L’Autorità Garante per la protezione dei dati personali ha deliberato in data 30 dicembre 2025 il piano dell’attività ispettiva da svolgere nel periodo da gennaio a giugno 2026, prevedendo almeno 40 accertamenti ispettivi di iniziativa effettuati anche a mezzo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza negli ambiti individuati all’interno del provvedimento.
Viene confermata l’attività di informazione mensile nei confronti del Collegio sull’andamento delle ispezioni, in modo tale da poter valutare l’efficacia delle stesse.
Indice degli argomenti
Piano ispezioni garante privacy 2026: continuità con il semestre precedente
Prosegue l’attività della task force interdipartimentale per gli accertamenti relativi a data breach che hanno coinvolto “banche dati pubbliche di particolare rilievo e delicatezza”, con una particolare attenzione agli aspetti di sicurezza per il contrasto degli accessi abusivi e della rivendita di informazioni riservate.
Vista la coincidenza con la roadmap di implementazione della NIS 2 nel corso del medesimo periodo, l’attenzione delle organizzazioni alla sicurezza di dati e informazioni sarà sensibilmente più elevata e, auspicabilmente, potrebbe proseguire il trend di diminuzione degli incidenti cyber registrato da ACN.
Nel corso delle verifiche e degli approfondimenti sulle violazioni dei dati personali, l’attenzione del Garante sarà focalizzata sugli aspetti tecnici, avendo particolare riguardo per i casi “più estesi e delicati in ambito sia pubblico che privato”.
Whistleblowing e dossier sanitario: le aree sotto osservazione
Prosegue l’attenzione del Garante nei confronti degli strumenti per l’acquisizione e la gestione delle segnalazioni di whistleblowing, con verifiche sull’impiego degli applicativi maggiormente diffusi, nonché dei trattamenti dei dati personali contenuti nel dossier sanitario.
Gli aspetti comuni che prevedibilmente saranno sotto la lente del Garante riguarderanno la sicurezza e la corretta implementazione di policy di regolamentazione e monitoraggio degli accessi.
Telemarketing nel settore energetico: una priorità stabile
Prosegue l’attenzione del Garante al fenomeno dei trattamenti illeciti di dati nel telemarketing nel settore energetico, seguendo così il solco di un’attività ispettiva di lungo corso, in riscontro a segnalazioni e reclami ricevuti, nonché alla serie di provvedimenti emessi nei confronti degli operatori del settore.
È interessante notare come tale settore specifico (energetico) sia ormai in modo sostanzialmente stabile sotto la lente dell’Autorità, la cui azione ispettiva e sanzionatoria è comunque attiva anche su altri settori, come ad esempio quello delle telecomunicazioni, sotto l’aspetto della verifica delle violazioni in ambito di telemarketing.
Ciò che si auspica è che vedere confermata anche in questo semestre l’attenzione in tale peculiare settore possa spingere i player a conformare pienamente la propria rete vendita alla disciplina di legge e, perché no, a fare un passo ulteriore conformandosi (ed aderendo) al Codice di condotta in materia di telemarketing e teleselling, in modo da capitalizzare tale investimento in conformità, riacquisendo fiducia da parte dei consumatori.
Nuovi ambiti del piano ispettivo: IA, dogane e pseudonimizzazione
Uno dei nuovi ambiti oggetto di attenzione emergenti dal piano ispettivo è l’utilizzo degli strumenti di intelligenza artificiale in ambito scolastico, punto d’incontro di due elementi di rischio elevato quali il coinvolgimento di interessati intrinsecamente fragili (minori) e l’impiego di tecnologie innovative.
Un nuovo campo verso cui sarà rivolta l’attività ispettiva è quello dei trattamenti nell’ambito del Sistema informativo doganale nella mutua assistenza tra autorità, così come previsto dal Reg. UE 2015/152, per facilitare l’interscambio di informazioni e il recupero delle stesse dalla banca dati centrale.
Un ambito peculiare di ispezione, collegato agli effetti della sentenza CGUE del 4 settembre 2025, è quello relativo al “caso Deloitte” e la pseudonimizzazione. Questo riguarderà gli “approfondimenti volti ad acquisire un quadro di conoscenza unitario in ordine alle policy e alle tecniche di anonimizzazione dei dati implementati dalle Telco per la condivisione dei big data”.
Molto probabilmente, con lo scopo di fornire indicazioni e linee guida per trovare così un punto di equilibrio e bilanciare la possibilità di impiego di dataset “sufficientemente anonimizzati” senza che la tutela degli interessati venga compromessa.
Security by design: il filo rosso del semestre
Il fil rouge emergente dall’attività ispettiva del semestre è il rispetto del principio di integrità e riservatezza, con lo stimolo di un approccio proattivo alla sicurezza da parte delle organizzazioni, anche nel tracciato degli ultimi provvedimenti che hanno promosso un metodo di lesson learning.
Sul piano sanzionatorio, infatti, sono proprio gli aspetti di proporzionalità e dissuasività che richiedono una valutazione della condotta del titolare nell’affrontare le conseguenze di un data breach.
La security by design si conferma un approccio che le organizzazioni devono seguire al fine di mantenere ed evolvere il proprio modello di business, coniugandolo con tutte le garanzie richiamate dalla privacy by design, in cui si pone in rilevanza l’aspetto della raccolta e dell’impiego lecito dei dati.
I professionisti della privacy devono dunque essere ancor più esperti di sicurezza? Non proprio. Piuttosto, devono poter contare su risorse adeguate – soprattutto i DPO – e su team di supporto e altre professionalità maggiormente verticalizzate sugli aspetti di data security.
Altrimenti, si rischia di perdere d’occhio il ruolo – che nel DPO è attribuito direttamente dal GDPR – del professionista come presidio generale e di controllo della conformità delle attività di trattamento alla normativa in materia di protezione dei dati personali.
Un ambito già sufficientemente complesso, che lascia ben poco tempo (risorsa democraticamente finita ed esauribile) alla possibilità di applicare ulteriori specializzazioni.
Conclusioni: cosa suggerisce il piano per organizzazioni e professionisti
Gli ambiti di intervento individuati dal piano ispettivo possono stimolare sia le organizzazioni che i professionisti a tenere in debita considerazione i contesti emergenti, siano essi la sicurezza o l’impiego di nuove tecnologie o la reingegnerizzazione di taluni processi, privilegiando quell’approccio di metodo che altro non è che il precipitato del principio di accountability.
