Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Privacy Sweep: Il Garante e l’operazione internazionale sui siti e le app per bambini

Il Garante partecipa al Privacy Sweep 2025: spotlight sulle app per minori e sulla vera tutela dei bambini online. Scopri cosa cambia.

Scarica PDF Stampa

L’8 novembre 2025, il Garante per la protezione dei dati personali ha annunciato la sua partecipazione a un’operazione internazionale che, almeno sulla carta, potrebbe cambiare le regole del gioco per chi sviluppa o gestisce app e siti web rivolti ai minori. Il progetto, denominato Privacy Sweep 2025, è promosso dal Global Privacy Enforcement Network (GPEN) e vede coinvolte oltre trenta autorità di protezione dati di tutto il mondo. L’Italia c’è, e fa la sua parte.
Ma di che si tratta, esattamente? E perché dovremmo prestare particolare attenzione a questo progetto, non solo come genitori, utenti o cittadini digitali, ma soprattutto come professionisti del diritto, DPO, consulenti, imprenditori, sviluppatori?
Perché quando il Garante lancia un’indagine “a tappeto” che dura settimane e ha come oggetto la protezione dei dati personali dei minori, è bene fermarsi e ascoltare con attenzione. E magari, nel dubbio, fare una bella revisione dei propri asset digitali. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.

Indice

1. L’infanzia sotto esame


L’operazione Privacy Sweep 2025 si concentra su una domanda precisa: i siti e le app destinati ai bambini rispettano davvero il principio dell’interesse superiore del minore, sancito non solo dal diritto internazionale, ma anche dal GDPR e dalle linee guida EDPB?
L’indagine, che si è svolta fino al 7 novembre, ha preso in esame alcune delle piattaforme più utilizzate da bambini e adolescenti, verificandone la trasparenza, le impostazioni predefinite, le modalità di raccolta dei dati, i meccanismi di verifica dell’età e l’effettiva protezione contro contenuti inappropriati o tecniche di profilazione aggressiva.
Dietro l’annuncio, il messaggio è chiarissimo: il tempo della deregulation è finito. Non basta più dire che un’app è “per bambini” per dichiararsi eticamente inattaccabili. Bisogna dimostrarlo, e bisogna farlo con criteri di accountability, di privacy by design, di verifica effettiva del consenso. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. GDPR e bambini: una sfida sempre aperta


L’art. 8 del Regolamento (UE) 2016/679 stabilisce che, per i servizi della società dell’informazione offerti direttamente a un minore, il trattamento dei dati è lecito solo se il minore ha almeno 16 anni — o, se previsto dal diritto nazionale, almeno 13. In Italia, la soglia è stata fissata a 14 anni con l’art. 2-quinquies del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018.
Questo vuol dire che chi offre un servizio online a bambini o adolescenti tra i 14 e i 18 anni deve tenere conto di alcune cautele specifiche:

  • verificare l’età in modo effettivo e non fittizio;
  • garantire la comprensibilità dell’informativa privacy;
  • raccogliere il consenso laddove richiesto, con strumenti adeguati;
  • attivare impostazioni di default a tutela del minore (profilazione off, geolocalizzazione spenta, pubblicità contestuale limitata);
  • documentare tutte le misure adottate, per dimostrare conformità ex art. 5, par. 2 (principio di accountability).

A questo si aggiunge una regola aurea spesso dimenticata: non tutto ciò che è tecnicamente possibile è anche giuridicamente lecito, soprattutto quando i soggetti interessati sono vulnerabili per definizione.

3. Age-gating, dark pattern, pubblicità camuffata: il rischio è sistemico


L’indagine Privacy Sweep 2025 punta anche a evidenziare le pratiche scorrette o borderline che ancora troppo spesso caratterizzano il mondo dei servizi digitali per minori. Ne cito solo alcune, che ricorrono con inquietante regolarità:

  • moduli di iscrizione con verifica dell’età basata solo su dichiarazione (“sei maggiorenne?” – “sì”) senza ulteriori controlli;
  • informative scritte per avvocati, non per ragazzi di undici anni;
  • pubblicità occulta inserita nel gameplay (product placement non dichiarato, contenuti sponsorizzati dentro i video, ecc.);
  • sistemi di tracciamento persistente non disattivabili, anche per utenti minorenni;
  • meccanismi di gamification volti a stimolare comportamenti compulsivi, con sistemi premio/punizione basati sulla raccolta dei dati.

Si tratta di pratiche non solo scorrette, ma spesso illegittime alla luce del GDPR. Il principio dell’interesse superiore del minore non è decorativo: è vincolante. E chi lo ignora, oggi, rischia grosso.

4. L’azione del Garante: controllo e deterrenza


La partecipazione dell’Autorità italiana a questa indagine internazionale non è un gesto simbolico. È un segnale chiaro: il Garante intende rafforzare la propria azione di controllo nei confronti dei fornitori di servizi digitali rivolti ai minori, con un approccio sistemico e multilivello.
Ciò che oggi è un’indagine conoscitiva potrebbe trasformarsi — e in alcuni casi lo farà — in ispezioni, istruttorie, provvedimenti correttivi e sanzionatori. Il rapporto definitivo della ricerca sarà pubblicato sul Global Privacy Enforcement Network nei prossimi mesi.
Ma il valore dell’operazione GPEN va oltre la repressione: è un invito (diciamo pure: un ultimatum) a progettare servizi digitali realmente adeguati ai bambini, e non semplicemente venduti ai genitori come “adatti”.

5. App e siti per bambini: cosa fare ora


Se gestisci o progetti app e piattaforme per bambini e adolescenti, o se sei consulente o DPO per aziende che lo fanno, questo è il momento di agire. Ecco una checklist di sopravvivenza:

  • effettua un audit completo delle funzionalità offerte, delle impostazioni predefinite, delle modalità di raccolta dati;
  • verifica che l’età dell’utente sia accertata con strumenti efficaci e proporzionati;
  • riscrivi l’informativa privacy in linguaggio chiaro, magari in più versioni, inclusa una children‑friendly;
  • disattiva per impostazione predefinita tutti i trattamenti non essenziali (tracking, marketing, location, profiling);
  • evita meccanismi di design che incentivino la permanenza forzata, la compulsività o la condivisione eccessiva;
  • documenta tutto. Sempre.

6. Conclusioni


Chi lavora nel digitale — che sia imprenditore, sviluppatore, editore o consulente — non può più permettersi l’alibi dell’ignoranza o della superficialità. I bambini non sono utenti come gli altri. Sono soggetti vulnerabili, titolari di diritti pieni, e sempre più esposti a un ecosistema online costruito per trattenerli, spiarli, indurli a cliccare.
L’operazione Privacy Sweep, per una volta, non arriva dopo il danno, ma cerca di prevenire gli abusi con uno sguardo coordinato, globale, sistemico. È un’occasione da cogliere anche sul piano culturale, oltre che giuridico: ripensare il modo in cui progettiamo l’infanzia digitale.
Non si tratta solo di flaggare qualche opzione nelle impostazioni. Si tratta di scegliere da che parte stare.
Ecco, se c’è una cosa che questa indagine ci ricorda, è che la privacy dei bambini non è un ostacolo alla creatività tecnologica. È il suo limite etico. Ed è proprio dentro quel limite che si gioca la differenza tra chi costruisce futuro — e chi, invece, lo monetizza finché dura.

Formazione in materia per professionisti


Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Diritto penale
Critica politica, limite invalicabile della verità e della continenza: l’intervento della Cassazione

Limiti alla critica politica: l’attribuzione di condotte illecite specifiche richiede la prova della…

laura biarella 09/01/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
NIS2 e gestione degli incidenti di sicurezza informatica: pubblicate le Linee guida di ACN

Linee guida ACN su incident management NIS2: obblighi, fasi del processo e criteri di notifica per s…

Luca Iadecola 08/01/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Dati pubblicati in “Amministrazione Trasparente”: divieto di filtri e restrizioni

La trasparenza amministrativa impone la piena accessibilità dei dati pubblicati nella sezione “Ammin…

Armando Pellegrino 05/01/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
NIS2 nel 2026: guida operativa ai prossimi passi per imprese e PA

Guida operativa alla Direttiva NIS2 e al D.Lgs. 138/2024: perimetro, portale ACN, misure minime, ges…

Luisa Di Giacomo 02/01/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;