Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

approfondimento

Il futuro della privacy digitale tra Gdpr e nuove sfide tecnologiche

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La tutela della privacy in ambito digitale è diventata un pilastro essenziale per la gestione responsabile dei dati personali da parte di aziende, professionisti e istituzioni. Alla crescente emanazione di specifiche normative corrispondo obblighi che, tuttavia, costituiscono al tempo stesso una preziosa occasione per sfruttare appieno le opportunità offerte dalla digitalizzazione

Pubblicato il 12 nov 2025
Lorenzo Giannini

Consulente legale privacy e DPO

paradosso della privacy; privacy digitale

In un contesto socioeconomico in cui le evoluzioni tecnologiche corrono veloci e la digitalizzazione pervade ormai molti aspetti della vita lavorativa, si assiste a una crescente risposta sotto il profilo normativo, che si riflette sulla necessità per aziende, professionisti e istituzioni di ripensare alle proprie strategie e strumenti per garantire efficacemente la protezione dei dati personali e la riservatezza delle informazioni acquisite.

Inganno, soldi, potere: ecco il MUAI, il lato più buio dell’AI per le aziende

Privacy digitale: guida essenziale per aziende e professionisti

La privacy applicata al contesto dell’uso di nuove tecnologie e della rete non solo comporta specifici obblighi in capo ai titolari del trattamento, dettati da sempre più numerose ed emergenti regolamentazioni, ma rappresenta una vera e propria responsabilità strategica che deve orientare le proprie scelte organizzative. Oltre al tema della compliance normativa, infatti, la protezione dei dati personali è strettamente connessa alla salvaguardia della fiducia dei clienti, alla prevenzione dei rischi reputazionali e alla garanzia di una efficace continuità operativa.

Il tema trova un’applicazione trasversale, sia perché le attività di trattamento dei dati personali riguardano tutti i contesti, pubblici e privati, in ragione dell’ampia definizione prevista dal legislatore europeo all’art. 4 GDPR (Regolamento (UE) 2016/679) dei termini “trattamento” e “dato personale”, così da rendere remota l’ipotesi che un’azienda o un professionista non si trovi mai nella condizione di trattare dati personali; sia perché, come rilevato in premessa, le attuali modalità operative di istituzioni, aziende e professionisti, difficilmente prescindono totalmente dal ricorso alla digitalizzazione per svolgere le attività di trattamento.

Invero, occorre considerare come si stia facendo sempre più strada l’utilizzo di applicativi automatizzati o basati su intelligenza artificiale (AI) che, come tali, elevano a un livello superiore la necessità di arginare i rischi per i diritti e le libertà dei soggetti interessati, a cui i dati oggetto del trattamento si riferiscono.

La protezione dei dati in Europa: dal GDPR ai nuovi regolamenti

Sebbene sia stato adottato nel 2016, è dal 25 maggio 2018 che, con la sua entrata in vigore, il Regolamento (UE) 2016/679 (noto anche come GDPR) ha ridefinito gli standard europei per la protezione dei dati personali – ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, punto 1, GDPR) – imponendo ai titolari del trattamento il rispetto sostanziale di principi fondamentali e l’adeguamento a obblighi formali nell’ambito delle attività di trattamento svolte.

La citata rapida e incessante evoluzione tecnologica, tuttavia, ha costretto a un ampliamento del panorama normativo: a livello europeo, regolamenti come il Digital Service Act, il Digital Markets Act, l’AI Act e la direttiva NIS 2; a livello italiano, il recepimento della direttiva 1152/2019 (avvenuta con il D. Lgs. 104/2022) sulla trasparenza delle informazioni da fornire al lavoratore nel caso di impiego di “sistemi decisionali o di monitoraggio automatizzati” o, ancora, la recente entrata in vigore della legge delega sull’intelligenza artificiale.

Tutti interventi volti a migliorare e intervenire in modo capillare su particolari fattispecie e rischi connessi in ragione dell’impiego delle nuove tecnologie digitali, che comportano per i titolari del trattamento un costante monitoraggio e adeguamento delle politiche di trattamento e dei modelli adottati.

L’impatto del GDPR sulle aziende: obblighi, diritti e sanzioni

Nonostante prima della sua entrata in vigore fosse già presente in Italia una normativa sulla privacy (D. Lgs. 196/2003, novellato con il D. Lgs. 101/2018), l’impatto del GDPR è stato rilevante per le aziende, fortemente responsabilizzate e alle quali è stata richiesta – oltre al rispetto degli altri principi previsti ex artt. 5 e 25 GDPR – l’adozione di politiche e l’attuazione di misure di sicurezza adeguate al fine di garantire ed essere in grado di dimostrare la conformità alla normativa (principio di accountability, art. 24 GDPR).

Inoltre, il combinato disposto del regolamento europeo e del nostro Codice privacy (D. Lgs. 196/2003 s.m.i.) hanno richiesto alle aziende, sotto il profilo formale, l’adozione di un ecosistema documentale (procedure e tempi di risposta precisi per riscontrare le richieste di esercizio da parte degli interessati, informative, atti di nomina, registri, etc.) che permettesse il sostanziale rispetto di quanto richiesto dal principio di accountability poco sopra richiamato, ossia la garanzia e la trasparenza nei confronti degli interessati e la possibilità di dimostrare il rispetto della normativa nei confronti dell’Autorità di controllo.

La risposta sanzionatoria sotto il profilo amministrativo, di cui all’art. 83 GDPR, è molto incisiva, prevedendo sanzioni che nella fascia più aspra possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Digital Services Act e AI Act: l’evoluzione normativa che cambia le regole del gioco

L’esigenza a livello europeo di aggiornare la propria strategia digitale ha comportato l’introduzione di nuove regole e responsabilità in ambito digital, nonché sulla trasparenza e la governance dell’intelligenza artificiale, principalmente attraverso il Digital Service Act (DSA) e l’AI Act.

In sintesi, mentre il primo regola i fornitori di servizi digitali come le piattaforme online, introducendo obblighi volti a garantire maggiore trasparenza, responsabilità e sicurezza a tutela degli utenti, con l’AI Act vengono previsti requisiti per lo sviluppo e l’utilizzo dell’intelligenza artificiale, al fine di rendere i sistemi sicuri, proteggere i dati personali degli utenti e i loro diritti fondamentali.

Entrambe le norme presuppongo quindi per le aziende una revisione profonda dei propri processi tecnologici e organizzativi, con impatto positivo per gli utenti.

Pseudonimizzazione e crittografia

Quello della sicurezza è un tema centrale anche nel regolamento europeo sulla privacy, in considerazione del fatto che la finalità della norma è proprio quella di proteggere il dato delle persone fisiche e, con esso, i diritti e le libertà di quest’ultime (cfr. art. 1 GDPR).

Il legislatore europeo non fissa, all’articolo 32 del regolamento, delle misure “minime” di sicurezza (a differenza di quanto invece avveniva nel nostro Paese ante GDPR), bensì “adeguate”: è compito, pertanto, del titolare del trattamento – in linea con il richiamato principio di accountability, nonché con quello di responsabilizzazione di cui al secondo comma dell’art. 5 GDPR – attuare le misure di sicurezza tecniche e organizzative che ritiene opportune in considerazione del proprio contesto e del profilo quali-quantitativo di dati personali trattati.

In particolare, ai sensi dell’art. 5, comma 1, lett. f), GDPR, è richiesto che i dati personali siano “trattati in maniera da garantire un’adeguata sicurezza […] da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di “integrità e riservatezza”).

Pseudonimizzazione e crittografia rappresentano certamente – tra le altre – due misure di sicurezza fondamentali per la protezione dei dati personali: mentre la prima consente di modificare i dati personali (ad esempio, attraverso la loro sostituzione con dei codici) in modo da non renderli direttamente attribuibili a una persona specifica1 senza l’ausilio di informazioni aggiuntive, le tecniche di crittografia consentono di trasformare i dati in un formato cifrato, in modo che siano leggibili solo da soggetti autorizzati, così da proteggere le informazioni durante la trasmissione e archiviazione.

Il ruolo del responsabile della protezione dei dati (DPO) nel nuovo scenario

Quella del responsabile per la protezione dei dati (o DPO, Data Protection Officer) è una figura centrale nella governance della privacy aziendale, che deve essere obbligatoriamente presente nei casi stabiliti dal primo comma dell’art. 37 GDPR, o che può essere comunque nominato in via facoltativa dal titolare negli altri casi.

In ragione dei suoi compiti di informazione, sorveglianza, gestione delle relazioni con l’Autorità di controllo, nonché di promozione di una cultura della privacy all’interno dell’organizzazione, appare evidente come un rinnovato scenario che preveda l’uso pervasivo di nuove tecnologie o la digitalizzazione dei processi, richiedono a questa figura un contributo attento nella gestione strategica del rischio, in modo da accompagnare un’innovazione responsabile.

Il DPO tra GDPR e IA: come cambiano le responsabilità e sfide professionali

L’automazione introdotta con l’applicazione dell’intelligenza artificiale anche nel contesto aziendale, così come il generale aumento della digitalizzazione e complessità tecnologica dei processi, richiedono al DPO un aggiornamento costante e trasversale, che lo porti a interfacciarsi con i reparti IT, nonché a travalicare – più di quanto non gli fosse già richiesto in passato – l’area legale per abbracciare anche quella informatica e di cybersicurezza.

Il ruolo del DPO, pertanto, si arricchisce di nuove responsabilità, connesse alla valutazione degli impatti dell’intelligenza artificiale adottata nell’organizzazione, la correttezza dei criteri e delle logiche di funzionamento degli algoritmi implementati, al fine di garantire il rispetto di principi quali trasparenza, sicurezza e non discriminazione. Tale compito si pone come un dovere professionale che richiede flessibilità, visione strategica e capacità di anticipare i rischi emergenti, compresi quelli tecnici e organizzativi, ma anche etici.

La privacy digitale come leva competitiva per il business

Se da un lato la conformità alle molteplici normative può essere vista come un obbligo, dall’altra è opportuno che sia percepita anche come un’opportunità strategica di crescita per l’azienda.

È innegabile, infatti, come le organizzazioni che adottano un approccio proattivo rispetto alla compliance normativa possono rafforzare la fiducia e la reputazione da parte dei clienti e accedere più facilmente a nuovi mercati, generando vantaggi competitivi. La privacy digitale può così diventare una leva di innovazione e di business, soprattutto considerando come oggi vi sia una sensibilità maggiore da parte della collettività sul tema della protezione dei propri dati personali e della riservatezza.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Lorenzo Giannini
Consulente legale privacy e DPO
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • pec posta elettronica certificata

  • La guida

    Pec: cos'è, come ottenerla, obblighi e vantaggi della Posta elettronica certificata

    23 Apr 2025

    di Giovanni Manca

    Condividi
  • Google vaultgemma; furto documenti; indipendenza garanti privacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi