La Relazione sull’attività 2025 del Garante per la protezione dei dati personali fotografa un anno segnato dalla trasformazione digitale e dall’impatto sempre più pervasivo dell’intelligenza artificiale. Il documento, presentato dall’Autorità nel sesto anno di mandato del Collegio, mette al centro i nuovi rischi per i diritti fondamentali: dall’IA generativa ai deepfake, dalla tutela dei minori online alla videosorveglianza nei luoghi di lavoro, fino alla sanità digitale e ai data breach.
Il messaggio che attraversa la relazione è netto: l’innovazione tecnologica non può essere separata dal rispetto della privacy, della dignità e della libertà delle persone. In materia, abbiamo pubblicato la seconda edizione del Manuale operativo del D.P.O. – Aggiornato a Regolamento AI Act, Legge AI e Direttiva NIS2, disponibile su Shop Maggioli e su Amazon, e il corso Master in Compliance Management – Come realizzare un sistema di governance integrato – II edizione..
Indice
- 1. IA e DeepSeek: il fronte più delicato
- 2. Deepfake e deepnude: quando l’immagine diventa abuso
- 3. Scuola, sanità e PA digitale: privacy by design al centro
- 4. Lavoro: il caso Amazon e i rischi della videosorveglianza
- 5. Minori online, telemarketing e diritto di cronaca
- 6. I numeri della Relazione 2025
- Formazione per professionisti
- Ti interessano questi contenuti?
1. IA e DeepSeek: il fronte più delicato
Uno dei passaggi più rilevanti riguarda l’intelligenza artificiale conversazionale. Il Garante ricorda la decisione di limitare il trattamento dei dati degli utenti italiani da parte di due società cinesi che gestiscono DeepSeek, sistema di IA progettato per comprendere ed elaborare il linguaggio naturale e divenuto rapidamente molto diffuso.
La Relazione segnala anche l’attività preventiva contro l’uso, nell’addestramento dei sistemi di IA generativa, di informazioni raccolte massivamente tramite tecniche di web scraping. Il punto è centrale: l’alimentazione dei modelli di intelligenza artificiale con dati personali reperiti online può porre seri problemi di liceità, trasparenza e controllo da parte degli interessati. In materia, abbiamo pubblicato la seconda edizione del Manuale operativo del D.P.O. – Aggiornato a Regolamento AI Act, Legge AI e Direttiva NIS2, disponibile su Shop Maggioli e su Amazon.
Manuale operativo del D.P.O.
La guida definitiva per il Data Protection Officer nell’era dell’Intelligenza Artificiale e della Direttiva NIS2. Aggiornata alla Legge 132/2025.L’entrata in vigore dell’AI Act (Reg. UE 2024/1689) e della Legge Italiana sull’AI (L. 132/2025) ha trasformato radicalmente il ruolo del DPO. Oggi, proteggere i dati non basta più: il professionista deve governare l’intersezione tra algoritmi, accountability e cybersicurezza. Questo manuale offre la soluzione operativa per non farsi trovare impreparati di fronte al nuovo ecosistema normativo digitale, evitando il rischio di sanzioni e garantendo una compliance integrata. I Punti di Forza del Manuale Analisi dell’AI Act e L. 132/2025: Approfondimento completo sull’impatto dell’Intelligenza Artificiale sui principi di trasparenza e privacy by design. Integrazione con la Direttiva NIS2: Guida pratica al coordinamento tra protezione dati e sicurezza delle reti (D.Lgs. 138/2024). Governance Multidisciplinare: Strategie per la collaborazione tra DPO, CISO, RTD e la nuova figura dell’AI Ethics Officer. Formulario Operativo di 25 Modelli: Schemi pronti all’uso, inclusa la valutazione d’impatto sui diritti fondamentali (FRIA) e la policy aziendale sull’AI. Giurisprudenza Aggiornata: Analisi delle recenti sentenze della Corte di Giustizia UE e degli orientamenti EDPB (Parere 28/2024). A chi si rivolge Avvocati e Consulenti Legali: Per la gestione del contenzioso e della consulenza stragiudiziale. Data Protection Officer (DPO): Sia in ambito pubblico che privato. Responsabili della Transizione Digitale (RTD): Per la compliance nella Pubblica Amministrazione. CISO e Responsabili IT: Per l’integrazione della sicurezza informatica. Dirigenti e Funzionari PA: Coinvolti nei processi di innovazione tecnologica.
Michele Iaselli | Maggioli Editore 2026
29.45 €
2. Deepfake e deepnude: quando l’immagine diventa abuso
Ampio spazio è dedicato ai deepfake. Secondo la Relazione, il Garante ha avviato un’attività istruttoria dopo diverse segnalazioni, rilevando la presenza di numerose piattaforme che consentono di usare voce e immagini di altre persone per generare contenuti audio, fotografici e audiovisivi apparentemente realistici.
L’Autorità ha adottato un provvedimento di avvertimento nei confronti degli utilizzatori di piattaforme come Grok, ChatGPT e Clothoff, richiamando i rischi di gravi violazioni dei diritti e delle libertà fondamentali in assenza del consenso degli interessati.
Particolarmente allarmante è il fenomeno dei deepnude, strumenti che partendo dall’immagine di una persona vestita generano fotografie o video in cui la stessa appare artificialmente priva di indumenti. La Relazione sottolinea il coinvolgimento non consensuale soprattutto di donne e minorenni, e richiama il provvedimento di limitazione provvisoria nei confronti della società che gestisce Clothoff.
3. Scuola, sanità e PA digitale: privacy by design al centro
Il Garante è intervenuto anche sull’uso dell’intelligenza artificiale nelle istituzioni scolastiche, esprimendo parere favorevole sullo schema di decreto del Ministero dell’Istruzione e del Merito relativo a un servizio digitale basato sull’IA nella Piattaforma Unica. Le Linee guida richiamate dalla Relazione puntano a un utilizzo sicuro, etico e rispettoso dei diritti fondamentali.
Nel settore sanitario, l’Autorità ha espresso 28 pareri su schemi di decreti e regolamenti, ribadendo l’importanza di privacy by design, minimizzazione dei dati, trasparenza e accountability. Sono emerse criticità nella gestione dei dossier sanitari, nell’identificazione dei pazienti, nella comunicazione dei dati e nella prevenzione degli accessi abusivi.
Attenzione anche alla digitalizzazione della Pubblica amministrazione e all’IT Wallet, rispetto al quale il Garante ha contribuito ad assicurare la conformità alla normativa privacy, anche alla luce del futuro portafoglio europeo di identità digitale.
4. Lavoro: il caso Amazon e i rischi della videosorveglianza
La tutela dei lavoratori è uno dei capitoli più sensibili. La Relazione richiama il provvedimento urgente con cui il Garante ha vietato ad Amazon Italia Logistica il trattamento di dati personali di oltre 1.800 lavoratori dello stabilimento di Passo Corese. I dati riguardavano salute, attività sindacale e vita personale e familiare, raccolti in modo sistematico e conservati fino a dieci anni dalla cessazione del rapporto.
Il Garante segnala inoltre i rischi legati alla videosorveglianza nei luoghi di lavoro, soprattutto in piccoli esercizi commerciali, dove il monitoraggio costante e da remoto può tradursi in forme di controllo a distanza in violazione dello Statuto dei lavoratori.
5. Minori online, telemarketing e diritto di cronaca
La Relazione dedica spazio anche alla tutela dei minori online, con la vigilanza sull’età di accesso ai social network e sui sistemi di age verification. Centrale anche il tema dello sharenting, cioè la condivisione online da parte dei genitori di immagini e contenuti riguardanti i figli, con rischi per l’identità digitale e il libero sviluppo della personalità del minore.
Sul fronte consumatori, il Garante ha proseguito l’azione contro il telemarketing aggressivo, soprattutto nel settore energetico, con sanzioni legate in gran parte all’uso dei dati senza consenso. Non manca un richiamo al diritto di cronaca: l’Autorità chiede equilibrio tra informazione, dignità e riservatezza, censurando eccessi di dettagli e spettacolarizzazione di vicende tragiche.
6. I numeri della Relazione 2025
Nel 2025 il Garante ha adottato 807 provvedimenti collegiali, dato riscontro a 4.288 reclami e 145.846 segnalazioni. I provvedimenti correttivi e sanzionatori sono stati 506, mentre le sanzioni riscosse superano i 37 milioni di euro.
In aumento anche i data breach: 2.415 notifiche, il 10% in più rispetto al 2024. Nel settore pubblico i casi hanno riguardato soprattutto Comuni, scuole e strutture sanitarie; nel privato, piccole e medie imprese, professionisti e società attive in telecomunicazioni, energia, banche e servizi.
La fotografia finale è quella di un’Autorità chiamata a presidiare un confine sempre più mobile: quello tra innovazione digitale e tutela concreta dei diritti fondamentali.
Formazione per professionisti
Master in Compliance Management
Il Master in Compliance Management è un percorso di formazione specialistica della durata di 27 ore, pensato per offrire una visione chiara, aggiornata e completa delle principali aree della compliance aziendale. Il focus è sugli strumenti, gli obblighi e le responsabilità che imprese e professionisti devono conoscere e applicare per garantire la conformità e l’efficacia dei modelli organizzativi.
Grazie all’esperienza dei docenti e all’analisi di casi concreti, il Master si distingue per un taglio pratico e operativo che consentirà ai partecipanti di acquisire competenze e strumenti utili per gestire la compliance integrata in diversi contesti aziendali.
Il programma copre i principali ambiti della compliance: dalla governance aziendale alla responsabilità amministrativa degli enti (D.Lgs. 231/2001), dalla protezione dei dati personali e privacy alla gestione delle segnalazioni whistleblowing, dalla sostenibilità ESG e i nuovi obblighi europei e italiani alla regolamentazione sull’intelligenza artificiale (AI Act, Legge 132/2025 e successive attuazioni), fino alla cybersecurity (NIS 2) e alla gestione integrata del rischio.
Obiettivi formativi
Al termine del Master, i partecipanti saranno in grado di:
• Analizzare e impostare un sistema di compliance integrata efficace
• Conoscere i ruoli e le responsabilità previsti in materia di privacy e protezione dati
• Redigere o aggiornare un Modello Organizzativo 231/2001
• Identificare gli impatti etici, legali e organizzativi dell’AI Act e Legge 132/2025 per un uso conforme dell’AI
• Applicare e integrare i nuovi obblighi ESG (CSRD, CSDDD, ESRS) nei processi aziendali
• Gestire segnalazioni whistleblowing nel rispetto di tutele e privacy
• Valutare le implicazioni operative di regolamenti e direttive UE in materia di cybersicurezza (NIS 2)
• Applicare metodi di valutazione del rischio in chiave integrata e risk-based
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scrivi un commento
Accedi per poter inserire un commento