la nuova frontiera dei diritti digitali


Il rapido e pervasivo processo di trasformazione tecnologica sta ridisegnando i confini della società contemporanea, ponendo sfide inedite per la tenuta delle istituzioni democratiche e la tutela delle libertà individuali.

Al centro di questa transizione si colloca l’attività del Garante privacy, la cui ultima relazione annuale, presentata oggi presso la Sala della Regina di Palazzo Montecitorio, offre un bilancio cruciale sulle dinamiche che legano la protezione dei dati personali allo sviluppo dei sistemi algoritmici.

Non si tratta di un semplice adempimento formale, ma di un momento di rendiconto e dialogo istituzionale volto a tracciare la direzione della governance digitale in Italia. I dati personali sono ormai la materia prima dell’economia digitale e la base su cui si strutturano le tecnologie più avanzate.

Di conseguenza, la regolamentazione dell’intelligenza artificiale e la tutela della riservatezza non possono più essere considerate come ambiti paralleli, ma come due facce della stessa medaglia, essenziali per garantire la qualità della democrazia.


La crescita dell’intelligenza artificiale in Italia e la geopolitica dei dati

L’anno 2025 ha segnato la piena affermazione dell’intelligenza artificiale nella vita quotidiana e nelle strutture produttive del Paese. Secondo le rilevazioni dell’Osservatorio Artificial Intelligence del Politecnico di Milano, il mercato di queste tecnologie ha registrato in Italia un incremento straordinario del 50% rispetto all’anno precedente.

Parallelamente, i dati elaborati dall’Istat documentano una diffusione massiccia degli strumenti di intelligenza artificiale generativa tra la popolazione, con una forte concentrazione nelle fasce più giovani.

L’adozione di tali sistemi raggiunge infatti il 51,2% tra i ragazzi di età compresa tra i 14 e i 19 anni, e il 43,1% nella fascia tra i 20 e i 24 anni.

Emerge, tuttavia, un marcato divario culturale legato al titolo di studio: il rapporto d’uso tra chi possiede una laurea e chi è in possesso della sola licenza media è di dieci a uno.

L’autonomia tecnologica europea contro i poteri privati

Questo scenario non è privo di implicazioni geopolitiche. Come evidenziato dal Presidente dell’Autorità Garante, Pasquale Stanzione, l’intelligenza artificiale è diventata una vera e propria infrastruttura del potere e il terreno primario della competizione globale per la supremazia tecnologica.


Per sottrarre le infrastrutture europee al potere di veto di attori esteri, l’Unione Europea ha promosso strategie di autonomia strategica attraverso il Chips Act e il Cloud and AI Development Act.

La sfida regolatoria mette in luce una complessa interdipendenza asimmetrica tra gli Stati e le grandi aziende private. Basti pensare alla posizione di Anthropic, che si è opposta all’uso dei propri software per i sistemi d’arma autonomi e per la sorveglianza massiva dei cittadini statunitensi.

Il quinto dominio operativo e la guerra algoritmica

Il controllo degli algoritmi si riflette in modo drammatico anche nei moderni scenari di conflitto, dove si assiste all’estensione della guerra cognitiva nel cosiddetto quinto dominio operativo.

L’evoluzione tecnologica ha modificato i paradigmi della deterrenza globale.

Se la digitalizzazione militare si era già intensificata durante la guerra in Ucraina e nel conflitto mediorientale, l’attacco israelo-statunitense denominato ‘Electric Fury’ contro l’Iran ha rappresentato la prima vera guerra “AI-first”, in cui l’intelligenza artificiale ha assunto una priorità cronologica e operativa nelle azioni belliche.


L’azzeramento dei tempi deliberativi nella catena di comando rischia però di marginalizzare la supervisione umana.

Le allucinazioni algoritmiche possono provocare errori tragici, come l’episodio che ha portato a colpire una scuola elementare nella località di Minab.

I rischi della deumanizzazione e la tutela della privacy mentale

L’emulazione del pensiero umano da parte delle macchine solleva interrogativi profondi sulla tenuta dei diritti fondamentali.

Quando i sistemi di frontiera progettano autonomamente versioni superiori di se stessi, il rischio di una marginalizzazione dell’uomo diventa concreto.

Per questo motivo, le autorità di protezione dei dati guardano con attenzione anche alle applicazioni tecnologiche dirette ai neuro-sistemi, capaci di stabilire relazioni immediate tra reti neurali e algoritmi senza la necessità di impiantare chip.


Se da un lato l’interfaccia neurale rappresenta un traguardo fondamentale per la cura di patologie gravi, consentendo ad esempio a un paziente affetto da SLA di riacquistare la parola, dall’altro si palesa il rischio di una decodificazione incontrollata dell’attività cerebrale.

Pasquale Stanzione ha richiamato l’urgenza di tutelare la «privacy mentale» come presupposto ineludibile della libertà cognitiva e di coscienza, avvertendo che l’innovazione deve essere posta al servizio dell’uomo.

L’algoritmo nelle decisioni pubbliche e sociali

Il quadro normativo europeo ha cercato di anticipare queste derive inserendo la tecnica all’interno di precise garanzie giuridiche.

Già dieci anni fa, le norme del GDPR sul processo algoritmico introducevano il diritto alla spiegazione, l’intervento umano e il divieto di discriminazione, delineando lo statuto fondamentale dell’intelligenza artificiale.

Oggi, il nuovo AI Act conferma questa centralità, assegnando proprio al Garante privacy la competenza di vigilare sui sistemi ad alto rischio impiegati in settori estremamente sensibili per la vita democratica, quali l’immigrazione, l’asilo, l’amministrazione della giustizia, le attività di contrasto e i processi elettorali.


L’obiettivo è evitare che la persona venga ridotta a un mero profilo o a una classificazione automatizzata.

La dipendenza digitale e la vulnerabilità dei minori

L’azione del Garante privacy si concentra con particolare urgenza sulla protezione delle fasce più vulnerabili della popolazione, a partire dai minori che crescono in ambienti digitali spesso progettati per catturare l’attenzione e monetizzare i dati personali.

Le decisioni di alcune corti americane hanno evidenziato come il design delle grandi piattaforme sia stato ingegnerizzato per massimizzare i profitti anche a scapito del benessere psicologico dei più giovani, favorendo fenomeni di dipendenza.

Anche in Italia l’affidamento emotivo ai chatbot sta assumendo proporzioni rilevanti. Il cosiddetto “effetto Eliza”, ovvero la tendenza umana ad attribuire empatia e intenzionalità alle macchine, ha spinto i gestori di servizi come ChatGPT ad attivare funzionalità specifiche come il “trusted contact”, che notifica a persone di fiducia eventuali indizi di comportamenti autolesionistici o suicidari dell’utente.

In questo quadro, l’Autorità ribadisce la necessità di implementare sistemi di age verification proporzionati e di promuovere una reale pedagogia digitale.


Il contrasto alla violenza digitale e i nuovi poteri inibitori

La rete può trasformarsi nel teatro di gravi violazioni della dignità personale, specialmente attraverso dinamiche di genere che sfruttano l’intelligenza artificiale per scopi denigratori.

Il fenomeno della nudificazione artefatta, che trasforma il corpo delle donne in byte e pixel attraverso i deepfake, rappresenta una forma di reificazione definita dal Presidente dell’Autorità come un vero e proprio “stupro virtuale”, con danni irreparabili per l’autopercezione della vittima.

Per arginare questa deriva, il Garante privacy ha adottato severe misure inibitorie nei confronti dei siti sessisti, ma ha anche rappresentato al legislatore l’urgenza di ottenere poteri speciali per impedire direttamente il collegamento dall’Italia a tali piattaforme, bloccando tempestivamente la catena virale delle condivisioni.

Un intervento preventivo analogo viene già attuato per contrastare il Revenge Porn, attraverso il blocco del caricamento non consensuale di immagini intime in modo da neutralizzare lo shaming effect prima che i contenuti si diffondano online.

I diritti dei lavoratori tra controlli biometrici e caporalato digitale

L’ingresso delle tecnologie predittive e dei sistemi di sorveglianza intelligente all’interno delle aziende sta alterando i rapporti di forza nel mondo del lavoro. Il rischio di una regressione sociale è evidente nei confronti dei clickworkers, lavoratori eterodiretti da algoritmi che operano sulle piattaforme digitali in condizioni di strutturale asimmetria, configurando una nuova forma di caporalato digitale.


Inoltre, l’adozione di controlli biometrici e strumenti di sorveglianza pervasiva rischia di eludere i presidi storici a tutela dei dipendenti.

La disciplina della protezione dei dati opera qui come uno strumento di riequilibrio sociale. In attuazione della legge sull’intelligenza artificiale, è stato confermato il divieto di licenziamento basato su una decisione interamente automatizzata.

Riprendendo il pensiero di Stefano Rodotà, l’Autorità ricorda che le garanzie di riservatezza nel contesto lavorativo possiedono un valore fondamentale e costituiscono un vero e proprio codice dell’uguaglianza contro le discriminazioni.

Sanità digitale e il ruolo della Legge 132 del 2025

L’applicazione degli algoritmi alla ricerca medica e alla diagnostica offre opportunità straordinarie per migliorare l’efficacia delle cure, ma richiede una cornice di massima trasparenza per preservare l’autodeterminazione del paziente.

La legge approvata lo scorso settembre ha valorizzato la ricerca scientifica condotta con l’ausilio dell’intelligenza artificiale, agevolando l’uso secondario dei dati sanitari, ma imponendo precise condizioni di garanzia.


Il Questore della Camera dei Deputati, Paolo Trancassini, ha ricordato la centralità del principio antropocentrico introdotto dal Parlamento: «Il Paese si è dotato di una prima cornice organica in materia, ispirata al principio antropocentrico per cui la tecnologia deve restare al servizio della persona e non trasformarsi in uno strumento di condizionamento su di essa».

Il medico al centro della decisione terapeutica

Per evitare che la complessità tecnologica determini un ritorno a un approccio fideistico o oracolare della medicina, la Legge 132 del 2025 riserva tassativamente al medico il momento decisionale.

L’intelligenza artificiale deve mantenere una funzione puramente ausiliaria e di supporto. Questa scelta legislativa si rivela essenziale per consentire la verificabilità dei processi e per individuare tempestivamente i bias o le allucinazioni etniche presenti nei dataset utilizzati per addestrare gli algoritmi.

La medesima legge vieta espressamente qualsiasi forma di selezione algoritmica nell’accesso alle cure che possa produrre effetti discriminatori.

La tutela dei dati sensibili e la vulnerabilità psichica

I dati sanitari mantengono una tutela rafforzata poiché esprimono le condizioni di maggiore vulnerabilità fisica o psichica dell’individuo, o si riferiscono a scelte personali drammatiche, come l’interruzione volontaria di gravidanza.


La protezione da ingerenze indebite è necessaria anche quando l’azione amministrativa incrocia situazioni di fragilità sociale.

L’Autorità è intervenuta, ad esempio, per definire le linee guida a sostegno degli orfani di crimini domestici e delle vittime di femminicidio, chiedendo di evitare la stigmatizzazione sociale dei minori attraverso la diffusione incontrollata o l’accesso illegittimo alle loro informazioni, scongiurando così il rischio di una vittimizzazione secondaria.

Sicurezza investigativa e limiti del riconoscimento biometrico

Nell’ambito delle attività investigative e di contrasto al crimine, il Garante privacy collabora costantemente con il legislatore per garantire che le esigenze di sicurezza pubblica rispettino i criteri di proporzionalità e necessarietà stabiliti dalla Carta di Nizza.

Rispetto alla delega legislativa per l’accesso ai dispositivi digitali a fini d’indagine, l’Autorità ha ribadito l’importanza della minimizzazione dei dati. L’uso dell’intelligenza artificiale nelle attività di polizia non deve tradursi in derive predittive che incorporano stereotipi discriminatori, rischiando di rilegittimare la vecchia “colpa d’autore” e delegando il giudizio sull’uomo a un calcolo probabilistico.

La proroga del divieto di riconoscimento biometrico nei luoghi pubblici

La sorveglianza estesa rappresenta un elemento di forte criticità per la tenuta delle libertà civili.


L’Autorità ha accolto con favore la recente proroga del divieto di utilizzo dei sistemi di riconoscimento biometrico nei luoghi pubblici, fatta eccezione per specifiche esigenze di contrasto, in attesa dell’adozione delle norme di adeguamento all’AI Act.

L’ambivalenza di questi strumenti di controllo è dimostrata anche da cronache internazionali: secondo quanto riportato dal Financial Times, persino i servizi di sicurezza russi hanno disattivato parti del sistema di videosorveglianza della presidenza per il timore che l’intelligenza artificiale avversaria potesse utilizzarlo contro di loro.

L’occhio elettronico può dunque trasformarsi in un fattore di vulnerabilità geopolitica.

L’impatto dei data breach sulla pubblica amministrazione

La massiccia centralizzazione dei dati digitali espone le strutture pubbliche e private a crescenti rischi di cyberattacchi. Nell’anno 2025, il Garante privacy ha registrato ben 2.415 notifiche di data breach.

Lo strumento della notifica permette all’Autorità di intervenire tempestivamente per contenere l’impatto delle violazioni, ma la relazione evidenzia come sia indispensabile investire sulla sicurezza preventiva e limitare la raccolta delle informazioni a quanto strettamente necessario, eliminando ogni eccedenza.


La digitalizzazione della pubblica amministrazione deve includere la protezione dei dati come componente essenziale per garantire la sostenibilità democratica delle riforme.

Il principio di essenzialità nell’informazione e la cronaca giudiziaria

Il bilanciamento tra il diritto di cronaca, definito dalla Corte Costituzionale la pietra angolare della democrazia, e la tutela della dignità umana rappresenta un altro terreno di costante intervento per il Garante privacy.

L’esercizio del diritto d’informazione deve conformarsi rigorosamente al principio di essenzialità, per evitare che l’eccesso informativo scada in una spettacolarizzazione voyeuristica, dando vita a veri e propri processi mediatici che violano la presunzione di innocenza e ostacolano il reinserimento sociale del condannato.

L’Autorità ha richiamato più volte gli organi di stampa al rispetto di questi limiti, intervenendo in modo netto su casi di grande risonanza pubblica. Nel celebre “caso Garlasco”, ad esempio, il Garante ha imposto il blocco della diffusione delle immagini relative all’autopsia della vittima per salvaguardarne la dignità.

In un’altra occasione, l’istituto è intervenuto per tutelare il diritto di difesa e il segreto professionale, gravemente lesi dalla pubblicazione sui media della conversazione privata tra un imputato e il suo avvocato difensore.


Allo stesso modo, sono state sanzionate le violazioni del principio di essenzialità commesse diffondendo dettagli di un procedimento penale a carico di giovani indagati per violenza sessuale, i cui dati permettevano l’identificazione della vittima.

L’anonimato delle persone offese da reati sessuali resta un presidio invalicabile per impedire ulteriori traumi psicologici.

Le sfide organizzative e l’appello finale alle Camere

L’efficacia della tutela offerta dal Garante privacy dipende anche dalla piena operatività dei suoi organi di vertice e dall’estensione del personale ispettivo e sanzionatorio, che collabora stabilmente con il corpo della Guardia di Finanza.

A questo proposito, il Presidente Stanzione ha sollevato davanti alle Camere una questione istituzionale urgente, legata alla mancata elezione suppletiva del quarto componente del Collegio dell’Autorità, rimasto incompleto da quasi sei mesi a seguito delle dimissioni dell’avvocato Guido Scorza.

L’integrazione del Collegio è considerata indispensabile per consentire all’organo di operare al massimo delle proprie capacità decisionali di fronte alle scadenze imposte dall’AI Act.


La relazione annuale si chiude richiamando la responsabilità collettiva di tutte le istituzioni di fronte alla transizione digitale. Nel tracciare la strada per il futuro, Pasquale Stanzione ha scelto di citare direttamente il discorso storico con cui John Fitzgerald Kennedy, nel luglio del 1960, accettava la candidatura alla presidenza degli Stati Uniti introducendo il concetto di una nuova frontiera:

«I tempi richiedono fantasia, coraggio e perseveranza. Sto chiedendo a ciascuno di voi di essere pioniere di questa nuova frontiera, fatta non di promesse ma di sfide».

La protezione dei dati personali non si configura quindi come una materia tecnica per soli specialisti, bensì come lo strumento principale attraverso cui una democrazia matura difende la libertà dei cittadini dall’avanzata della tecnica e dalla tirannia del quantificabile.

Privacy e cybersecurity sono due facce della stessa medaglia, rappresentando aspetti complementari della protezione digitale. La privacy si concentra sul diritto degli individui di controllare i propri dati personali, come stabilito dal GDPR, mentre la cybersecurity mira alla protezione dei sistemi informatici da attacchi che potrebbero compromettere la riservatezza, l’integrità e la disponibilità dei dati. Queste due dimensioni sono profondamente interconnesse: una violazione della cybersecurity può comportare una fuga di dati personali, mentre la non conformità alle normative sulla privacy può esporre le organizzazioni a sanzioni e danni reputazionali. Per una protezione efficace, è fondamentale implementare misure di sicurezza adeguate, adottare una cultura della privacy all’interno dell’organizzazione, fornire formazione ai dipendenti sulla gestione dei dati personali e collaborare con le autorità competenti in caso di violazioni.

I dati personali e la cybersecurity formano un binomio inscindibile per diverse ragioni fondamentali. Innanzitutto, i dati personali sono informazioni preziose che possono essere utilizzate per commettere crimini informatici come furti d’identità, frodi finanziarie e ransomware. La violazione di questi dati può causare conseguenze gravi per le persone, inclusi danni finanziari, alla reputazione e persino psicologici. La cybersecurity diventa quindi fondamentale per proteggere la privacy attraverso misure come la crittografia, il controllo degli accessi e la formazione sulla sicurezza informatica. Inoltre, la conformità alle leggi sulla privacy, come il GDPR in Europa, è un requisito essenziale per la cybersecurity, poiché le organizzazioni che raccolgono e trattano dati personali devono rispettare queste normative per proteggere i diritti degli individui. Infine, la fiducia è un elemento cruciale: le persone devono potersi fidare che le loro informazioni personali saranno protette per essere disposte a condividerle online.


Per una protezione efficace dei dati personali, è essenziale adottare un approccio integrato che combini misure tecniche, organizzative e procedurali. Tra le best practice più importanti: utilizzare password complesse e univoche per tutti gli account online, effettuare regolarmente backup dei dati aziendali, installare software antivirus e anti-malware sui dispositivi, e prestare attenzione alle email e ai siti web sospetti. È fondamentale implementare la data centric security, che garantisce la protezione del dato mediante cifratura dal momento in cui entra nei sistemi aziendali e lungo tutto il suo ciclo di vita. L’adozione di un approccio ‘zero trust’, basato sul principio che nessuno accede a una risorsa a meno che non sia necessario ed esplicitamente autorizzato, rappresenta un ulteriore livello di protezione. La pseudonimizzazione e l’anonimizzazione dei dati, quando appropriate, contribuiscono a ridurre i rischi di identificazione degli interessati. Infine, è cruciale sviluppare una cultura della sicurezza informatica attraverso la formazione continua dei dipendenti.

L’approccio privacy basato sul rischio è un principio fondamentale del GDPR che porta il titolare a considerare “rischioso” per l’interessato qualsiasi trattamento di dati personali al quale sia applicabile il Regolamento. Questo approccio si traduce nell’analisi preventiva del contesto del trattamento, del grado di probabilità e gravità dei potenziali rischi ai quali è esposto l’interessato, e nella predisposizione di piani d’azione per limitare il verificarsi degli eventi a rischio. Il GDPR ha superato il concetto di misure “minime di sicurezza” della precedente disciplina, introducendo un modello dinamico che segue passo passo l’attività aziendale. In questo contesto, la DPIA (Data Protection Impact Assessment) è uno strumento obbligatorio per valutare i casi in cui i rischi sono particolarmente elevati. Il rischio deve essere valutato attraverso considerazioni oggettive, tenendo conto dell’origine, dell’ambito di applicazione, del contesto e delle finalità del trattamento, per individuare le migliori misure tecniche e organizzative per attenuarlo.

Nell’era dell’Intelligenza Artificiale, la protezione dei dati personali affronta sfide senza precedenti. Gli algoritmi di AI, sempre più complessi, possono elaborare decisioni su basi che spesso sfuggono alla comprensione umana, portando all’uso inconsapevole di dati personali in processi decisionali che influenzano direttamente gli individui. Tra le principali sfide troviamo: la mancanza di trasparenza nei sistemi di AI che utilizzano dati personali; il rischio di discriminazione algoritmica basata su dati personali sensibili; la difficoltà di garantire il consenso informato quando i dati vengono utilizzati per addestrare modelli di AI; e la complessità nel garantire il diritto all’oblio quando i dati personali sono integrati in modelli di apprendimento automatico. A queste si aggiungono rischi di sicurezza informatica come violazioni dei dati attraverso attacchi di ingegneria inversa sui modelli di AI, manipolazione dei dati di addestramento, e vulnerabilità nei sistemi di AI che potrebbero esporre dati personali. Per mitigare questi rischi, è essenziale implementare misure come la privacy by design, la valutazione d’impatto sulla protezione dei dati, e l’adozione di approcci di AI spiegabile.

La normativa sulla privacy dei dati sanitari è particolarmente rigorosa sia a livello italiano che europeo. Il GDPR classifica i dati relativi alla salute come “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Questi dati rientrano nella categoria dei dati soggetti a trattamento speciale e tutela rafforzata (art. 9 GDPR), in quanto capaci di rivelare dettagli molto intimi della persona. In Italia, il Codice Privacy (D.lgs. 196/2003, modificato dal D.lgs. 101/2018) dedica specifiche disposizioni al trattamento dei dati sanitari. Per trattare legittimamente questi dati, è necessario rispettare principi fondamentali come liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, e responsabilizzazione. Il trattamento dei dati sanitari richiede inoltre garanzie specifiche, come il consenso esplicito dell’interessato o altre basi giuridiche specifiche previste dall’art. 9 GDPR, come la necessità per finalità di medicina preventiva, diagnosi, assistenza sanitaria o motivi di interesse pubblico nel settore della sanità pubblica.

Il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) svolge un ruolo cruciale nella governance della privacy all’interno delle organizzazioni. Il DPO non è un semplice organo burocratico, bensì un attore essenziale per realizzare il principio di responsabilizzazione (accountability) previsto dal GDPR. Le sue funzioni principali includono: informare e fornire consulenza al titolare o al responsabile del trattamento e ai dipendenti sugli obblighi derivanti dal GDPR; sorvegliare l’osservanza del regolamento e delle politiche in materia di protezione dei dati; fornire pareri sulla valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento; cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento dei dati. È fondamentale che il DPO sia coinvolto sin dall’inizio ed abbia autonomia decisionale per svolgere efficacemente il suo compito di vigilanza, orientamento e consulenza. La sua nomina è obbligatoria per le pubbliche amministrazioni e per le organizzazioni le cui attività principali consistono in trattamenti su larga scala di dati sensibili o nel monitoraggio regolare e sistematico degli interessati.


L’anonimizzazione è quel processo che, eliminando alcuni elementi descrittori o identificatori, rende estremamente improbabile la re-identificazione anche facendo ricorso a mezzi come l’individuazione, il collegamento di dati e l’inferenza. Il Considerando 26 del GDPR afferma che “i principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi”. Non esiste una regola universale per determinare quali e quanti descrittori eliminare per garantire l’anonimizzazione efficace: le tecniche più efficaci includono il mascheramento, la randomizzazione, la generalizzazione e l’anonimizzazione stratificata. L’European Data Protection Board ha delineato un “test di ragionevolezza” per considerare valida l’anonimizzazione, secondo il quale si devono considerare sia aspetti oggettivi (tempi, mezzi tecnici), sia elementi di contesto (rarità di un fenomeno, densità di popolazione, natura e volume dei dati). È importante distinguere l’anonimizzazione dalla pseudonimizzazione: quest’ultima prevede che i dati non possano essere attribuiti a un interessato specifico senza informazioni aggiuntive, ma tali informazioni sono conservate separatamente, rendendo possibile la re-identificazione.

Le violazioni della normativa sulla privacy possono comportare sanzioni sia amministrative che penali di notevole entità. Il GDPR ha introdotto sanzioni amministrative pecuniarie fortemente dissuasive (art. 83), che possono arrivare fino a 10 o 20 milioni di euro, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In Italia, il D.lgs. 101/2018 ha inoltre introdotto specifiche fattispecie penali per le violazioni più gravi, come l’illecito trattamento dei dati personali (art. 167 Codice Privacy), la comunicazione e diffusione illecita di dati personali (art. 167bis) e l’acquisizione fraudolenta di dati personali (art. 167ter), con pene che possono arrivare fino a sei anni di reclusione. Sono previste anche sanzioni per chi dichiara o attesta il falso nel corso di un procedimento dinanzi al Garante (art. 168) e per chi non osserva i provvedimenti adottati dall’Autorità (art. 170). Oltre alle sanzioni amministrative e penali, l’interessato ha diritto al risarcimento dei danni patrimoniali e non patrimoniali causati da un trattamento non conforme, con responsabilità solidale tra titolare e responsabile del trattamento.

Le certificazioni in ambito privacy e GDPR offrono diversi vantaggi significativi per le organizzazioni. Rappresentano uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati. Gli schemi di certificazione possono essere utilizzati proficuamente anche senza la necessità di ottenere una certificazione formale, fungendo da linee guida per implementare buone pratiche. Questo approccio è simile a quanto avviene da anni nell’ambito della sicurezza delle informazioni con la ISO 27001, utilizzata come riferimento anche da organizzazioni non certificate. Le certificazioni possono inoltre migliorare la reputazione aziendale, dimostrando l’impegno dell’organizzazione verso la protezione dei dati personali e aumentando la fiducia di clienti, partner e interessati. In un contesto commerciale, possono rappresentare un vantaggio competitivo, facilitando la selezione di fornitori e partner commerciali che dimostrano un elevato livello di conformità. Infine, il processo di certificazione stesso può aiutare l’organizzazione a identificare e correggere eventuali lacune nelle proprie pratiche di protezione dei dati, contribuendo a un miglioramento continuo dei processi interni.

FAQ generate con l’AI, a cura della Redazione


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Mattia Lanzarone

Source link


Di