Il 19 marzo 2026 l’European Data Protection Board ha annunciato l’avvio di una nuova azione coordinata nell’ambito del Coordinated Enforcement Framework (CEF), dedicata alla verifica del rispetto degli obblighi di trasparenza e informazione previsti dagli articoli 12, 13 e 14 del Regolamento (UE) 2016/679.
L’iniziativa coinvolge 25 autorità di controllo europee e si inserisce nella strategia pluriennale dell’EDPB volta a rafforzare l’applicazione uniforme del GDPR attraverso attività di indagine tematiche e coordinate. Non si tratta di un intervento episodico, ma di un’azione strutturata che combina raccolta di dati, verifiche documentali e, ove necessario, attività ispettive e procedimenti sanzionatori.
La scelta di concentrare l’attenzione sugli obblighi informativi non è casuale. Essa incide su una delle aree in cui, nella pratica applicativa, la distanza tra conformità formale e conformità sostanziale è più evidente. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. Gli articoli 12, 13 e 14 GDPR: funzione e portata reale degli obblighi informativi
- 2. L’oggetto dell’indagine: dalla presenza dell’informativa alla sua qualità
- 3. Le modalità operative del CEF 2026
- 4. Le criticità ricorrenti nella prassi applicativa
- 5. Trasparenza e accountability: un rapporto diretto
- 6. Implicazioni operative per le organizzazioni
- 7. Considerazioni conclusive
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Gli articoli 12, 13 e 14 GDPR: funzione e portata reale degli obblighi informativi
Gli articoli 12, 13 e 14 del GDPR disciplinano il diritto dell’interessato a ricevere informazioni sul trattamento dei propri dati personali, definendone modalità, contenuti e tempi.
L’art. 12 impone che le informazioni siano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Non si tratta di una clausola stilistica, ma di un requisito giuridico che incide direttamente sulla validità del processo informativo.
Gli articoli 13 e 14 individuano, rispettivamente, le informazioni da fornire quando i dati sono raccolti presso l’interessato o presso terzi, includendo elementi essenziali quali le finalità del trattamento, la base giuridica, i destinatari dei dati, i tempi di conservazione e i diritti esercitabili.
La funzione di queste disposizioni è ben più ampia rispetto a quella che emerge dalla prassi. L’informativa non è un documento di accompagnamento, ma il presupposto per l’esercizio consapevole dei diritti riconosciuti agli interessati. Se l’informazione non è comprensibile, il diritto esiste solo sul piano formale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. L’oggetto dell’indagine: dalla presenza dell’informativa alla sua qualità
L’azione coordinata dell’EDPB si concentra su un profilo specifico: la qualità dell’informazione fornita agli interessati.
Le autorità di controllo non si limiteranno a verificare l’esistenza di un documento denominato “privacy policy”, ma analizzeranno se tale documento:
- consente effettivamente di comprendere come e perché i dati vengono trattati;
- riflette in modo fedele i trattamenti svolti dall’organizzazione;
- permette all’interessato di individuare con chiarezza i propri diritti e le modalità per esercitarli.
Questo spostamento è rilevante. La conformità non viene più misurata sulla base della completezza formale dell’informativa, ma sulla sua capacità di adempiere alla funzione per cui è prevista dal regolamento.
3. Le modalità operative del CEF 2026
Nel corso del 2026 le autorità nazionali condurranno verifiche su organizzazioni appartenenti a diversi settori, utilizzando strumenti differenziati.
Le attività potranno includere:
- l’invio di questionari strutturati per raccogliere informazioni sulle pratiche adottate;
- l’analisi delle informative e della documentazione correlata;
- l’avvio di indagini formali nei casi in cui emergano criticità rilevanti.
I risultati saranno condivisi tra le autorità partecipanti e confluiranno in un report europeo che potrà orientare ulteriori azioni di enforcement.
È importante sottolineare che il CEF non esaurisce l’attività delle autorità: ogni autorità mantiene la possibilità di avviare procedimenti autonomi sulla base delle risultanze emerse.
4. Le criticità ricorrenti nella prassi applicativa
La scelta dell’EDPB trova riscontro in una serie di problematiche che si riscontrano con frequenza nella pratica.
Tra queste si possono individuare, con una certa costanza:
- informative eccessivamente estese, costruite per accumulo di clausole piuttosto che per chiarezza espositiva;
- utilizzo di un linguaggio giuridico o tecnico che ostacola la comprensione;
- disallineamento tra quanto dichiarato nell’informativa e i trattamenti effettivamente svolti;
- difficoltà nell’individuare informazioni essenziali, quali la base giuridica o i tempi di conservazione;
- mancata differenziazione delle informative in funzione dei diversi contesti di raccolta dei dati.
Si tratta di criticità che non attengono tanto alla mancanza di documentazione, quanto alla sua inadeguatezza rispetto agli standard richiesti dal regolamento.
5. Trasparenza e accountability: un rapporto diretto
L’iniziativa dell’EDPB evidenzia il legame diretto tra obblighi informativi e principio di accountability.
L’art. 5, par. 2 del GDPR impone al titolare del trattamento non solo di rispettare i principi applicabili, ma anche di essere in grado di dimostrarlo. La trasparenza rappresenta uno degli strumenti principali attraverso cui tale dimostrazione si realizza.
Un’informativa incompleta, incoerente o incomprensibile non costituisce soltanto una violazione autonoma, ma segnala una criticità più ampia nel sistema di gestione dei dati personali.
In questa prospettiva, la qualità dell’informazione diventa un indicatore della solidità complessiva del modello organizzativo adottato.
6. Implicazioni operative per le organizzazioni
L’avvio del CEF 2026 impone una revisione concreta degli strumenti di compliance adottati.
Non è sufficiente verificare la presenza di un’informativa aggiornata sotto il profilo normativo. È necessario interrogarsi sulla sua efficacia, sulla coerenza con i trattamenti effettivi e sulla sua comprensibilità per il destinatario.
Questo implica, tra l’altro:
- un allineamento puntuale tra informativa e data mapping;
- una revisione del linguaggio utilizzato, con particolare attenzione alla chiarezza espositiva;
- una differenziazione delle informative in funzione dei diversi canali e delle diverse categorie di interessati;
- un aggiornamento continuo in relazione all’evoluzione dei trattamenti.
Si tratta di attività che richiedono il coinvolgimento non solo della funzione legale o del DPO, ma anche delle strutture operative che gestiscono concretamente i dati.
7. Considerazioni conclusive
L’azione coordinata avviata dall’EDPB non introduce nuovi obblighi, ma incide sul modo in cui quelli esistenti verranno valutati.
La trasparenza non è più verificata in termini di presenza o completezza formale, ma in relazione alla sua capacità di rendere effettivamente comprensibile il trattamento dei dati personali. La distanza tra informazione resa e informazione compresa diventa il criterio attraverso cui misurare la conformità.
Ne deriva una conseguenza netta: un’informativa formalmente corretta ma sostanzialmente opaca non soddisfa i requisiti del regolamento. In altri termini, l’inadempimento può derivare non solo da ciò che manca, ma anche da ciò che, pur presente, non è intelligibile.
È su questo piano che si concentreranno le verifiche del 2026, e su questo stesso piano si giocherà la tenuta dei modelli di compliance adottati dalle organizzazioni.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento