Gli obblighi di trasparenza GDPR tornano al centro dell’attenzione europea con la quinta azione coordinata di applicazione dell’EDPB[1], dedicata al diritto di essere informati sui trattamenti dei dati personali.
Un elemento che non è solo formale, ma rappresenta il presupposto pratico per l’esercizio di tutti gli altri diritti riconosciuti dal Regolamento, in un quadro in cui la circolazione dei dati diventa sempre più intensa e complessa.
In un contesto in cui intelligenza artificiale, profilazione e automazione rendono sempre più complessa la gestione delle informazioni, la CEF 2026 punta a verificare se le organizzazioni garantiscono davvero ai cittadini la possibilità di conoscere, comprendere e controllare l’uso dei propri dati.
Indice degli argomenti
Obblighi di trasparenza GDPR nella nuova azione coordinata dell’EDPB
Durante la sua sessione plenaria di ottobre, il Comitato europeo per la protezione dei dati (EDPB) ha definito il tema della sua quinta azione coordinata di applicazione.
Questa indagine riguarderà il rispetto degli obblighi di trasparenza e informazione previsti dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR).
L’iniziativa ha l’obiettivo di misurare la reale capacità dei cittadini di esercitare i propri diritti, condizione necessaria per assicurare il mantenimento di un controllo effettivo sui dati personali.
Non si tratta quindi solo di verificare la presenza di documenti o informative, ma di capire se la trasparenza garantita sia effettivamente comprensibile e azionabile da parte degli interessati.
Il diritto di essere informati tra obblighi di trasparenza nel GDPR
Il diritto di essere informati è uno dei pilastri del GDPR, elemento fondamentale per assicurare la trasparenza e garantire a ciascun interessato il controllo sui dati che lo riguardano.
Il Regolamento assicura a tutti il diritto di essere informati nel caso in cui i propri dati personali vengano trattati e, qualora il trattamento sia confermato, il diritto di ottenerne una copia.
L’interessato deve poter conoscere, tra l’altro, le finalità del trattamento, le categorie di dati personali trattate, i destinatari dei dati, il periodo di conservazione, l’origine dei dati, gli estremi identificativi di chi li tratta (titolare, responsabile, rappresentante designato nel territorio dello Stato italiano), gli eventuali destinatari, l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
Costituisce, in sostanza, il presupposto necessario per l’esercizio degli altri diritti riconosciuti dal GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e diritto di non essere sottoposto a un processo decisionale automatizzato.
Se manca una corretta informazione iniziale, la capacità dell’interessato di attivare questi diritti risulta inevitabilmente compromessa.
Verifiche 2026 e processi interni sugli obblighi di trasparenza nel GDPR
Le autorità nazionali che volontariamente aderiscono all’indagine condurranno nel 2026 verifiche parallele, attraverso questionari o verifiche ispettive, su come enti pubblici e soggetti privati rispondono alle richieste degli interessati.
Saranno valutati tempi di riscontro, modalità operative, trasparenza e chiarezza delle risposte, per misurare quanto i diritti siano davvero accessibili ed effettivi e non solo pura teoria.
Occorre quindi dotarsi di procedure solide, documentate e opponibili, per non trovarsi impreparati davanti all’intervento delle autorità di controllo.
Non si tratta unicamente di predisporre moduli o indirizzi e-mail, ma di garantire che le richieste siano gestite in modo strutturato, tracciabile e coerente con i principi del GDPR.
È quindi il momento di riesaminare policy e canali dedicati ai diritti degli interessati, verificare la documentazione nel registro dei trattamenti e introdurre meccanismi di monitoraggio costante.
L’obiettivo non è soltanto evitare sanzioni, ma costruire un rapporto di fiducia con utenti e clienti, basato su trasparenza e responsabilità.
I risultati confluiranno in un rapporto europeo che servirà a uniformare prassi e interpretazioni, con un follow-up mirato sia a livello nazionale che europeo nei diversi Stati membri.
Potranno anche dar luogo all’avvio di procedimenti sanzionatori, all’adozione di nuove linee guida o a interventi specifici su settori e trattamenti particolarmente critici.
Le verifiche metteranno in luce l’esistenza e l’efficienza dei processi interni dedicati alla gestione delle richieste, come cancellazione e rettifica dei dati, la tracciabilità dei flussi di comunicazione e la formazione del personale.
Si auspica che, tra l’altro, sia l’occasione per affermare l’esigenza di adottare[2], da parte di titolari e responsabili, proprio in nome dei principi di trasparenza e accountability, procedure sulle modalità di esercizio dei diritti da parte dei soggetti interessati al trattamento.
Precedenti CEF e continuità degli obblighi di trasparenza nel GDPR
La prima CEF si è svolta nel 2022 e ha esaminato le modalità di utilizzo di servizi basati su cloud da parte del settore pubblico; nel 2023 l’attenzione è stata posta sulla designazione, sulla posizione e sul regime delle incompatibilità dei responsabili della protezione dei dati.
Nel 2024 sono state approfondite le modalità di attuazione del diritto di accesso da parte dei titolari del trattamento.
All’inizio del 2025 l’EDPB ha avviato un’azione coordinata sul diritto alla cancellazione, o meglio sul “diritto all’oblio”, oggi in fase di ultimazione.
I risultati saranno noti nei primi mesi del 2026, contribuendo a completare il quadro delle verifiche sugli strumenti con cui gli interessati possono effettivamente intervenire sul ciclo di vita dei loro dati personali.
Un cambio di strategia sugli obblighi di trasparenza nel GDPR
Con la CEF 2026 l’EDPB porta di nuovo il focus sull’esperienza concreta dei cittadini, sull’effettività reale dei diritti: la protezione dei dati non è un insieme di obblighi formali per le imprese, ma deve restituire ai soggetti interessati la possibilità di agire, chiedere chiarimenti e ottenere risposte tempestive.
La decisione rappresenta un cambio di prospettiva rispetto agli anni precedenti: rimette al centro la dimensione umana della protezione dei dati.
In un’epoca in cui intelligenza artificiale e profilazione automatizzata spingono verso modelli sempre più complessi, riaffermare il controllo individuale significa porre l’attenzione sul senso vero del GDPR.
Il Regolamento pone al centro del sistema il soggetto interessato dal trattamento, il controllo della sua realtà digitale e la gestione delle informazioni che lo riguardano, la cui valutazione non deve mai essere frutto di processi interamente automatizzati.
La trasparenza torna così ad essere la chiave per rendere comprensibile e contestabile l’uso dei dati personali.
IA, AI Act e nuovi obblighi di trasparenza nel GDPR
Occorre forse chiedersi se la scelta del tema per la CEF 2026 abbia anche l’obiettivo di rimarcare le differenze e le correlazioni tra GDPR e AI Act.
Sappiamo bene che, nel caso in cui sistemi di IA utilizzino dati personali, devono rispettare sempre le regole del GDPR.
Lo dice l’AI Act all’art. 2, par. 7, secondo cui “Il presente regolamento non pregiudica il regolamento (UE) 2016/679 o (UE) 2018/1725”, e lo ribadisce la nostra legge nazionale, la 132/25, laddove all’art. 3 ritroviamo i principi generali che devono guidare coloro che fanno ricerca, sperimentazione, sviluppo con sistemi e modelli di IA: “il rispetto dei diritti fondamentali e delle libertà previste dalla Costituzione, del diritto dell’Unione europea e dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità”.
Questo vale per tutti i sistemi e non solo per quelli ad alto rischio, dove sono previsti obblighi di progettazione trasparente e di valutazione d’impatto sui diritti fondamentali prima dell’immissione sul mercato o della loro messa in servizio.
Il principio di trasparenza, tra i principi fondanti della normativa a protezione dei dati personali, assume nell’AI Act declinazioni differenti, proprio per le limitazioni tecniche intrinseche ai sistemi di intelligenza artificiale, laddove è particolarmente complessa la spiegabilità e la comprensione dei processi decisionali sottesi.
Ne consegue che risulta complessa anche la gestione dei diritti degli interessati, specialmente per quanto riguarda il diritto alla cancellazione e alla rettifica dei dati personali.
La stessa natura degli algoritmi di machine learning, che incorporano le informazioni utilizzate per il loro addestramento in modo difficilmente reversibile, la difficoltà di identificazione dei soggetti e l’uso dei dati per diverse finalità nel tempo, pone significative sfide tecniche nell’implementazione di tali diritti.
Questo scenario richiede lo sviluppo di soluzioni innovative che permettano di bilanciare le esigenze di tutela degli interessati con le caratteristiche intrinseche dei sistemi di intelligenza artificiale, senza rinunciare ai principi cardine del GDPR.
EDPS, linee guida su AI generativa e prospettive per la CEF 2026
Anche il recente intervento dell’EDPS[3], che ha aggiornato le Linee guida in tema di AI generativa[4], ribadisce come il diritto all’autodeterminazione informativa costituisca un pilastro dell’Europa digitale, destinata a bilanciare innovazione e tutela in modo sempre più consapevole.
Accanto ad ulteriori indicazioni che evidenziano la necessità di individuare correttamente la catena delle responsabilità in tutte le diverse fasi del ciclo di vita delle soluzioni di AI generativa, ritroviamo il richiamo espresso, ancora una volta, all’esigenza di assicurare il rispetto dei principi generali del trattamento richiamati all’art. 5 del GDPR: corretta base giuridica, limitazione delle finalità, minimizzazione, accuratezza e, soprattutto, tutela dei diritti degli interessati e obblighi di trasparenza e sicurezza dei dati.
Indicazioni che saranno tenute in debito conto dalle Autorità nazionali e, si auspica, costituiranno il faro che guiderà la CEF 2026, orientando le verifiche verso un equilibrio sempre più maturo tra sviluppo tecnologico e protezione dei dati personali.
Note
[1] Coordinated Enforcement Framework – CEF è un’azione chiave dell’EDPB nell’ambito della sua strategia 2024/2027, volta a razionalizzare e rendere coerente l’applicazione e la cooperazione tra le autorità di protezione dei dati. Affiancata alla creazione di un Pool di supporto di esperti (SPE) mira a semplificare l’applicazione delle norme e la cooperazione tra le autorità di protezione dei dati.
[2] EDPB, 2024 Coordinated Enforcement Action Implementation of the right of access by controllers Adopted on 16 January 2025, che afferma: “Although it is not a legal requirement for controllers to have a procedural document detailing how it responds to access requests, it is apparent that a lack of a formal documented procedure can heighten the possibility of an infringement of a data subjects rights.” (par. 4.2.3, pag. 18).
[3] L’EDPS è il Garante europeo competente sul trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie unionali. Designato dalla Commissione europea Garante per l’IA.
[4] EDPS 28/10/25 Generative AI and the EUDPR. Orientations for ensuring data protection compliance when using Generative AI systems (Version 2).
