Normativa

Premessa La profilazione delle persone fisiche è una delle questioni strutturalmente più rilevanti del diritto europeo in materia di protezione dei dati personali e più recentemente della disciplina sull'intelligenza artificiale Il Regolamento (UE) 2016/679 (GDPR) le dedica una disciplina analitica collocandola al crocevia tra la teoria generale delle basi giuridiche il regime speciale delle decisioni automatizzate e il corpus dei diritti degli interessati Il Regolamento (UE) 2024/1689 sull'intelligenza artificiale (AI Act) ne fa invece un criterio autonomamente sufficiente a determinare la classificazione di alto rischio di un sistema di IA Tra i due strumenti il concetto di profilazione è formalmente...

Nel panorama della protezione dei dati personali poche figure rivestono un'importanza tanto strategica quanto controversa come quella dell'amministratore di sistema Sebbene il Regolamento Generale sulla Protezione dei Dati (GDPR) non dedichi a questa figura alcun riferimento esplicito la sua centralità nell'architettura della data protection rimane indiscussa Ma per comprendere appieno il ruolo dell'amministratore di sistema occorre ripercorrere un'evoluzione normativa che affonda le radici nel diritto nazionale italiano e che ancora oggi mantiene piena efficacia giuridica Le origini: dal D P R 318/1999 al codice privacy La figura dell'amministratore di sistema compare per la prima volta nell'ordinamento italiano con il D...

Premessa L'utilizzo sempre più diffuso di piattaforme di collaboration quali Microsoft Teams Zoom Webex e analoghe soluzioni ha portato le organizzazioni a confrontarsi con la questione della registrazione delle videoconferenze tra colleghi La registrazione di tali riunioni costituisce un trattamento di dati personali che richiede un'attenta analisi preventiva sotto il profilo della protezione dei dati anche in considerazione della particolare delicatezza del contesto lavorativo in cui si colloca Come chiaramente indicato dal Gruppo di lavoro Articolo 29 nel Parere 2/2017 sul trattamento dei dati sul posto di lavoro (WP249) le tecnologie che monitorano le comunicazioni possono dissuadere dall'esercizio dei diritti...

Scadenze 2026 in ambito Intelligenza Artificiale Il Regolamento (UE) 2024/1689 comunemente noto come AI Act rappresenta il primo quadro giuridico organico e vincolante al mondo dedicato all’intelligenza artificiale Pubblicato nella Gazzetta Ufficiale dell’UE il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024 il Regolamento prevede un’applicazione progressiva su quattro fasi principali con la data cardine del 2 agosto 2026 momento di piena operatività per la quasi totalità delle disposizioni Sul versante italiano il quadro normativo è integrato dalla Legge 23 settembre 2025 n 132 (in vigore dal 10 ottobre 2025) che recepisce i principi dell’AI Act e...

Introduzione Il 25 settembre 2025 sulla Gazzetta Ufficiale della Repubblica Italiana (Serie generale n 223) è stata pubblicata la Legge 23 settembre 2025 n 132 recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” Si tratta del primo intervento organico del legislatore italiano volto a disciplinare in modo sistematico lo sviluppo l’adozione e l’utilizzo dei sistemi di intelligenza artificiale nel contesto nazionale in stretto coordinamento con il Regolamento (UE) 2024/1689 (AI Act) La legge promulgata dal Sergio Mattarella e controfirmata dal Presidente del Consiglio Giorgia Meloni e dal Ministro della Giustizia Carlo Nordio rappresenta il primo intervento organico...

Il contesto: l'operazione societaria e le istanze degli interessati Con il provvedimento n 163 del 12 marzo 2026 il Garante per la protezione dei dati personali ha concluso un procedimento di grande rilievo sistematico irrogando a Intesa Sanpaolo S p A (di seguito " ISP" o " la Banca" ) una sanzione amministrativa pecuniaria di euro 17 628 000 00 per la violazione degli artt 5 par 1 lett a) 6 par 1 e 14 del Regolamento (UE) 2016/679 (RGPD) Al centro della vicenda vi è il conferimento di due rami di azienda comprendenti circa 2 4 milioni di clienti...

Il contesto e l'origine del procedimento Con il provvedimento n 81 del 12 febbraio 2026 il Garante per la protezione dei dati personali ha adottato una delle decisioni più articolate degli ultimi anni nel settore dell'energia nel mercato libero irrogando ad Acea Energia S p A una sanzione amministrativa pecuniaria 2 000 000 00 di euro   e imponendo un ampio ventaglio di misure correttive Il provvedimento la cui adozione è stata diffusa con comunicato stampa del 10 marzo 2026 trae origine da una pluralità di istanze pervenute all'Autorità da parte di consumatori che avevano subì to l'attivazione di forniture...

Il principio di accountability come fondamento interpretativo del sistema documentale Prima di procedere alla disamina delle singole procedure occorre richiamare il principio su cui l'intero sistema documentale del Regolamento (UE) 2016/679 di seguito " GDPR" o " Regolamento" si fonda: il principio di responsabilizzazione (accountability) sancito dall'articolo 5 paragrafo 2 il quale stabilisce che « il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo» Il comprovare implica documentare tracciare argomentare le proprie scelte Il GDPR non si limita a prescrivere obblighi di condotta ma impone al titolare del trattamento l'onere della prova...

Introduzione Google reCaptcha è lo strumento anti-bot più diffuso al mondo integrato in milioni di siti web e applicazioni per distinguere gli utenti umani dalle interazioni automatizzate La sua ubiquità lo ha reso per anni quasi invisibile nella governance della privacy dei siti web: un componente tecnico dato per scontato spesso implementato senza alcuna riflessione sulla sua qualificazione giuridica ai sensi del Regolamento (UE) 2016/679 Questo approccio tuttavia si è rivelato profondamente errato e potenzialmente fonte di responsabilità sanzionatoria Tra il 2023 e il 2026 si sono concentrati tre eventi che impongono a ogni Titolare del trattamento una riconsiderazione radicale...

Inquadramento normativo Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 comunemente noto come GDPR (General Data Protection Regulation) ha introdotto nell'ordinamento europeo un articolato sistema di gestione e notifica delle violazioni dei dati personali comunemente indicate con il termine anglosassone data breach Prima dell'entrata in vigore del GDPR l'obbligo di notifica delle violazioni era circoscritto a un ambito settoriale assai ristretto essendo previsto essenzialmente dalla Direttiva e-Privacy in capo ai soli fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico Il Regolamento ha operato una generalizzazione di tale obbligo estendendolo a tutti...