplificazione reale, qualità dei dati, competenze e sicurezza. el 2026 si abbasserà la saracinesca del PNRR (si chiude questo Piano, forse tra eventuali rinvii, per recuperare ritardi, che poi non serviranno molto, ecc.) e si aprirà un tormentato periodo di rendicontazione del Piano, dei singoli progetti, dei risultati (concreti oppure no) ottenuti a fronte delle tante risorse economiche messe a disposizione in questi ultimi quattro anni. Con la messa in moto degli eventuali scarichi di responsabilità.

Per leggere l’articolo completo: https://www.agendadigitale.eu/cittadinanza-digitale/cosa-resta-del-pnrr-digitale-risultati-costi-e-nodi-irrisolti/

 

 

24 dicembre 2025 | Fonte: www.federprivacy.it

Dati sanitari di migliaia di cittadini lombardi in vendita nel Dark Web a 25 euro

«I dati sanitari sono ancora in vendita su Internet. E potrebbero servire per ulteriori truffe o per colpire, per esempio, le aziende per cui lavorano gli utenti». A due mesi di distanza dall’attacco hacker alla piattaforma «Paziente consapevole», usata anche da medici di famiglia e pazienti lombardi — circa 180 mila — per scambiarsi informazioni personali e documenti, continuano i rischi. Ad analizzare le ricadute del furto è Cyberoo, azienda specializzata in cyber security. Secondo un approfondimento condotto dal team di threat intelligence, che si occupa di minacce informatiche, su un forum underground russo un utente con il nickname wizgun ha messo in vendita un database con informazioni sanitarie. Quei dati sarebbero stati «sfilati» dalla app.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/societa/dopo-l-attacco-hacker-alla-piattaforma-paziente-consapevole-dati-sanitari-dei-cittadini-lombardi-in-vendita-nel-dark-web-a-25-euro

 

 

28 dicembre 2025 | Fonte: www.federprivacy.it

La gestione degli incidenti secondo la NIS2 in relazione ai dati personali

La gestione degli incidenti secondo la Direttiva NIS2 presenta diverse complessità. Questo tema è stato affrontato ed è in continuo aggiornamento in numerose comunicazioni pubblicate sotto forma di linee guida, FAQ e deliberazioni dell’Autorità competente. L’ultima deliberazione ad oggi disponibile è quella del 19 dicembre 2025 “Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base”.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/la-gestione-degli-incidenti-secondo-la-nis2-in-relazione-ai-dati-personali

 

29 dicembre 2025 | Fonte: www.federprivacy.it

La gestione degli incidenti secondo la NIS2 in relazione ai dati personali

La gestione degli incidenti secondo la Direttiva NIS2 presenta diverse complessità. Questo tema è stato affrontato ed è in continuo aggiornamento in numerose comunicazioni pubblicate sotto forma di linee guida, FAQ e deliberazioni dell’Autorità competente. L’ultima deliberazione ad oggi disponibile è quella del 19 dicembre 2025 “Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base”.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/la-gestione-degli-incidenti-secondo-la-nis2-in-relazione-ai-dati-personali

 

 

29 dicembre 2025 | Fonte: www.federprivacy.it

“Surveillance pricing”: quando l’intelligenza artificiale usa i nostri dati personali e le nostre emozioni per farci pagare di più

A molti utenti in cerca di offerte convenienti sul web sarà capitato di vedere prezzi che oscillano notevolmente a seconda dei siti che visitano o i momenti in cui fanno una determinata ricerca online. Ma se la tecnica del “dynamic pricing” tradizionale aggiusta i prezzi in base a fattori generali come domanda e offerta, o il periodo stagionale, c’è però un fenomeno che sta prendendo campo molto più invasivo per la privacy e il portafoglio del consumatore, che può fargli visualizzare prezzi più alti anche del 20-25% rispetto alle tariffe standard: si tratta del “surveillance pricing”, una pratica di tariffazione algoritmica con cui le aziende utilizzano l’intelligenza artificiale e tecniche avanzate di analisi dei dati personali per determinare quanto ogni singolo consumatore è disposto a pagare per beni e servizi, studiando accuratamente comportamenti individuali, e creando profili psicometrici che si basano anche su reazioni e stati emotivi.

Per leggere l’articolo completo: https://www.federprivacy.org/informazione/primo-piano/surveillance-pricing-quando-l-intelligenza-artificiale-usa-i-nostri-dati-personali-e-le-nostre-emozioni-per-farci-pagare-di-piu

 

 

30 dicembre 2025 | Fonte: www.cybersecurity360.it

ACN: il report di novembre conferma un quadro di minaccia “a fisarmonica”

Il rapporto mensile di CSIRT Italia osserva un declino degli eventi cyber e in particolare degli attacchi a matrice hacktivista, ma il perimetro critico nazionale è ormai bersaglio strutturale. Ecco l’operational summary dell’ACN di novembre 2025 nei dettagli, con il parere dei nostri esperti.

Per leggere l’articolo completo: https://www.cybersecurity360.it/news/operational-summary-acn-novembre-2025/

 

 

31 dicembre 2025 | Fonte: www.agendadigitale.eu

Digitale e resilienza: la strategia per la PA italiana oltre il PNRR

La PA italiana ha basi solide di Digital Public Infrastructure: milioni di identità digitali, pagamenti e scambi dati in crescita. Il punto critico resta “a monte”: semplificazione dei processi, coordinamento tra enti e capacità di governo di piattaforme e sicurezza, soprattutto nei piccoli Comuni. l digitale non rappresenta più soltanto uno strumento di modernizzazione, ma un vero e proprio fattore di resilienza e competitività, ancor più in un contesto internazionale – come quello attuale – instabile, segnato da tensioni geopolitiche, crisi economiche, cambiamenti demografici e nuovi equilibri globali.

Per leggere l’articolo completo: https://www.agendadigitale.eu/cittadinanza-digitale/digitale-e-resilienza-la-strategia-per-la-pa-italiana-oltre-il-pnrr/

 

 

31 dicembre 2025 | Fonte: www.clusit.it

Newsletter 31/12/2025

  1. Evento del 3 dicembre su NIS2
  2. Attività 2026
  3. Pubblicazioni – Articoli4. Pubblicazioni – Articoli

 

Per leggere l’articolo completo:  https://clusit.it/blog/newsletter-31-12-2025/

 

 

31 dicembre 2025 | Fonte: www.agendadigitale.eu

GDPR e IA: dove il regolamento regge e dove mostra i suoi limiti

Big Data e intelligenza artificiale accelerano l’obsolescenza normativa e mettono alla prova il GDPR. Tra definizioni instabili, re-identificazione e “scatole nere”, il diritto cerca nuovi punti d’appoggio: dalla privacy by design alle garanzie sulle decisioni automatizzate, fino al raccordo con l’Ai Act. Mentre l’umanità scivola in uno stato di «dipendenza sistematica e strutturale dalla datificazione» e assiste alla (o, meglio, produce la) graduale trasformazione delle macchine da strumenti ad agenti, il diritto fatica a tenere il passo.

Per leggere l’articolo completo: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-e-ia-dove-il-regolamento-regge-e-dove-mostra-i-suoi-limiti/

 

Le altre rassegne

GDPR e protezione dei dati: rassegna stampa N° 2/2026

arrow_forward

TRIBUTI: rassegna stampa N° 2/2026 del mese di febbraio

arrow_forward

TRIBUTI: rassegna stampa N° 1/2026 del mese di gennaio

arrow_forward

GDPR e protezione dei dati: rassegna stampa N° 1/2026

arrow_forward

TRIBUTI: rassegna stampa N° 13/2025 del mese di dicembre

arrow_forward