Privacy e GDPR: la guida completa sui diritti dei cittadini e gli obblighi delle aziende

Hai mai usato ChatGPT per scrivere un’email di lavoro, inserendo nome, ruolo e qualche dettaglio personale? O hai ricevuto una notifica da un’azienda che ti avvisava di un attacco informatico ai suoi sistemi — e che i tuoi dati potrebbero essere stati coinvolti? Situazioni come queste, fino a qualche anno fa eccezionali, sono diventate parte della quotidianità digitale. E ogni volta che accadono, entra in gioco la normativa sulla privacy e GDPR.

Il Regolamento Generale sulla Protezione dei Dati — conosciuto con l’acronimo inglese GDPR, dal General Data Protection Regulation — è in vigore in tutta Europa dal 25 maggio 2018. Ma il 2025 ha cambiato profondamente il paesaggio normativo intorno a lui: è entrata in vigore la prima legge italiana sull’intelligenza artificiale (la Legge 23 settembre 2025, n. 132), il Data Act europeo è diventato operativo dal 12 settembre 2025, la Commissione UE ha presentato una proposta di riforma del GDPR stesso — il cosiddetto Digital Omnibus — e l’AI Act europeo si avvicina alla sua fase più critica, con la piena applicazione degli obblighi per i sistemi ad alto rischio fissata al 2 agosto 2026.

In questa guida trovi tutto quello che ti serve sapere, aggiornato a febbraio 2026. Se sei un cittadino, scoprirai quali diritti hai — e come farli valere concretamente. Se gestisci un’azienda, anche piccola, capirai cosa sei obbligato a fare, cosa rischi se non lo fai, e cosa cambia con le nuove norme. Non troverai linguaggio da gazzetta ufficiale: troverai spiegazioni pratiche, esempi concreti e riferimenti alle fonti ufficiali per approfondire.

Cos’è il GDPR e perché è importante per te

Il GDPR non è solo una legge sulla privacy nel senso tradizionale del termine. È il pilastro su cui si regge l’intero edificio normativo digitale europeo: oggi l’AI Act, il Data Act e la NIS2 si appoggiano tutti ai suoi principi, li estendono o li specificano. Capire il GDPR significa capire le regole del gioco nell’era dei dati — che tu sia un cittadino che vuole proteggere le proprie informazioni personali o un imprenditore che deve sapere cosa è lecito fare con i dati dei suoi clienti.

Il testo ufficiale del Regolamento UE 2016/679 è consultabile gratuitamente sul sito del Garante per la Protezione dei Dati Personali.

Origini e obiettivi del Regolamento UE 2016/679

Prima del 2018, ogni Stato membro dell’Unione Europea aveva la propria legge sulla privacy. Il risultato era un patchwork normativo frammentato: un’azienda che operava in più Paesi doveva fare i conti con regole diverse, spesso contraddittorie. I cittadini, dal canto loro, avevano tutele disomogenee a seconda di dove risiedevano.

Il Regolamento UE 2016/679 — adottato il 27 aprile 2016 ed entrato in piena applicazione il 25 maggio 2018 — ha cambiato tutto questo con tre obiettivi principali.

Armonizzazione. Un unico quadro normativo valido in tutti gli Stati membri, senza bisogno di recepimento nazionale come avviene con le direttive. Le regole sono le stesse da Lisbona a Varsavia.

Fiducia digitale. Garantire che i cittadini possano partecipare all’economia digitale sapendo che i propri dati personali sono tutelati. La protezione dei dati è riconosciuta come diritto fondamentale dall’articolo 8 della Carta dei Diritti Fondamentali dell’Unione Europea.

Responsabilizzazione delle organizzazioni. Il GDPR ha introdotto il principio di accountability: non basta rispettare le regole — bisogna essere in grado di dimostrarlo. Le aziende non aspettano più un’autorizzazione preventiva del Garante; sono loro a valutare i rischi e ad adottare le misure adeguate.

Il GDPR in Italia: il Codice Privacy aggiornato

In Italia, il GDPR si affianca al Codice in materia di protezione dei dati personali, il decreto legislativo 196 del 2003. Quando il Regolamento europeo è entrato in applicazione, il Codice non è stato abrogato: è stato adeguato con il decreto legislativo 101 del 2018, che ha eliminato le norme incompatibili e integrato le specificità nazionali che il GDPR lascia agli Stati membri — come alcune regole sul trattamento dei dati nel rapporto di lavoro o in ambito sanitario.

L’autorità di controllo italiana è il Garante per la Protezione dei Dati Personali, un’autorità amministrativa indipendente istituita nel 1997. È lui che riceve i reclami dei cittadini, conduce le ispezioni, irroga le sanzioni e pubblica le linee guida per le organizzazioni. Nel 2026 il Garante italiano partecipa al Coordinated Enforcement Framework (CEF) promosso dall’EDPB — il Comitato europeo per la protezione dei dati — con un focus specifico sugli obblighi di trasparenza previsti dagli articoli 12, 13 e 14 del GDPR.

Vale la pena ricordarlo: il GDPR si applica non solo alle organizzazioni con sede in Europa, ma a chiunque tratti dati di persone fisiche che si trovano nell’UE — incluse aziende con sede negli Stati Uniti, in Asia o altrove, se i loro servizi sono rivolti a utenti europei.

I princìpi fondamentali del GDPR

Tutto il GDPR si regge su un insieme di princìpi che non sono semplici dichiarazioni d’intenti: sono criteri operativi che ogni organizzazione deve rispettare ogni volta che tratta dati personali. Li trovi elencati nell’articolo 5 del Regolamento. Se vuoi capire se un certo trattamento è lecito o meno, la risposta passa sempre da qui.

I 7 princìpi cardine (Art. 5)

Liceità, correttezza e trasparenza. Il trattamento deve avere una base giuridica valida, deve essere leale nei confronti dell’interessato e deve essere trasparente: la persona deve sapere che i suoi dati vengono trattati, da chi, e per quale scopo. Un’azienda che raccoglie dati di navigazione senza informare l’utente viola già questo primo principio.

Limitazione della finalità. I dati possono essere raccolti solo per scopi specifici, espliciti e legittimi — e non possono essere riutilizzati per finalità incompatibili con quelle originarie. Se raccogli l’email di un cliente per spedirgli una fattura, non puoi usarla per mandargli newsletter promozionali senza un consenso separato.

Minimizzazione dei dati. Puoi raccogliere solo i dati strettamente necessari per la finalità dichiarata. Un e-commerce che vende libri non ha motivo di chiederti la data di nascita. Un modulo di contatto non ha bisogno del tuo numero di telefono se non sei tu a volerlo fornire.

Esattezza. I dati devono essere accurati e, se necessario, aggiornati. L’organizzazione deve adottare misure ragionevoli per correggere o cancellare i dati inesatti.

Limitazione della conservazione. I dati non possono essere tenuti per sempre: devono essere conservati solo per il tempo necessario a raggiungere la finalità per cui sono stati raccolti. Passato quel periodo, vanno cancellati o anonimizzati.

Integrità e riservatezza. I dati devono essere protetti con misure tecniche e organizzative adeguate contro accessi non autorizzati, perdita accidentale o distruzione. Questo principio è alla base degli obblighi di sicurezza informatica che il GDPR impone alle aziende.

Responsabilizzazione (accountability). Il titolare del trattamento deve non solo rispettare tutti i princìpi precedenti, ma essere in grado di dimostrarlo in qualsiasi momento, anche in caso di ispezione del Garante.

Le 6 basi giuridiche del trattamento (Art. 6)

Per trattare dati personali in modo lecito, ogni singola operazione deve poggiare su almeno una delle sei basi giuridiche previste dall’articolo 6 del GDPR. Non esiste una base “migliore” in assoluto: dipende dal contesto.

Consenso. L’interessato ha espresso un accordo libero, specifico, informato e inequivocabile. Esempio: iscriversi a una newsletter promozionale.

Esecuzione di un contratto. Il trattamento è necessario per eseguire un contratto con l’interessato o per adottare misure precontrattuali su sua richiesta. Esempio: un negozio online che usa il tuo indirizzo per consegnare un ordine.

Obbligo legale. Il trattamento è necessario per adempiere a un obbligo previsto dalla legge. Esempio: un datore di lavoro che conserva le buste paga dei dipendenti per i termini di legge.

Interessi vitali. Il trattamento è necessario per proteggere la vita di una persona. È una base residuale, usata in situazioni di emergenza. Esempio: comunicare dati sanitari al pronto soccorso in caso di incoscienza del paziente.

Pubblico interesse. Il trattamento è necessario per svolgere un compito di interesse pubblico o esercitare pubblici poteri. Esempio: un comune che tratta dati dei residenti per l’erogazione di servizi.

Legittimo interesse. Il titolare ha un interesse legittimo che prevale sui diritti dell’interessato, dopo un bilanciamento esplicito. È la base più flessibile per le attività commerciali, ma richiede una valutazione documentata. Esempio: un’azienda che analizza i comportamenti di navigazione degli utenti già clienti per migliorare i propri servizi, senza profilarli a fini pubblicitari.

Cosa sono i dati personali (e cosa sono i dati sensibili)

Prima di capire quali diritti hai e quali obblighi hanno le aziende, devi sapere con precisione di cosa stiamo parlando. “Dati personali” non significa solo nome e cognome: la definizione del GDPR è molto più ampia di quanto la maggior parte delle persone immagini — e negli ultimi anni si è ulteriormente estesa con l’esplosione degli strumenti digitali e dell’intelligenza artificiale.

Definizione e categorie di dati protetti

Il GDPR definisce dato personale qualsiasi informazione che riguarda una persona fisica identificata o identificabile. La parola chiave è “identificabile”: non è necessario che il dato ti identifichi direttamente — è sufficiente che, combinato con altre informazioni, possa ricondurre a te.

Dati identificativi diretti. Nome, cognome, codice fiscale, numero di telefono, indirizzo email, fotografia, numero di documento d’identità.

Dati di rete e identificatori tecnici. Il tuo indirizzo IP, i cookie installati sul tuo browser, l’identificatore del tuo dispositivo mobile (IDFA o GAID), i dati di geolocalizzazione. Anche questi sono dati personali a tutti gli effetti, perché permettono di individuare un utente specifico nel tempo.

Dati comportamentali. La cronologia delle tue ricerche online, i prodotti che hai guardato su un e-commerce, il percorso che hai seguito navigando su un sito. Se l’azienda può associare quel comportamento a te — anche solo tramite un cookie — quei dati sono personali.

Dati generati da strumenti di intelligenza artificiale. I prompt che invii a uno strumento di AI generativa — come un assistente virtuale, un chatbot aziendale o una piattaforma di produttività basata su AI — possono contenere dati personali. Se scrivi “aiutami a rispondere a questa email di Marco Rossi, responsabile HR di Azienda Srl, che mi ha comunicato il mio licenziamento”, stai trasmettendo dati personali di terzi a un sistema di trattamento. Il GDPR si applica.

Dati particolari: salute, orientamento sessuale, convinzioni religiose

Accanto ai dati personali “ordinari”, il GDPR identifica una categoria che richiede protezione rafforzata: i dati particolari, disciplinati dall’articolo 9. Si tratta di informazioni che, se trattate in modo improprio, possono esporre una persona a discriminazioni gravi o a conseguenze particolarmente invasive nella sua vita.

Rientrano in questa categoria: dati sanitari (diagnosi, terapie, cartelle cliniche, referti), dati biometrici usati per identificare univocamente una persona (impronte digitali, riconoscimento facciale), origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, vita sessuale e orientamento sessuale.

Per trattare dati particolari non basta una delle sei basi giuridiche ordinarie dell’articolo 6: serve una condizione aggiuntiva prevista dall’articolo 9, paragrafo 2. Nella maggior parte dei casi pratici, questa condizione è il consenso esplicito dell’interessato — che deve essere ancora più chiaro e specifico rispetto al consenso ordinario.

Un esempio pratico: una palestra che vuole raccogliere informazioni sulle patologie dei suoi iscritti per personalizzare gli allenamenti deve ottenere un consenso esplicito separato, specificamente dedicato a quel trattamento — non può farlo con una clausola generica nel modulo di iscrizione.

I tuoi diritti come cittadino: cosa puoi pretendere dalle aziende

Il GDPR ha trasformato il cittadino da soggetto passivo a parte attiva del rapporto. Gli articoli dal 15 al 22 del Regolamento riconoscono una serie di diritti concreti ed esercitabili, non dichiarazioni di principio. Puoi usarli nei confronti di qualsiasi azienda, pubblica amministrazione o piattaforma digitale che tratti i tuoi dati personali.

Diritto di accesso (Art. 15)

Hai il diritto di sapere se un’organizzazione sta trattando dati che ti riguardano e, in caso affermativo, di ottenere una copia di quei dati insieme a una serie di informazioni: per quale scopo li usa, con chi li condivide, per quanto tempo li conserva, da dove li ha ottenuti se non direttamente da te. Puoi scrivere a qualsiasi azienda e chiedere “quali dati avete su di me?”. Sono obbligati a risponderti.

Diritto di rettifica (Art. 16) e cancellazione / diritto all’oblio (Art. 17)

Se i dati che un’organizzazione ha su di te sono inesatti o incompleti, hai il diritto di chiederne la correzione — e l’azienda deve provvedere senza ingiustificato ritardo.

Il diritto alla cancellazione, spesso chiamato diritto all’oblio, ti permette di chiedere che i tuoi dati vengano eliminati quando non sono più necessari per la finalità per cui erano stati raccolti, quando ritiri il consenso su cui si basava il trattamento, o quando il trattamento era illecito.

Vale la pena sapere: il Coordinated Enforcement Framework dell’EDPB del 2025 ha puntato proprio sul diritto all’oblio come tema di controllo coordinato tra le autorità europee. I risultati delle ispezioni condotte in tutta Europa verranno pubblicati nel corso del 2026.

Diritto di limitazione, opposizione e portabilità (Artt. 18–21)

Limitazione del trattamento (Art. 18). In certi casi puoi chiedere che i tuoi dati vengano “congelati”: l’azienda li conserva ma non li usa, per esempio mentre stai contestando la loro esattezza.

Opposizione (Art. 21). Puoi opporti in qualsiasi momento al trattamento dei tuoi dati quando questo si basa sul legittimo interesse del titolare. Se l’opposizione riguarda il marketing diretto, il titolare deve smettere immediatamente.

Portabilità dei dati (Art. 20). Hai il diritto di ricevere i dati che hai fornito a un’organizzazione in un formato strutturato, di uso comune e leggibile da una macchina — e di trasmetterli a un altro titolare del trattamento.

Diritto a non essere soggetti a decisioni automatizzate (Art. 22)

Hai il diritto di non essere sottoposto a una decisione basata esclusivamente su un trattamento automatizzato — inclusa la profilazione — se quella decisione produce effetti giuridici significativi. Accettazione o rifiuto di un mutuo valutato solo da un algoritmo, selezione automatizzata di un curriculum, determinazione del premio assicurativo basata solo su dati comportamentali: tutti casi in cui questo diritto può essere invocato.

Questo diritto ha acquisito nuova rilevanza grazie alla Legge 23 settembre 2025, n. 132 sull’intelligenza artificiale, che stabilisce esplicitamente che nel contesto lavorativo è vietata ogni discriminazione automatizzata: la decisione finale deve restare in capo a una persona fisica.

Come esercitare i tuoi diritti: richiesta e tempistiche

Esercitare un diritto GDPR è più semplice di quanto si pensi. Non esiste un modulo obbligatorio: puoi inviare una richiesta via email, tramite il form sul sito dell’azienda, o anche per lettera. Non sei tenuto a motivare la richiesta.

Tempistiche. L’organizzazione ha 30 giorni di tempo per risponderti. Se la richiesta è particolarmente complessa, può prorogare il termine fino a 90 giorni, ma deve informarti entro i primi 30 giorni della proroga e spiegarne il motivo.

Se l’azienda non risponde nei termini o nega il tuo diritto senza motivazione valida, puoi presentare reclamo al Garante. Il CEF EDPB 2026 punta proprio sulla trasparenza degli obblighi informativi — le autorità europee stanno coordinando controlli specifici su come le organizzazioni gestiscono le richieste degli interessati.

Per approfondire nel dettaglio come funzionano questi diritti nella pratica, consulta le Linee guida EDPB sui diritti degli interessati (versione 2.0).

Gli obblighi delle aziende: cosa devono fare per essere conformi al GDPR

Se gestisci un’azienda, uno studio professionale, un e-commerce o anche solo un sito web con un modulo di contatto, sei un titolare del trattamento ai sensi del GDPR. Gli obblighi che ne derivano non dipendono dalle dimensioni della tua organizzazione: dipendono da cosa fai con i dati. Puoi verificare se e in che misura il GDPR si applica alla tua situazione consultando il portale della Commissione Europea sulla protezione dei dati.

L’informativa privacy (Art. 13–14) — e la trasparenza come priorità 2026

L’informativa privacy è il documento con cui comunichi alle persone come tratti i loro dati. Deve contenere almeno: l’identità e i contatti del titolare del trattamento, le finalità e le basi giuridiche di ogni trattamento, i destinatari o le categorie di destinatari, i tempi di conservazione, e l’elenco dei diritti dell’interessato con le istruzioni per esercitarli. Deve essere scritta in linguaggio chiaro e semplice.

Il punto su cui concentrarsi nel 2026: il Coordinated Enforcement Framework dell’EDPB ha scelto come tema dell’anno proprio la trasparenza degli obblighi informativi previsti dagli articoli 12, 13 e 14 del GDPR. Le autorità di protezione dati europee — incluso il Garante italiano — condurranno ispezioni coordinate specificamente su come le organizzazioni informano gli interessati. Se la tua informativa è vaga, generica o nascosta in fondo al sito, il 2026 è il momento giusto per aggiornarla.

Se usi strumenti di intelligenza artificiale che trattano dati di clienti o dipendenti, la Legge 23 settembre 2025, n. 132 (articolo 4) richiede che l’informativa lo specifichi esplicitamente, con linguaggio comprensibile, indicando quali sistemi AI vengono usati e con quale grado di supervisione umana.

Il consenso e i cookie: regole attuali e novità Digital Omnibus in arrivo

Il consenso è valido solo se rispetta quattro condizioni cumulative: deve essere libero (non condizionato all’accesso al servizio), specifico (per una finalità precisa), informato (l’interessato sa cosa sta accettando) e inequivocabile (richiede un’azione positiva esplicita — una casella pre-spuntata non vale).

Sul fronte dei cookie, le regole attuali restano quelle già in vigore: i cookie tecnici non richiedono consenso, quelli di profilazione e marketing sì. I banner devono consentire di accettare e rifiutare con la stessa facilità — i cosiddetti “dark patterns” sono sanzionabili.

Cosa cambia con il Digital Omnibus. La Commissione Europea ha presentato a novembre 2025 una proposta di riforma che non è ancora in vigore. Tra le misure proposte: un meccanismo di accettazione o rifiuto globale dei cookie con un solo clic, e il divieto di riproporre il banner per almeno 6 mesi a chi ha già rifiutato. L’iter legislativo è in corso nel 2026: conviene iniziare a prepararsi per tempo.

Il Registro dei Trattamenti (Art. 30)

Il Registro delle attività di trattamento documenta come la tua organizzazione gestisce i dati personali: quali categorie tratti, per quali finalità, su quale base giuridica, con chi li condividi, per quanto tempo li conservi. È uno dei primi documenti richiesti in caso di ispezione del Garante.

L’articolo 30 prevede formalmente un’esenzione per le organizzazioni con meno di 250 dipendenti — ma nella pratica questa esenzione è quasi sempre inapplicabile. Decade immediatamente se il trattamento non è occasionale, se riguarda dati particolari o se può comportare un rischio per i diritti degli interessati. Qualsiasi azienda con almeno un dipendente che tratta dati di clienti in modo continuativo è nella quasi totalità dei casi obbligata a tenerlo.

La proposta Digital Omnibus prevede semplificazioni per le PMI e per le nuove small mid-cap enterprises (SMC) — aziende con meno di 750 dipendenti e fatturato inferiore a 150 milioni di euro. Non è ancora in vigore.

Privacy by Design e Privacy by Default (Art. 25)

Il principio di Privacy by Design impone di integrare la protezione dei dati fin dalla progettazione di un servizio o processo. Privacy by Default significa che le impostazioni predefinite devono già garantire il livello minimo di trattamento necessario: un’app non può raccogliere la tua geolocalizzazione per impostazione predefinita se quella funzione non è essenziale.

Con la Legge 132/2025 e l’AI Act, questo principio si estende ai sistemi di intelligenza artificiale. La valutazione d’impatto (DPIA) deve essere estesa per includere i rischi etici e discriminatori specifici dell’AI: la possibilità che un algoritmo produca risultati distorti, non spiegabili o ingiusti.

Data Breach: obblighi di notifica (Art. 33–34)

Un data breach è qualsiasi violazione della sicurezza che comporta accidentalmente o illecitamente la distruzione, la perdita, la modifica o la divulgazione non autorizzata di dati personali. Un attacco ransomware, un’email inviata al destinatario sbagliato, un laptop rubato con dati non cifrati: tutti esempi concreti.

Notifica al Garante. Se la violazione presenta un rischio per i diritti delle persone, devi notificarla al Garante entro 72 ore dalla scoperta — non dalla risoluzione del problema.

Comunicazione agli interessati. Se il rischio è elevato — furto di dati sanitari, credenziali bancarie, documenti d’identità — devi informare direttamente le persone coinvolte, senza ingiustificato ritardo.

Nel 2025 in Europa sono state comminate oltre 300 sanzioni per violazioni del GDPR, per un totale che supera 1,1 miliardi di euro. Il data breach e la mancata notifica rimangono tra le cause principali.

Il DPO (Data Protection Officer): chi deve nominarlo e cosa fa

Il Data Protection Officer — in italiano Responsabile della Protezione dei Dati (RPD) — è una figura introdotta dal GDPR per garantire che le organizzazioni più esposte al rischio di violazioni abbiano al loro interno un presidio esperto e indipendente. Non è un consulente legale generico né un responsabile IT: è una figura con competenze specifiche in diritto e prassi della protezione dei dati, che opera in autonomia rispetto al management.

Chi è obbligato a nominarlo. La nomina non dipende dalle dimensioni dell’azienda ma dalla natura dei trattamenti. Il GDPR la rende obbligatoria per tutte le autorità pubbliche; per i soggetti privati che effettuano monitoraggio regolare e sistematico degli interessati su larga scala; per chi tratta su larga scala categorie particolari di dati (articolo 9) o dati relativi a condanne penali.

Cosa fa concretamente. Il DPO informa e consiglia il titolare sugli obblighi derivanti dal GDPR. Sorveglia il rispetto del Regolamento. Fornisce pareri sulle DPIA. Funge da punto di contatto con il Garante — che può consultarlo direttamente in caso di ispezione. Può essere un dipendente interno o un professionista esterno.

Il ruolo si è ampliato con le nuove norme. Con la Legge 23 settembre 2025, n. 132 e l’avvicinarsi della piena applicazione dell’AI Act, il DPO è chiamato a valutare anche la compatibilità dei sistemi di intelligenza artificiale con il GDPR — inclusa la supervisione delle DPIA estese ai rischi etici. In alcune organizzazioni sta emergendo una figura complementare: l’AI Officer, responsabile specifico della governance dell’AI. Dove non esiste, il DPO tende ad assumerne le funzioni per i profili che intersecano la protezione dei dati.

Le sanzioni GDPR: quanto si rischia davvero

Le sanzioni previste dal GDPR sono tra le più elevate nel panorama del diritto amministrativo europeo. Non sono una minaccia teorica: dal 2018 a oggi le autorità di protezione dati hanno inflitto centinaia di provvedimenti, con importi che in alcuni casi hanno raggiunto cifre miliardarie. Ma le sanzioni colpiscono anche le realtà più piccole — spesso proprio per violazioni che sarebbe stato semplice evitare.

Le due fasce sanzionatorie

Fascia bassa — fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (si applica il maggiore dei due). Rientrano in questa fascia le violazioni di natura procedurale: mancata tenuta del Registro dei Trattamenti, nomina irregolare del DPO, mancata notifica di un data breach entro 72 ore, assenza della DPIA quando obbligatoria.

Fascia alta — fino a 20 milioni di euro o il 4% del fatturato mondiale annuo (si applica il maggiore dei due). Questa fascia si applica alle violazioni più gravi: trattamento illecito di dati senza base giuridica, violazione dei princìpi fondamentali, inosservanza dei diritti dell’interessato, trasferimento illecito di dati verso Paesi terzi.

La sanzione non è automaticamente il massimo previsto: il Garante valuta fattori mitiganti e aggravanti, tra cui la natura e la durata della violazione, il grado di cooperazione con l’autorità, e se si tratta di una prima violazione o di un comportamento reiterato.

I numeri delle sanzioni 2025 in Europa e Italia

Nel 2025 le autorità di protezione dati dei Paesi UE hanno comminato oltre 300 sanzioni per violazioni del GDPR, per un totale complessivo che supera 1,1 miliardi di euro. La fase della “sensibilizzazione” è ampiamente conclusa: le autorità oggi ispezionano, contestano e sanzionano con regolarità.

In Italia il Garante ha mostrato particolare attività su: videosorveglianza non conforme (telecamere senza informativa adeguata o con riprese sproporzionate); web scraping per AI generativa (raccolta massiva di dati dal web per addestramento di modelli AI); dati dei lavoratori (email monitorate senza informativa, geolocalizzazione senza accordo sindacale); sistemi di profilazione e decisione automatizzata senza le garanzie dell’articolo 22.

Per consultare i provvedimenti sanzionatori adottati dal Garante italiano con i dettagli di ciascun caso, fai riferimento alla sezione provvedimenti del Garante Privacy.

Il nuovo panorama normativo 2025–2026: AI Act, L. 132/2025, Data Act, NIS2 e riforma GDPR

Il GDPR non è più solo. Negli ultimi due anni il legislatore europeo — e quello italiano — hanno costruito attorno a lui un ecosistema normativo che lo integra, lo estende e lo specifica con regole pensate per affrontare sfide che nel 2016 erano difficilmente prevedibili. Intelligenza artificiale, oggetti connessi, sicurezza informatica delle infrastrutture critiche: il quadro normativo della privacy nel 2026 è molto più articolato di quello a cui eravamo abituati. Conoscerlo non è più un vantaggio competitivo — è un requisito di base.

L’AI Act europeo: la piena applicazione dal 2 agosto 2026

Il Regolamento UE 2024/1689 — l’AI Act — è la prima legge al mondo che regolamenta in modo organico l’intelligenza artificiale. Costruisce un sistema di classificazione dei sistemi AI in base al livello di rischio per i diritti fondamentali delle persone.

La data da segnare è il 2 agosto 2026: entro quella data, i soggetti che sviluppano o utilizzano sistemi AI classificati come ad alto rischio devono essere pienamente conformi. Rientrano in questa categoria i sistemi impiegati in: selezione e valutazione del personale, accesso all’istruzione, sanità, amministrazione della giustizia, infrastrutture critiche.

Gli obblighi concreti includono: documentazione tecnica dettagliata, registrazione in una banca dati europea, valutazione della conformità, supervisione umana obbligatoria, e una DPIA estesa che consideri non solo i rischi per la protezione dei dati ma anche i rischi etici, discriminatori e di erosione dell’autonomia decisionale.

La Legge italiana 132/2025: GDPR + AI integrati

L’Italia è stata il primo Paese europeo a dotarsi di una legge organica sull’AI: la Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025. Non sostituisce il GDPR né l’AI Act — li integra con specificazioni di rilievo per il contesto nazionale.

Trasparenza e spiegabilità. Non basta dichiarare genericamente di usare sistemi AI: chi li utilizza deve rendere comprensibili le logiche decisionali in linguaggio chiaro e semplice, indicare i rischi associati e garantire il diritto dell’utente di opporsi ai trattamenti automatizzati.

Divieto di discriminazione automatizzata nel lavoro. È esplicitamente vietata qualsiasi discriminazione prodotta da sistemi automatizzati nel contesto lavorativo: la decisione finale deve restare in capo a una persona fisica.

Governance duale. La vigilanza e i poteri sanzionatori competono all’ACN (Agenzia per la Cybersicurezza Nazionale); la promozione dell’innovazione e le procedure di conformità all’AgID (Agenzia per l’Italia Digitale).

Per le aziende, l’impatto pratico è immediato: informative da aggiornare, processi HR con AI da rivedere, DPIA da estendere ai rischi etici e discriminatori.

Data Act in vigore + NIS2 operativa

Data Act (in vigore dal 12 settembre 2025). Il Regolamento UE sul Data Act regola chi può accedere ai dati generati da prodotti connessi — dai sensori industriali agli elettrodomestici smart, dai dispositivi medici ai veicoli connessi. Il principio di fondo: chi genera dati usando un dispositivo deve poter accedervi e trasferirli a terzi. Quando i dati del dispositivo permettono di identificare una persona fisica, Data Act e GDPR si applicano in modo coordinato.

NIS2 — operativa in Italia con il D.Lgs. 138/2024. La Direttiva NIS2 ha ampliato la platea dei soggetti obbligati a garantire la sicurezza informatica: sono stati aggiunti nuovi settori (gestione dei rifiuti, produzione alimentare, fabbricazione di prodotti critici, servizi postali) e abbassate le soglie dimensionali. Per i titolari del trattamento che ricadono nel perimetro NIS2, gli obblighi di sicurezza si sovrappongono e rafforzano quelli dell’articolo 32 del GDPR.

Da tenere d’occhio: il surveillance pricing — la pratica di modulare i prezzi in tempo reale sulla base della profilazione comportamentale effettuata tramite AI. Il Garante ha già acceso i riflettori su questo fenomeno, e sono ragionevoli sviluppi normativi nel corso del 2026.

Digital Omnibus: la riforma del GDPR in arrivo

A novembre 2025 la Commissione Europea ha presentato la proposta del Digital Omnibus — un pacchetto normativo che mira a riformare il GDPR per renderlo più proporzionato per le realtà di minori dimensioni. È una proposta, non ancora una norma in vigore: l’iter legislativo europeo è in corso nel 2026.

Semplificazione per PMI e SMC. Viene introdotta la categoria delle small mid-cap enterprises (SMC) — organizzazioni con meno di 750 dipendenti e fatturato inferiore a 150 milioni di euro — con obblighi di compliance semplificati rispetto alle grandi imprese.

Nuove regole sui cookie. Meccanismo di accettazione o rifiuto globale con un solo clic, e divieto di riproporre il banner per almeno 6 mesi agli utenti che hanno già rifiutato.

Allineamento normativo. Il Digital Omnibus mira a rendere più coerente il quadro complessivo, allineando GDPR, AI Act e Data Act per ridurre sovrapposizioni e incongruenze che le aziende oggi gestiscono in parallelo.

Reclamo al Garante: quando e come farlo

Se hai esercitato un diritto previsto dal GDPR e l’azienda non ha risposto nei termini, ha risposto in modo insufficiente o ha negato il tuo diritto senza motivazione valida, hai a disposizione uno strumento concreto: il reclamo al Garante per la Protezione dei Dati Personali.

Reclamo o segnalazione: qual è la differenza. Il reclamo è l’atto formale con cui chiedi al Garante di valutare una violazione che ti riguarda direttamente. La segnalazione è uno strumento più informale per portare a conoscenza del Garante una possibile violazione che non ti tocca necessariamente in prima persona. Solo il reclamo avvia un procedimento in cui sei parte attiva.

Quando puoi presentare reclamo. Le situazioni più comuni: mancata risposta entro 30 giorni (o 90 in caso di proroga comunicata); risposta evasiva o parziale; rifiuto non motivato di cancellare, rettificare o fornire i tuoi dati; utilizzo dei tuoi dati per finalità diverse da quelle dichiarate nell’informativa; ricezione di comunicazioni commerciali indesiderate dopo aver revocato il consenso.

Come si presenta. Il Garante mette a disposizione un modulo online direttamente sul proprio sito istituzionale. Il reclamo può essere presentato anche via PEC o per posta. Deve contenere: i tuoi dati, l’identificazione del titolare contro cui presenti reclamo, la descrizione dei fatti, la richiesta di intervento e i documenti a supporto.

Cosa può fare il Garante. A seguito di un reclamo, il Garante può avviare un’istruttoria, richiedere informazioni al titolare, disporre misure correttive — compreso l’ordine di cancellare i dati o conformare il trattamento — e irrogare sanzioni amministrative.

Un canale alternativo: il ricorso al Tribunale. Il GDPR prevede anche la possibilità di rivolgersi all’autorità giudiziaria ordinaria. Se hai subito un danno materiale o immateriale a causa di una violazione del Regolamento, puoi richiedere il risarcimento davanti al giudice civile competente.

La privacy non è burocrazia. È il diritto di sapere chi sa cosa di te, di correggere le informazioni errate, di opporti a decisioni che ti riguardano prese da un algoritmo senza che nessun essere umano le abbia valutate. Il GDPR ha trasformato questi principi in diritti esercitabili — e il 2025 ha reso quel quadro ancora più robusto e articolato.

Oggi la normativa sulla privacy e GDPR non si esaurisce nel Regolamento del 2016. Si estende alla Legge 23 settembre 2025, n. 132 che integra la protezione dei dati nel funzionamento dei sistemi di intelligenza artificiale. Al Data Act, operativo dal 12 settembre 2025. All’AI Act, che dal 2 agosto 2026 imporrà obblighi precisi a chi usa sistemi AI ad alto rischio. E alla proposta Digital Omnibus, che promette semplificazioni — ma non è ancora legge.

Per il cittadino, il messaggio è chiaro: i tuoi diritti esistono, sono gratuiti da esercitare e sono tutelati da un’autorità indipendente che ha il potere di intervenire concretamente. Usali.

Per le aziende, il messaggio è altrettanto netto: la compliance non è un costo una tantum. È un processo continuo che nel 2026 richiede di tenere sotto controllo informativa privacy, banner cookie, Registro dei Trattamenti e DPIA — aggiornandoli ogni volta che il quadro normativo cambia. Che nel periodo attuale significa: spesso.

Per approfondire e restare aggiornato sulle indicazioni ufficiali, il punto di partenza è la Guida all’applicazione del GDPR del Garante Privacy.

Marco Rinaldi

Si occupa di normativa, istituzioni e funzionamento della pubblica amministrazione. Analizza leggi, decreti e cambiamenti regolatori, con attenzione agli effetti concreti per cittadini e imprese.