Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

GDPR

GDPR, tutto ciò che c’è da sapere per essere in regola

Home Cittadinanza digitale
Partecipa al dibattito
Indirizzo copiato

Ancora nel 2024 molte imprese e PA sono impreparate ad accogliere le novità del GDPR, il regolamento europeo sulla protezione dei dati personali del maggio 2018. Questo articolo contiene tutte le informazioni e i link alle risorse utili per potersi destreggiare nella rivoluzione

Aggiornato il 4 giu 2025
Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Alessandro Longo

Direttore agendadigitale.eu

gdpr
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Il GDPR uniforma le regole UE per la protezione dei dati, introducendo accountability, privacy by design e diritti ampliati come la portabilità, con pesanti sanzioni per la non conformità.
  • Imprese e PA devono nominare il DPO, tenere il Registro dei trattamenti, notificare i data breach e adeguarsi al D.Lgs. 101/2018; i trasferimenti internazionali sono influenzati da Schrems II e dal Data Act.
  • Autorità e Garante esercitano poteri sanzionatori e promuovono codici di condotta; emergono criticità legate a Intelligenza Artificiale, ai dark pattern e al modello pay or ok, con strumenti come lo one stop shop.
Riassunto generato con AI

Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre 2017 il WP29 ha adottato tre fondamentali provvedimenti che hanno avuto importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. A preoccupare sono, però, gli spazi di autonomia che permangono in capo ai singoli Stati Membri nel disciplinare in maniera più specifica rispetto al GDPR alcuni aspetti non ricompresi nella competenza dell’UE in base al principio di attribuzione. Tale circostanza potrebbe far sorgere contrasti tra le diverse Autorità di controllo nazionali che si trovino ad disciplinare nello specifico e applicare in concreto a livello nazionale le disposizioni del GDPR.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR:

  • Si introduce il concetto di responsabilizzazione o accountability del titolare;
  • Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
  • Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
  • Si introducono regole più chiare su informativa e consenso;
  • Viene ampliata la categoria dei diritti che spettano all’interessato;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
  • .

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Per effetto della sentenza della CGUE di luglio 2020, Schrems II, è stata dichiarata l’invalidità del Privacy Shield ed è stata sollevata anche forte perplessità sul ricorso ai meccanismi previsti dalle SCCs e dalle BCRs per il trasferimento dei dati non solo verso gli Stati Uniti ma verso tutti i Paesi situati fuori dallo Spazio Unico Europeo. Alla fine del 2020 l’EDPB ha elaborato delle raccomandazioni per fornire un supporto ai Titolari nella valutazione dei trasferimenti.

Nel corso del 2022, i negoziati per raggiungere un nuovo accordo tra UE e USA hanno ripreso con nuovo slancio. Sul fronte statunitense si è registrata da parte del presidente Biden l’emanazione di un nuovo executive order che ha previsto degli strumenti rimediali per gli interessati a fronte di accessi illeciti ai dati personali da parte delle autorità di sorveglianza, ma alcune criticità rimangono ancora sul tavolo, come evidenziato dall’EDPB nel parere reso alla Commissione sul nuovo progetto di decisione di adeguatezza. I Titolari del trattamento soggetti al GDPR, pertanto, devono implementare procedure, valutazioni e misure supplementari per garantire la conformità al Regolamento di eventuali trasferimenti di dati al di fuori del SEE.

È bene ricordare che, negli ultimi mesi, sono emerse importantissime novità, impattanti sul GDPR e sulla normativa data protection in generale. Tali novità, difatti, riguardano non solo il fronte dello sviluppo delle nuove tecnologie e dell’Intelligenza Artificiale, ma anche in relazione a tematiche ormai ben sedimentate nel panorama della data protection (come il ruolo del Data Protection Officer). Parimenti importanti i nuovi codici di condotta, elaborati, rispettivamente, negli ambiti del telemarketing e del diritto del lavoro. Tutte queste novità arricchiscono il già articolato panorama digitale, ma sono fondamentali per comprendere meglio alcuni aspetti e identificare importanti tendenze, le quali non devono essere trascurate.

Gdpr e normativa italiana, il decreto legislativo

In data 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplifica la gestione dei trattamenti e garantisce un approccio uniforme. Le imprese che operano in più Stati Ue possono quindi rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano nazionale Industria 4.0 (ora Transizione 4.0) che permette di investire in merito all’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati;
  2. L’istituzione del Registro delle attività di trattamento;
  3. La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.

Con riguardo a ciò, si ricorda quanto stabilito dal Regolamento (UE) 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo o Data Act, il quale è entrato in vigore l’11 gennaio 2024, ma sarà applicabile a partire dal 12 settembre 2025.

Nello specifico, il tema della portabilità dei dati ricorre anche nel Data Act. In primo luogo, si ricorda che il diritto alla portabilità è stato introdotto con l’art. 20 del GDPR (quindi relativamente ai soli dati personali). Tale norma stabilisce che l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, qualora il trattamento sia effettuato in base al consenso o a un contratto e tramite mezzi automatizzati​.

Per cui, come rientra il tema della portabilità dei dati con riguardo al Data Act? Bisogna considerare che quando si acquista un prodotto connesso (elettrodomestico o macchinario industriale smart) che genera dati, spesso non è chiaro chi può fare cosa con tali dati (ad esempio, nei contratti, è spesso stipulato che tutti i dati generati sono esclusivamente raccolti e utilizzati dal produttore del prodotto o dispositivo il cui uso genera dati). ​Con il Data Act si ha un’estensione del diritto alla portabilità a qualsiasi dato generato dall’uso di macchine e dispositivi.

Pertanto, grazie al Data Act è sufficiente chiedere all’azienda X di trasferire i dati all’azienda Y che offre un analogo servizio. Si tratta di un diritto alla portabilità rafforzato.​

Infografica - Sicurezza dei dati in azienda la vulnerabilita da proteggere

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.

Data breach Gdpr

Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue.

Per supportare le organizzazioni nella gestione di eventuali violazioni di dati personali, l’EDPB (European Data Protection Board) ha adottato il 14 gennaio 2021 la prima versione delle Linee Guida 01/2021 on Examples regarding Data Breach Notification, successivamente adottate in versione finale il 14 dicembre 2021. Queste Linee Guida forniscono esempi pratici di data breach ed integrano le Linee Guida sulla notifica della violazione dei dati personali adottate a febbraio 2018 dall’ex WP29 (ora EDPB), queste ultime sono state aggiornate il 28 marzo 2023 con l’adozione formale delle linee guida 09/2022 dell’EDPB.

A livello nazionale il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità di una violazione dei dati personali.

Registro delle attività di trattamento

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, obbligatorio per le imprese che contano almeno o più di 250 dipendenti. Tale previsione non si applica, quindi, alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio, da esibire su richiesta del Garante. Il registro deve avere forma scritta, anche elettronica.

Il Registro dei trattamenti è quindi un documento contenente le principali informazioni di cui all’art. 30 del GDPR relative alle operazioni di trattamento svolte sia dal Titolare del trattamento e, se nominato, dal Responsabile del trattamento. Il Garante Privacy, al fine di fornire risposte alle domande più comuni in relazione al Registro, ha elaborato ad ottobre 2018 delle FAQ contenenti le informazioni che devono essere contenute sia nel Registro del Titolare che del Responsabile e le modalità per la sua conservazione e il suo aggiornamento.

Le responsabilità e le sanzioni per le aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Ecco tutto ciò che c’è da sapere sulle sanzioni GDPR. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte anche alcune fattispecie di illeciti penali.

Clicca qui per analizzare i tuoi cookies e rendere compliant il tuo sito hbspt.cta.load(3901390, ‘310e75f2-2b5f-4274-b72d-b47e87eac084’, {“useNewLoader”:”true”,”region”:”na1″});

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  1. Riferisce direttamente al vertice,
  2. E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  3. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale.
  4. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

Di recente, il Garante privacy, insieme con l’Associazione Bancaria Italiana (ABI), ha elaborato una disamina sul ruolo del Data Protection Officer (DPO) all’interno del settore bancario alla luce di una ricerca coordinata sul punto.

Tale ricerca offre una prima “fotografia” sul ruolo svolto da parte del DPO in tale settore. Tale attività rappresenta il primo risultato del progetto di costituzione di una “Rete dei Responsabili della protezione dati nel settore bancario”, un gruppo di lavoro permanente, per favore il confronto informativo tra l’Autorità e i DPO coinvolti nella gestione di trattamenti così complessi.

Nell’ambito di questa iniziativa, il Garante ha suggerito al gruppo di lavoro di avviare l’attività facendo una verifica dello stato di radicamento della funzione di DPO all’interno delle banche a distanza di cinque anni dalla sua istituzione mediante un questionario ad hoc (al quale hanno risposto 87 tra banche individuali e capogruppo di gruppi bancari). Per l’occasione, sono state proposte domande sulle modalità di designazione, sui requisiti necessari per svolgere i compiti previsti, sulle risorse assegnate, sul suo ruolo e sulla sua posizione nell’ambito dell’organizzazione societaria.

Dal questionario è emerso come i DPO siano nominati con un atto di designazione, abbiano un’esperienza principalmente di area giuridica, economica e tecnica e un’esperienza tra i 3 e gli 8 anni o più. Il questionario ha previsto anche una parte di “osservazioni e suggerimenti”, dal quale sono emersi i seguenti temi: attenzione per i rischi collegati all’intelligenza artificiale ed esigenza di un costante coordinamento tra le Autorità e le normative nazionali ed europee del settore finanziario.

Il Garante si è soffermato sul ruolo strategico dei DPO e ha, infatti, dedicato agli stessi numerose iniziative, a partire dal progetto T4Data, promuovendo anche la creazione di “reti di DPO” per settori omogenei, di cui l’iniziativa in ambito bancario rappresenta un significativo esempio.

LEGGI QUI UN APPROFONDIMENTO SU DPO

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Quanto costa il Gdpr per le aziende italiane, quanto sono pronte e consigli per ottimizzare la spesa

Le stime dicono che i costi di adeguamento al GDPR si aggirano intornono ai 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti è arrivata a stimare 2 miliardi di euro. Leggi qui l’approfondimento su costi del Gdpr per le aziende italiane e i consigli per ottimizzare la spesa.

I dodici nuovi diritti per il cittadino con il Gdpr

I cittadini devono conoscere meglio i diritti e gli strumenti che il Gdpr conferisce loro per tutelare i dati personali. Questo articolo è una guida sui nuovi diritti Gpdr per i cittadini ue e in generale l’impatto delle nuove regole su di loro.

I poteri dell’autorità di controllo (Garante privacy)

All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie. Ecco che c’è da sapere sui poteri del garante privacy nel GDPR.

Adeguare la PA al GDPR

Diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il DPO (responsabile trattamento dati) la trasparenza del responsabile trattamento dati e altre misure. Ecco la guida completa per GDPR e PA.

In particolare, le modifiche contenute nel Decreto Capienze all’art. 2ter del Codice Privacy hanno esteso i poteri delle PA di determinare la base giuridica del trattamento individuata non solo dalla legge e dal regolamento, ma anche dagli atti amministrativi generali. Ai fini della compliance, questo comporterà per le PA la necessità di svolgere delle valutazioni interne in relazione alla corretta individuazione della base giuridica e delle finalità del trattamento. Inoltre, l’abrogazione dell’art. 2-quinquiesdecies Codice Privacy, che permetteva il parere preventivo del Garante Privacy in relazione ai trattamenti suscettibili di avere un rischio alto sui diritti e le libertà degli interessati, ha finito per rendere le Pubbliche Amministrazioni più accountable. Le Pubbliche Amministrazioni, infatti, dovranno assumersi il rischio della non conformità delle scelte effettuate sia in termini di liceità del trattamento sia sulla corretta individuazione e implementazione delle misure di sicurezza poste a presidio dei trattamenti e delle istruzioni operative date ai fornitori responsabili del trattamento, come già rilevato dal Garante nel provvedimento sanzionatorio contro Roma Capitale.

Privacy e Trasparenza con il GDPR

Tra le molte novità, il GDPR apre una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse. In questo contesto, è importante sottolineare come il regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

Sul tema della trasparenza grande attenzione è posta alle attività online poste in essere dai titolari del trattamento, anche a seguito della spinta alla digitalizzazione portata dalla pandemia. Sul punto, l’EDPB ha emanato le linee guida sui dark pattern nelle interfacce delle piattaforme di social media, dando istruzioni su come riconoscerle ed evitarle (Linee guida EDPB n. 03/2022). Nell’ambito delle attività delle Autorità di controllo, invece, grande attenzione è stata posta in relazione al design trasparente dei siti web e, in particolare, nella costruzione dei banner per l’installazione dei cookie e ciò in coerenza con la task force creata dall’EDPB che ha pubblicato un report il 17 gennaio 2023.

Un’importante novità in tema di dark pattern è prevista dall’articolo 25 del Regolamento Ue 2022/2065 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali o meglio noto come Digital Services Act), il quale stabilendo che: “I fornitori di piattaforme online non progettano, organizzano o gestiscono le loro interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi o da materialmente falsare o compromettere altrimenti la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate” pone un divieto all’utilizzo dei dark pattern.

Buttarelli, GDPR: “Ecco come cambierà il rapporto tra privacy e trasparenza”

GDPR e diritto all’oblio

La vera novità che arriva con il Gdpr sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano.

Sul tema l’EDPB ha elaborato le Linee Guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del GDPR. In particolare, le Linee Guida 5/2019 indicano sia i motivi che un interessato può invocare per chiedere la deindicizzazione a un fornitore di motore di ricerca ai sensi dell’articolo 17, par. 1, del GDPR che le eccezioni al diritto di richiedere la deindicizzazione. Anche in ambito nazionale, il Garante per la protezione dei dati personali si è pronunciato diverse volte in merito alla deindicizzazione di informazioni riferite agli interessati presenti sui motori di ricerca online.

L’impatto sui diritti dei cittadini è importante, ecco perché: LEGGI LE NOVITÀ GDPR SUL DIRITTO ALL’OBLIO

Perché il GDPR è un investimento necessario per il futuro di aziende e PA

Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale. Approfondisci qui.

Le ultime novità sui codici di condotta

Con provvedimento del giorno 11 gennaio 2024, il nuovo Codice di condotta per le agenzie per il lavoro ha ricevuto il via libera da parte del Garante privacy. Tale nuovo codice di condotta definisce norme chiare per la sicurezza dei dati sensibili dei candidati e rappresenta uno strumento di “buona prassi” per il corretto trattamento dei dati effettuato nell’ambito delle attività di intermediazione, ricerca e selezione del personale. Tra le altre cose, il codice introduce alcune significative previsioni a tutela dei candidati a posizioni lavorative, anche al fine di non consentire possibili discriminazioni nell’accesso al mercato del lavoro. In particolare, le Agenzie che aderiscono al Codice si impegnano a trattare solo dati strettamente necessari all’istaurazione del rapporto di lavoro, non devono pertanto svolgere indagini sulle opinioni politiche, religiose o sindacali dei lavoratori o effettuare preselezioni sulla base di informazioni che riguardano stato matrimoniale, gravidanza, handicap, neanche con il consenso dei candidati. Con lo stesso provvedimento, l’Autorità ha accreditatol’Organismo dimonitoraggio, un ente indipendente formato da tre componenti esterni rispetto al soggetto promotore e con il compito di verificare l’osservanza del codice da parte degli aderenti nonché gestire la risoluzione dei reclami.

Circa il Codice di condotta per le attività di telemarketing e teleselling, con provvedimento del 7 marzo 2024 è stato accreditato l’Organismo di monitoraggio contro le pratiche illecite, così da garantire la piena efficacia delle nuove regole. Nello specifico, il Garante ha accreditato l’Odm – preposto da Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA – Data & Marketing Association Italia, OIC – Osservatorio Imprese Consumatori – alla verifica del rispetto del codice di condotta per la durata tre anni non rinnovabili con riguardo al primo mandato e fermo restando che il regolamento dell’Odm prevede che i mandati successivi abbiano una durata di cinque anni.

Pay or Ok – Il Garante avvia una consultazione pubblica

L’Autorità Garante per la protezione dei dati personali ha avviato una consultazione pubblica per valutare la liceità del consenso per trattamenti di profilazione raccolto da diversi titolari, e dagli editori di giornali, attraverso l’adozione del cosiddetto modello “pay or ok” (anche denominato “pay or consent” o “consent paywall” etc.).

In breve, tale modello impone agli utenti, per accedere ai contenuti, ai servizi o alle funzionalità offerte online, di scegliere se sottoscrivere un abbonamento a pagamento oppure acconsentire al trattamento dei propri dati personali, attraverso cookie e strumenti di tracciamento, ai fini di profilazione commerciale. In mancanza di una delle due opzioni, l’accesso ai siti è bloccato.

La consultazione pubblica è stata avviata per acquisire contributi, proposte, osservazioni in merito ai seguenti aspetti:

  1. se sia da ritenersi compatibile con le finalità e la ratio della vigente disciplina in materia di consenso al trattamento dei dati personali, che esigono che il consenso sia libero e consapevole, la circostanza che, in caso di prestazione di un unico consenso – indispensabile quale valida alternativa al perfezionamento di un contratto a titolo oneroso che implichi la corresponsione di un correspettivo economico – l’interessato accetti la condivisione automatica dei propri dati personali per ogni finalità sottesa all’effettuazione di trattamenti di profilazione commerciale attraverso cookies e altri marcatori da parte di diverse centinaia di soggetti ignoti o diversamente noti; ciò con riferimento ad un consenso prestato necessariamente in forma aggregata e in assenza di condizioni idonee a garantire all’interessato prevedibilità circa le conseguenze della sua prestazione e un controllo effettivo sui propri dati personali;
  2. se e quali possibili alternative all’attuale binarietà delle proposte commerciali indirizzate agli utenti per il tramite di sistemi di Pay or Ok sussistano, di minor impatto in termini di compressione del diritto alla privacy degli interessati;
  3. quali soluzioni siano idonee a garantire all’interessato consapevolezza e piena prevedibilità degli effetti dell’eventuale prestazione del consenso in termini di diritto di accedere a una quantità e qualità date di contenuti editoriali ovvero di altra tipologia di servizi e funzionalità offerti, in modo da rispettare la disciplina di legge che impone che il consenso eventualmente prestato risulti, oltre che libero e specifico, anche debitamente informato.

L’iniziativa si inserisce nel quadro delle istruttorie già avviate dall’Autorità nei confronti di numerosi editori di giornali che utilizzano tale modalità di business ritenuta controversa sul piano della normativa privacy, in particolare sulla possibilità di considerare libero il consenso eventualmente prestato dall’utente. La maggior parte degli interessati, infatti, pur di accedere “gratuitamente” ai contenuti o alle funzionalità e ai servizi offerti, acconsente al trattamento dei propri dati, spesso neppure comprendendo a pieno gli effetti delle proprie scelte.

Le più recenti sanzioni

Il Garante privacy ha emanato un provvedimento sanzionatorio nei confronti di una società fornitrice di energia elettrica e gas, condannandola al pagamento di una sanzione di 300.000 euro, per aver trattato in modo illecito i dati di un centinaio di persone che si erano rivolte all’Autorità lamentando la ricezione di chiamate indesiderate effettuate in mancanza di un’idonea base giuridica e spesso attraverso l’uso di tecniche commerciali particolarmente invasive.

In sintesi, il Garante ha affermato che il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se all’interessato sono garantiti una scelta effettiva e il controllo sui propri dati. L’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (es. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per form e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali.

Andando più nello specifico, per quanto riguarda i form per la raccolta dei consensi utilizzati dalla Società, questi presentavano 3 distinte formule per l’acquisizione del consenso:

  • consenso per l’invio di comunicazioni commerciali da parte del portale (da parte di nuoveofferte.com);
  • consenso per la cessione a terzi ai fini promozionali;
  • consenso per finalità di profilazione.

Secondo il Garante, la seconda formula (cessione a terzi ai fini promozionali) non consentiva di conferire un consenso libero, specifico e granulare per via dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti tra loro.

Infatti, l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa.

La formula utilizzata dalla Società era la seguente: «Acconsento la cessione per scopi di marketing e commerciali, con l’uso del telefono con operatore e/o con sistemi automatizzati (es. e-mail, sms) e/o invio di materiale promozionale a mezzo posta, a terzi soggetti facenti parte delle seguenti categorie economiche e merceologiche: Turistico, tempo libero, High Tech, Moda, Arredamento, Largo Consumo, Food & Beverage, Finanza, Banche, Assicurazioni, Energia, Ambiente, Comunicazione, Media, Entertainment, Real Estate, Farmaceutico, Automobili, Abbigliamento e tessile, Formazione, Energia, Editoria, ICT, Reatail, Sport, Telecomunicazioni, e Servizi in generale (per la lista completa clicca qui)»). Inoltre, cliccando sulla dicitura “clicca qui” presente all’interno del form appena richiamato, l’utente veniva reindirizzato a una pagina recante un elenco ancora più ampio di soggetti terzi destinatari e mezzi di comunicazione.

Secondo il Garante: “L’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing così ampie e generiche da non permettere all’interessato di esprimere una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (i.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.) o che in ragione delle peculiari configurazioni dei form e delle informative utilizzate, non consenta di manifestare agevolmente anche la propria volontà in ordine agli strumenti attraverso cui veicolare le comunicazioni promozionali, non permette di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato, dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati”.

Il Garante cita le Linee guida 5/2020 sul consenso, in particolare il par. 3.1.3.: «Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c’è libertà. La granularità è strettamente correlata alla necessità che il consenso sia specifico. Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell’ottenimento del consenso per ciascuna di esse».

In sintesi, il Garante ha considerato tali formule come troppo ampie e generiche, minando la possibilità di espressione di una volontà granulare e distinta:

  • per categorie merceologiche (“In ragione dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti tra loro, infatti, l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa”);
  • e per mezzi di comunicazione promozionale

La soluzione del Garante consisterebbe, quindi, nel poter scegliere sia i canali di comunicazione che le singole macrocategorie commerciali dei terzi, non massificati in un consenso “omnibus”.

Inoltre, secondo il Garante, non si ha granularità del consenso se si usano formule di consenso e accorgimenti grafici che hanno l’effetto di trasferire i dati personali a una platea indistinta di destinatari, operante in settori anche molto diversi tra loro.

Oltre al tema dell’illegittimità del consenso “omnibus”, il Garante ha riscontrato le seguenti violazioni:

  • mancato rispetto delle iscrizioni al Registro Pubblico delle Opposizioni (RPO). In particolare, dall’analisi del RPO, sono risultate iscritte allo stesso, al tempo delle chiamate promozionali effettuate dalla Società, n. 157 utenze telefoniche, pari a poco più del 6,75% del numero totale dei contatti telefonici effettuati nel periodo di riferimento (n. 2.327);
  • effettuazione di trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR;
  • effettuazione di trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati (cd. culpa in eligendo e culpa in vigilando);
  • mancanza dell’informativa privacy relativa al trattamento dei dati personali dei candidati (violazione principi chiarezza e trasparenza). Nel caso di specie, il form utile all’inoltro delle candidature era finalizzato alla raccolta dei dati personali appartenenti ai potenziali candidati interessati a collaborare con la Società e a parere di quest’ultima la circostanza che l’informativa venisse resa in sede di colloquio poteva considerarsi equivalente o comunque sufficiente a sopperire al mancato conferimento della stessa in una fase antecedente alla raccolta dei dati. Il Garante, nel provvedimento, precisa che “in caso di form compilabili on-line, l’informativa deve essere immediatamente disponibile per la consultazione prima dell’effettivo conferimento dei dati, non potendo valere ad assolvere a tale obbligo una declaratoria meramente successiva ed eventuale”. Inoltre, il Garante ha rilevato che nelle versioni precedenti di dette informative, il titolare del trattamento non aveva nemmeno rilevato la corretta base giuridica da applicare a tale caso.

Sulla base di quanto sopra indicato, l’Autorità ha rilevato le seguenti violazioni:

  1. artt. 5, 6, 7, 24, 32 e 25 del GDPR, nonché dell’art. 130 del Codice per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;
  2. artt. 5, 24, 25, 28, 29 e 32 del GDPR per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati (cd. culpa in eligendo e culpa in vigilando);
  3. artt. 5, 6, 7, 9, 12 e 13, nonché dell’artt. 111 bis Codice per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione della base giuridica del trattamento e del conferimento della prescritta informativa.

Dunque, oltre al pagamento della sanzione di 300mila euro, il Garante ha vietato alla società l’ulteriore trattamento dei dati personali dei segnalanti e le ha ingiunto di predisporre adeguati controlli sulla propria rete di vendita e implementazioni dei sistemi, per escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti.

Inoltre, il Garante privacy ha comminato sanzioni nei confronti di una società[1] e di un network di agenzie e società[2] coinvolte in un massivo sistema di procacciamento di contratti per l’attivazione di forniture di luce e gas basato su pratiche di telemarketing aggressivo e trattamento illecito di dati personali.

Dagli accertamenti dell’Autorità sono emerse attività illecite poste in essere tramite l’utilizzo di liste di utenti che avevano di recente cambiato gestore energetico. Gli operatori di call-center contattavano questi utenti prospettando inesistenti disguidi tecnici nel passaggio tra gestori e li inducevano ad attivare una nuova fornitura (adducendo al rischio di incappare in danni economici ingenti).

Il sistema illecito prevedeva l’utilizzo di liste di dati personali acquisite da altre società aderenti al network in assenza di uno specifico consenso e senza fornire un’informativa preventiva agli interessati. Inoltre, tali liste contenevano informazioni dettagliate sugli utenti (numero di telefono, codice fiscale, POD, PDR, matricola del contatore e modalità di pagamento).

Le indagini hanno anche dimostrato che referenti aziendali della società sanzionata avevano contatti diretti e costanti con coloro che svolgevano le attività di telemarketing aggressivo. Tuttavia, la società, una volta appreso quanto emerso dalle indagini, ha revocato l’incarico all’agenzia coinvolta negli accadimenti, adottando misure correttive finalizzate ad innalzare il grado di sicurezza dei trattamenti posti in essere per proprio conto.

Dunque, il Garante ha ritenuto accertata la responsabilità della società in ordine alle seguenti violazioni:

a) artt. 5, par. 1, lett. a), 6, 7 e 13 GDPR, nonché 130 del Codice, per aver permesso a terzi di realizzare contatti telefonici promozionali, utilizzando liste di anagrafiche acquisite in assenza di uno specifico consenso e in assenza del rilascio di una preventiva informativa, liste per le quali non risultavano comprovate le lecite modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali;

b) artt. 5, par. 1, lett. a) e 28 GDPR per aver fattualmente affidato a una società il trattamento dei dati dei clienti contrattualizzati, in assenza di regolare designazione quale responsabile o sub-responsabile del trattamento;

c) artt. 5, par. 1, lett. f) e 32 GDPR per avere consentito a dipendenti della società di cui al punto precedente di accedere ai sistemi informatici della società in assenza delle designazioni indicate al punto precedente;

d) artt. 24 e 25 GDPR per avere omesso di porre in essere misure organizzative, verifiche e controlli, idonei a verificare che le attività di marketing realizzate dalla Ditta Individuale Stefanelli Federica, anche in ragione del numero dei contratti sottoscritti, si svolgessero in aderenza con il mandato di vendita “door-to-door” e con la normativa vigente in materia di protezione dei dati personali, senza quindi l’utilizzo di strumenti illeciti di telemarketing e teleselling.

L’Autorità ha rilevato come “tali attività sono risultate poste in essere con una costante inosservanza delle disposizioni in materia di protezione dei dati personali, cosicché l’intero impianto dei trattamenti svolti dalle società coinvolte è risultato del tutto inidoneo a consentire agli interessati di esercitare il necessario controllo sui propri dati, violando peraltro i fondamentali principi di correttezza e trasparenza posti a tutela di qualsiasi trattamento. Inoltre, le attività sono risultate svolte in spregio delle disposizioni che consentono di arginare il fenomeno del telemarketing selvaggio e di far emergere il cd. “sottobosco” che opera ai margini delle reti di vendita ufficiali delle compagnie energetiche e che le stesse hanno dimostrato di non essere in grado di affrontare. Ne consegue che informazioni personali di estrema rilevanza siano passate di mano in mano, senza alcuna garanzia sulla correttezza dell’operato dei numerosi soggetti coinvolti e sulla sicurezza dei dati trattati”.

[1] Provvedimento del 10 aprile 2025 [10127930]

[2] Provvedimento del 10 aprile 2025 [10127964]

 
New call-to-action

Sanzioni GDPR: criteri e metodologia di calcolo per violazioni alla normativa privacy

FAQ: gdpr

Il GDPR (General Data Protection Regulation) è il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. È divenuto pienamente applicabile in tutti gli Stati membri dell’Unione Europea dal 25 maggio 2018. Il regolamento nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo. Rappresenta una risposta necessaria e urgente alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini europei.

Il GDPR garantisce ai cittadini dodici diritti fondamentali per la tutela dei propri dati personali:

1. Diritto a un consenso libero, specifico e informato
2. Diritto alla trasparenza delle informazioni
3. Divieto di trattare alcune categorie di dati personali (dati sensibili)
4. Diritto di accesso ai propri dati
5. Diritto di ottenere informazioni sul trattamento
6. Possibilità di proporre reclamo/ricorso
7. Diritto di rettifica dei dati inesatti
8. Diritto di revoca del consenso
9. Diritto alla cancellazione dei dati (diritto all’oblio)
10. Diritto di limitazione del trattamento
11. Diritto alla portabilità dei dati
12. Diritto di opposizione al trattamento

Questi diritti permettono ai cittadini di mantenere il controllo sui propri dati personali anche dopo averli condivisi, garantendo trasparenza e possibilità di intervento durante tutto il ciclo di vita del trattamento.

Il regime sanzionatorio del GDPR prevede due gruppi di sanzioni amministrative pecuniarie:

1. Per violazioni di minore gravità: sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore). Queste riguardano violazioni degli obblighi del titolare, del responsabile del trattamento, dell’organismo di certificazione e dell’organismo di controllo.

2. Per violazioni più gravi: sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore). Queste riguardano violazioni dei principi base del trattamento, dei diritti degli interessati, dei trasferimenti di dati verso paesi terzi e delle disposizioni specifiche degli Stati membri.

Oltre alle sanzioni amministrative, il decreto legislativo italiano 101/2018 ha introdotto anche sanzioni penali per specifiche violazioni, come il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali, l’acquisizione fraudolenta di dati personali e le dichiarazioni mendaci al Garante.

Il Data Protection Officer (DPO) è una figura chiave introdotta dal GDPR, incaricata di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti. Il DPO deve essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

I compiti principali del DPO includono:

– Informare e fornire consulenza al titolare del trattamento e ai dipendenti sugli obblighi del GDPR
– Sorvegliare l’osservanza del regolamento e delle politiche interne
– Fornire pareri sulla valutazione d’impatto sulla protezione dei dati
– Cooperare con l’autorità di controllo (Garante Privacy)
– Fungere da punto di contatto per l’autorità di controllo

Il DPO deve avere autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati. Secondo recenti analisi, la figura del DPO si è ormai consolidata, diventando un vero punto di riferimento: interlocutore per le autorità, guida per le imprese e garanzia per i cittadini.

La gestione di un data breach secondo il GDPR richiede un approccio multidisciplinare ed integrato. Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati entro 72 ore dalla scoperta dell’incidente.

L’EDPB (European Data Protection Board) ha adottato linee guida specifiche che forniscono esempi pratici di data breach e integrano le linee guida sulla notifica della violazione dei dati personali. Queste sono state aggiornate il 28 marzo 2023 con l’adozione formale delle linee guida 09/2022.

A livello nazionale, il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità.

Secondo esperti del settore, la gestione dei data breach è uno degli aspetti in cui il GDPR ha lasciato un segno positivo. Oggi non è più pensabile ignorare o nascondere un incidente di sicurezza: le aziende hanno imparato a strutturarsi, definire procedure di notifica e reagire con maggiore rapidità. Si è affermata una vera cultura della risposta con piani di intervento, team dedicati e comunicazione tempestiva con autorità e utenti.

Il GDPR e il Data Act sono regolamenti complementari che affrontano aspetti diversi della gestione dei dati:

Il GDPR si concentra sulla protezione dei dati personali e sulla tutela della privacy degli individui, stabilendo regole per il trattamento, la conservazione e la condivisione di tali dati.

Il Data Act (Regolamento UE 2023/2854), entrato in vigore l’11 gennaio 2024 e applicabile dal 12 settembre 2025, si focalizza invece sull’accesso equo e la condivisione dei dati generati da dispositivi connessi, siano essi personali o non personali.

Mentre il GDPR ha introdotto il diritto alla portabilità dei dati personali (art. 20), il Data Act estende questo concetto anche ai dati non personali generati da dispositivi IoT, creando un quadro normativo per l’accesso e la condivisione di tali dati tra utenti, aziende e, in casi specifici, enti pubblici.

L’articolo 1, paragrafo 3 del Data Act chiarisce esplicitamente che le sue disposizioni non incidono sull’applicazione del GDPR, né limitano i poteri delle autorità di protezione dei dati. I due regolamenti devono essere letti in modo complementare, con il Data Act che estende e arricchisce alcuni diritti già presenti nel GDPR, come la portabilità dei dati.

Il GDPR ha portato due vantaggi principali per la sicurezza informatica:

1. Ha spinto le aziende a dotarsi di sistemi di monitoraggio delle intrusioni più avanzati, anche con tecniche di intelligenza artificiale. La necessità di rilevare e notificare i data breach ha richiesto una maggiore capacità di monitoraggio degli eventi di sicurezza all’interno dei sistemi informativi aziendali.

2. Ha aumentato la disponibilità di informazioni sui breach avvenuti. Il rischio di sanzioni in caso di mancata notifica ha portato alla luce un gran numero di incidenti che altrimenti sarebbero stati tenuti nascosti, fornendo dati preziosi per migliorare le metodologie di gestione della sicurezza basate sulla valutazione del rischio.

Secondo analisi recenti, il GDPR ha effettivamente migliorato la sicurezza informatica delle organizzazioni. Pur non essendo una legge nata per la cybersecurity, il regolamento ha reso la protezione dei dati una priorità. Infrastrutture più sicure, misure tecniche più robuste e investimenti dedicati sono diventati realtà per molte organizzazioni.

Le aziende più strutturate hanno introdotto procedure di risk assessment periodico, adottato standard internazionali come l’ISO/IEC 27001 e formato il personale sui comportamenti corretti da tenere in caso di attacchi informatici. Anche nelle PMI si nota un salto di qualità con firewall aggiornati, backup regolari, controlli sugli accessi e policy più chiare sull’uso degli strumenti digitali.

L’applicazione del GDPR nel marketing data-driven richiede un approccio strutturato che integri la protezione dei dati sin dalla progettazione delle strategie commerciali. Ecco i principali aspetti da considerare:

1. Identificazione dei dati trattati: Nel marketing digitale i dati non si esauriscono nei semplici contatti ma includono comportamenti di navigazione, interazioni con campagne, risposte alle comunicazioni e altre informazioni che consentono di profilare gli utenti.

2. Consenso specifico e informato: La raccolta dell’indirizzo email per l’invio di un contenuto non consente automaticamente l’invio di ulteriori comunicazioni commerciali. È necessario prevedere consensi separati e specifici per diverse finalità.

3. Profilazione e segmentazione: La suddivisione degli utenti in cluster richiede trasparenza nell’informativa, una base giuridica adeguata (generalmente il consenso) e la possibilità di intervento umano quando l’automazione produce effetti significativi.

4. Gestione dei cookie: È necessario distinguere tra cookie tecnici (installabili senza consenso) e cookie analitici/di marketing (che richiedono consenso specifico). Il banner cookie deve essere tecnicamente coerente con le scelte dell’utente.

5. Campagne sui social media: Strumenti come custom audience e lookalike audience richiedono una corretta qualificazione dei ruoli privacy e accordi adeguati con le piattaforme.

6. Conservazione dei dati: Definire politiche di retention per categorie omogenee di interessati, evitando l’accumulo indifferenziato di contatti inattivi.

L’approccio alla compliance nel marketing data-driven deve essere processuale e continuo, seguendo un ciclo operativo che include: mappatura dei dati, valutazione dei rischi, configurazione degli strumenti, documentazione delle scelte e monitoraggio costante.

L’articolo 22 del GDPR rappresenta uno snodo centrale nella protezione dei cittadini dalle decisioni automatizzate e dalla profilazione. Questa norma stabilisce che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona.

Il regolamento prevede alcune eccezioni a questo principio, consentendo decisioni automatizzate solo quando:
– Sono necessarie per la conclusione o l’esecuzione di un contratto
– Sono autorizzate dal diritto dell’Unione o dello Stato membro
– Si basano sul consenso esplicito dell’interessato

Anche in questi casi, devono essere implementate misure di salvaguardia adeguate, tra cui il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.

La profilazione, definita come qualsiasi forma di trattamento automatizzato di dati personali per valutare aspetti personali relativi a una persona fisica, è soggetta a requisiti di trasparenza particolarmente stringenti. L’informativa deve chiarire quali dati vengono analizzati, secondo quali logiche e con quali effetti concreti, evitando formule generiche.

A sette anni dall’entrata in vigore del GDPR, emergono alcune criticità significative nella sua applicazione:

1. Minimizzazione dei dati: Molte aziende raccolgono ancora più informazioni del necessario, spesso senza una finalità chiara. La tentazione di raccogliere “più dati possibili” resta forte, specialmente in settori come il marketing digitale o l’e-commerce, dove profilazioni dettagliate, cookie non essenziali e tracciamenti incrociati vanno oltre ciò che l’utente si aspetta o comprende.

2. Portabilità dei dati: Questo diritto è ancora poco applicato a causa di ostacoli tecnici, scarsa interoperabilità e un livello di complessità che scoraggia l’utente finale. La mancanza di standard condivisi e la resistenza delle grandi piattaforme a rendere i dati facilmente trasferibili ne hanno limitato fortemente l’impatto.

3. Approccio basato sul rischio: Il principio che chiede alle organizzazioni di modulare misure e controlli in base ai rischi reali per i diritti e le libertà degli interessati viene spesso tradotto male. Alcune aziende si limitano a un approccio formale, fatto di adempimenti burocratici che danno l’illusione di essere conformi, mentre altre adottano un approccio troppo tecnico, trascurando la dimensione organizzativa e la formazione del personale.

4. Evoluzione tecnologica: L’intelligenza artificiale e i sistemi avanzati pongono nuove sfide all’applicazione del GDPR. Ad esempio, l’esercizio del diritto di accesso ai dati personali nei confronti dei sistemi di intelligenza artificiale generativa sta producendo risultati paradossali: conformità formale alla norma accompagnata dall’impossibilità pratica di comprendere, verificare o contestare il trattamento effettuato.

Il GDPR sta affrontando le sfide dell’intelligenza artificiale attraverso diverse iniziative e interpretazioni delle norme esistenti. L’EDPB (European Data Protection Board) ha recentemente diffuso due documenti formativi dedicati al tema dell’intelligenza artificiale e della tutela dei dati personali, con l’obiettivo di sviluppare competenze necessarie e favorire un linguaggio comune trasversale tra esperti di diversi settori.

Il primo documento, rivolto principalmente a figure con profilo giuridico, offre una panoramica delle varie fasi del ciclo di vita delle applicazioni AI, identificando criticità e potenziali risposte per implementare l’intelligenza artificiale in conformità con i requisiti di protezione dei dati. Il secondo documento è destinato a esperti con background tecnico-informatico, sviluppatori e operatori, per supportarli nella progettazione di sistemi basati sull’intelligenza artificiale che rispettino i principi etici e le norme sulla protezione dei dati.

Inoltre, l’articolo 22 del GDPR, che tutela i cittadini dalle decisioni automatizzate, sta assumendo un’importanza crescente nell’era dell’AI. La sua interpretazione risulta particolarmente delicata in un contesto dominato da sistemi decisionali automatizzati, algoritmi predittivi e intelligenza artificiale.

L’EDPB riconosce che esiste “una grave carenza di competenze in materia di intelligenza artificiale e protezione dei dati” e sta lavorando per sviluppare un approccio multidisciplinare che coinvolga sviluppatori, data scientist, esperti di sicurezza informatica, esperti legali e utenti finali per ottenere sistemi di IA legali e affidabili.

Il D.Lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre 2018, ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del regolamento europeo, il decreto ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale, tra cui:

1. L’introduzione di fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR. Sono state definite nuove fattispecie penalmente rilevanti come il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali, l’acquisizione fraudolenta di dati personali e le dichiarazioni mendaci al Garante.

2. La definizione di regole specifiche per il trattamento di particolari categorie di dati, come quelli genetici, biometrici e relativi alla salute.

3. L’estensione dei poteri delle PA di determinare la base giuridica del trattamento, individuata non solo dalla legge e dal regolamento, ma anche dagli atti amministrativi generali (modifiche introdotte dal Decreto Capienze all’art. 2ter del Codice Privacy).

4. L’abrogazione dell’art. 2-quinquiesdecies Codice Privacy, che permetteva il parere preventivo del Garante Privacy in relazione ai trattamenti suscettibili di avere un rischio alto sui diritti e le libertà degli interessati, rendendo le Pubbliche Amministrazioni più accountable.

5. Disposizioni specifiche per settori particolari come la ricerca scientifica, il giornalismo, e il trattamento di dati relativi a condanne penali e reati.

FAQ generate con l'AI, a cura della Redazione
Originariamente pubblicato il 21 gen 2022

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

guest

274 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • cyber-finanziamento statale; backup; infrastrutture critiche nazionali cyber threat intelligence;  data center provider

  • sicurezza

    NIS2 e minacce cyber alla PA: quattro sfide decisive per il 2026

    13 Mar 2026

    di Nicola Altavilla

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • cybersecurity italia

  • Browser e privacy

    Il consenso online diventa automatico: cosa cambia in Europa

    19 Feb 2026

    di Francesca Niola

    Condividi
274
0
Lascia un commento, la tua opinione conta.x