Il GDPR, acronimo di General Data Protection Regulation, è il regolamento europeo che ha trasformato la protezione dei dati personali da obbligo documentale a responsabilità strutturale per imprese, pubbliche amministrazioni, piattaforme digitali, professionisti e organizzazioni. Non è una semplice legge sulla privacy da rispettare con un’informativa standard e qualche consenso raccolto online. È il quadro normativo che stabilisce come i dati personali possono essere raccolti, usati, conservati, condivisi, protetti, trasferiti e cancellati dentro l’Unione Europea. Il GDPR è formalmente il Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati. La Commissione europea lo colloca al centro del quadro giuridico europeo sulla protezione dati, insieme alla disciplina applicabile alle istituzioni europee e alle regole per i trasferimenti internazionali. La sua applicazione, dal 25 maggio 2018, ha cambiato il modo in cui aziende e amministrazioni devono ragionare sui dati. Prima della stagione GDPR, molte organizzazioni trattavano la privacy come un fascicolo legale separato dal business. Dopo il GDPR, la protezione dei dati entra nella progettazione dei servizi, nella sicurezza informatica, nei contratti con i fornitori, nella gestione dei cookie, nella pubblicità digitale, nella videosorveglianza, nelle app, nel cloud, nei sistemi HR, nel marketing, nell’intelligenza artificiale e nelle procedure di risposta agli incidenti. Il principio di fondo è semplice ma radicale: il dato personale non appartiene liberamente a chi lo raccoglie, ma resta collegato alla persona a cui si riferisce. Chi lo tratta deve avere una base giuridica, uno scopo determinato, misure di sicurezza adeguate, tempi di conservazione proporzionati e documentazione sufficiente per dimostrare di aver rispettato la norma.
Cosa leggere
Cos’è un dato personale secondo il GDPR
Il GDPR protegge i dati personali, cioè qualunque informazione che identifica o rende identificabile una persona fisica. Non si tratta solo di nome, cognome, codice fiscale, indirizzo o numero di telefono. Sono dati personali anche email, indirizzo IP, cookie identificativi, dati di geolocalizzazione, identificativi pubblicitari, immagini, registrazioni audio, dati di navigazione, informazioni di pagamento, dati lavorativi, preferenze, abitudini, cronologie e combinazioni di elementi che permettono di risalire a un individuo. Il Garante Privacy italiano ricorda che il Regolamento comprende anche categorie particolari e dati più delicati, inclusi dati relativi a condanne penali e reati o connesse misure di sicurezza, disciplinati in modo specifico dall’articolo 10 del GDPR. La distinzione è importante perché molte aziende sottovalutano ciò che trattano. Un indirizzo IP può sembrare un dato tecnico, ma può diventare personale. Un cookie può sembrare un frammento anonimo, ma se consente tracciamento, profilazione o riconoscimento dell’utente, entra nel perimetro privacy. Una dashboard analytics può sembrare aggregata, ma se conserva identificativi o segmentazioni riconducibili a singoli utenti, deve essere valutata.
Il GDPR impone quindi una domanda preliminare: quali dati trattiamo davvero e quanto sono identificabili? Senza questa mappatura iniziale, ogni informativa, registro, contratto o misura di sicurezza rischia di essere incompleta.
Dati particolari e dati sensibili: il livello più alto di protezione
Il GDPR dedica una protezione rafforzata alle categorie particolari di dati personali, spesso indicate nel linguaggio comune come dati sensibili. Rientrano in questa area informazioni su origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici usati per identificare una persona, dati relativi alla salute, vita sessuale o orientamento sessuale. Questi dati non possono essere trattati con la stessa leggerezza dei dati ordinari. Richiedono condizioni specifiche, misure rafforzate, attenzione alla minimizzazione e valutazioni più rigorose. Lo stesso vale per dati giudiziari, dati dei minori, informazioni sanitarie, dati biometrici e trattamenti che possono produrre discriminazione, sorveglianza o effetti significativi sulla persona. Il rischio privacy non dipende solo dalla quantità di dati, ma dalla qualità del dato e dal contesto d’uso. Un database sanitario, un sistema HR, una piattaforma scolastica, una app di benessere, un sistema di videosorveglianza o un algoritmo di scoring possono produrre impatti molto diversi rispetto a una semplice newsletter.
I principi fondamentali del GDPR
Il GDPR si fonda su alcuni principi che ogni titolare deve rispettare. Non sono formule astratte, ma criteri operativi. Il trattamento deve essere lecito, corretto e trasparente. Deve avere finalità determinate, esplicite e legittime. Deve raccogliere solo i dati necessari. Deve garantire esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione. Il Garante Privacy richiama questi principi nella propria pagina sui fondamenti del trattamento, indicando anche che il titolare deve specificare base giuridica, dati di contatto del DPO ove presente, eventuale interesse legittimo e strumenti usati per trasferire dati verso Paesi terzi. Il principio più importante è l’accountability, cioè la responsabilizzazione del titolare. Non basta rispettare il GDPR. Bisogna poter dimostrare di rispettarlo. Questo cambia completamente l’approccio alla privacy: non è sufficiente dire “abbiamo il consenso”, “abbiamo l’informativa” o “abbiamo un fornitore cloud”. Bisogna documentare scelte, valutazioni, basi giuridiche, misure tecniche, ruoli, procedure e controlli.
Le basi giuridiche del trattamento
Ogni trattamento di dati personali deve poggiare su una base giuridica. Il consenso è solo una delle possibili basi, non l’unica e non sempre la migliore. Il GDPR prevede anche esecuzione di un contratto, obbligo legale, interessi vitali, interesse pubblico o esercizio di pubblici poteri, e legittimo interesse del titolare o di terzi. Il consenso deve essere libero, specifico, informato e inequivocabile. Non può essere estorto con caselle preselezionate, formule generiche o condizioni non necessarie per l’erogazione di un servizio. Il contratto può giustificare i trattamenti necessari alla prestazione richiesta. L’obbligo legale copre trattamenti imposti dalla legge. L’interesse pubblico riguarda soprattutto amministrazioni e funzioni pubbliche. Il legittimo interesse richiede un bilanciamento tra l’interesse del titolare e diritti e libertà dell’interessato. Nel 2024 l’EDPB ha pubblicato linee guida sul trattamento basato sull’articolo 6(1)(f), chiarendo che l’interesse legittimo deve essere reale, necessario e bilanciato con i diritti degli interessati, e non può diventare una scorciatoia generica per qualsiasi trattamento utile all’azienda.
La base giuridica non si sceglie dopo aver deciso il trattamento: si valuta prima. Se un’azienda raccoglie dati per marketing, profilazione, analytics, sicurezza, gestione clienti o addestramento di modelli AI, deve sapere esattamente quale base giuridica usa e perché.
Titolare, responsabile e contitolari: chi risponde del trattamento
Il GDPR distingue tra titolare del trattamento, responsabile del trattamento e, in alcuni casi, contitolari. Il titolare decide finalità e mezzi del trattamento. Il responsabile tratta dati per conto del titolare, sulla base di un contratto o altro atto giuridico. I contitolari determinano insieme finalità e mezzi e devono definire in modo trasparente le rispettive responsabilità. Questa distinzione è cruciale nei rapporti con fornitori cloud, software house, agenzie marketing, consulenti, piattaforme SaaS, provider newsletter, hosting, CRM, sistemi analytics, call center, società HR e servizi IT. Un fornitore non diventa automaticamente responsabile del trattamento solo perché riceve dati. Bisogna valutare il ruolo reale:
decide finalità proprie? Agisce solo su istruzioni? Usa dati per migliorare servizi propri? Li combina con altri dati? Li trasferisce a subfornitori?
Il contratto con il responsabile non è un formalismo. Deve disciplinare istruzioni, misure di sicurezza, sub-responsabili, assistenza al titolare, data breach, cancellazione o restituzione dei dati, audit e obblighi di riservatezza. Senza una catena contrattuale solida, il GDPR si rompe proprio dove oggi passa la maggior parte dei dati: la supply chain digitale.
Registro dei trattamenti: la mappa della privacy aziendale
Il registro delle attività di trattamento è uno degli strumenti centrali dell’accountability. Il Garante lo definisce uno dei principali elementi di responsabilizzazione del titolare, perché fornisce un quadro aggiornato dei trattamenti in essere nell’organizzazione ed è preliminare a ogni attività di valutazione o analisi del rischio; deve avere forma scritta, anche elettronica, ed essere esibito su richiesta al Garante. Un registro efficace non è un documento copiato da un modello. Deve descrivere trattamenti reali: gestione clienti, dipendenti, fornitori, newsletter, videosorveglianza, sito web, cookie, CRM, e-commerce, fatturazione, customer care, ticketing, analytics, sicurezza informatica, accessi fisici, log, app, cloud, sistemi HR e ogni altra area in cui circolano dati personali. Il registro è la radiografia dell’organizzazione. Se manca, è vecchio o non corrisponde alla realtà, tutto il resto diventa fragile: informative, DPIA, misure di sicurezza, contratti, tempi di conservazione e procedure di data breach.
Informativa privacy: trasparenza, non burocrazia
L’informativa privacy è il documento con cui il titolare spiega agli interessati chi tratta i dati, per quali finalità, su quali basi giuridiche, per quanto tempo, con quali destinatari, con quali trasferimenti, quali diritti possono essere esercitati e come contattare titolare e DPO. Molte informative sono lunghe, oscure e inutili. Il GDPR, invece, chiede trasparenza reale. L’informativa deve essere comprensibile per chi la legge, non solo difendibile per chi la scrive. Deve indicare chiaramente cosa accade ai dati e non può nascondere trattamenti importanti dietro formule generiche come “miglioramento del servizio” o “finalità statistiche” se in realtà avvengono profilazione, marketing, tracciamento o condivisione con terzi. Una buona informativa non serve solo a evitare sanzioni. Serve a costruire fiducia. In un’economia in cui ogni sito, app e piattaforma chiede dati, chi spiega bene cosa fa e cosa non fa ottiene un vantaggio reputazionale.
Diritti degli interessati: accesso, cancellazione, opposizione e portabilità
Il GDPR rafforza i diritti delle persone. La Commissione europea riepiloga i principali diritti: essere informati, accedere ai dati, chiedere rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione e tutela rispetto a decisioni automatizzate e profilazione. Il diritto di accesso permette di sapere se un’organizzazione tratta dati personali e di ottenere informazioni e copia dei dati. L’EDPB ha adottato linee guida specifiche sul diritto di accesso, chiarendo come debba essere implementato e quali informazioni rientrino nell’articolo 15 del GDPR. Il diritto alla cancellazione, spesso chiamato diritto all’oblio, consente di chiedere la cancellazione quando i dati non sono più necessari, il consenso è revocato, il trattamento è illecito o ricorrono altre condizioni previste dal GDPR. Il diritto di opposizione consente di opporsi a determinati trattamenti, incluso il marketing diretto. Il diritto alla portabilità permette di ricevere dati in formato strutturato e trasferirli ad altro titolare quando il trattamento si basa su consenso o contratto ed è effettuato con mezzi automatizzati. Le organizzazioni devono rispondere senza ingiustificato ritardo e, in linea generale, entro un mese dalla richiesta. La Commissione europea ricorda che le richieste possono riguardare accesso, rettifica, cancellazione, portabilità e altri diritti, e che l’organizzazione deve predisporre mezzi elettronici quando tratta dati con mezzi elettronici.
Il punto operativo è chiaro: i diritti privacy non sono un fastidio amministrativo, ma un processo da gestire. Servono procedure, responsabili interni, tempi, modelli di risposta, verifica dell’identità del richiedente e capacità tecnica di recuperare dati dai sistemi.
Data breach: cosa fare entro 72 ore
Un data breach è una violazione di dati personali. Può essere perdita, distruzione, modifica, divulgazione non autorizzata o accesso non autorizzato ai dati. Non riguarda solo attacchi hacker. Può essere un’email inviata al destinatario sbagliato, un laptop rubato, un database esposto, un ransomware, una credenziale compromessa, un errore di configurazione cloud, un documento cartaceo smarrito o un backup accessibile senza autorizzazione. Il Garante Privacy italiano ricorda che le notifiche effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo, e che il responsabile del trattamento che viene a conoscenza di una violazione deve informare tempestivamente il titolare affinché possa attivarsi. La regola delle 72 ore non significa che ogni incidente vada notificato automaticamente. Bisogna valutare il rischio per i diritti e le libertà delle persone. Se il rischio è presente, il titolare deve notificare all’autorità. Se il rischio è elevato, deve comunicare anche agli interessati, salvo condizioni specifiche. Ma la valutazione deve essere documentata. Il data breach non si gestisce quando è già esploso. Servono prima un piano di incident response, contatti interni, ruoli chiari, log, procedure di escalation, modelli di notifica, inventario dei dati e capacità di capire rapidamente quali persone sono coinvolte. Senza questi elementi, le 72 ore diventano un conto alla rovescia ingestibile.
DPO o RPD: quando serve e cosa deve fare
Il Data Protection Officer, in italiano Responsabile della protezione dei dati o RPD, è una figura centrale nei trattamenti più delicati. Il Garante dedica una sezione specifica al RPD/DPO con normativa, linee guida, FAQ, strumenti e procedura per comunicare, variare o revocare i dati di contatto. Il DPO deve avere conoscenza specialistica della normativa e delle prassi in materia di protezione dati, oltre a competenze sulle misure tecniche e organizzative necessarie alla sicurezza. Il Garante, nelle schede informative, chiarisce che il RPD deve possedere adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in relazione alle misure tecniche e organizzative. Non tutte le aziende devono nominare un DPO, ma molte organizzazioni lo fanno quando trattano dati su larga scala, dati particolari, monitoraggi regolari e sistematici, o quando sono pubbliche amministrazioni. Il DPO non è il responsabile operativo di tutto ciò che riguarda la privacy, ma un soggetto indipendente che informa, consiglia, sorveglia, coopera con il Garante e funge da punto di contatto. Il conflitto di interessi è un tema decisivo. Un DPO non dovrebbe essere una figura che decide finalità e mezzi del trattamento e poi controlla sé stessa. Per questo la scelta del RPD deve essere fatta con attenzione, soprattutto in PA, sanità, finanza, grandi aziende, piattaforme digitali e organizzazioni con trattamenti complessi.
Privacy by design e privacy by default
Il GDPR introduce i principi di privacy by design e privacy by default. La protezione dei dati deve essere incorporata fin dalla progettazione del servizio, non aggiunta dopo. Per impostazione predefinita, devono essere trattati solo i dati necessari per ogni specifica finalità. Questo principio vale per siti web, app, CRM, e-commerce, sistemi HR, piattaforme AI, software gestionali, servizi cloud, programmi fedeltà, smart device, videosorveglianza, dashboard analytics e campagne marketing. Un prodotto progettato male dal punto di vista privacy non si corregge solo con un’informativa più lunga. Se raccoglie troppi dati, li conserva troppo a lungo o li condivide con troppi soggetti, il problema è architetturale. La privacy by design richiede minimizzazione, separazione dei dati, pseudonimizzazione quando utile, controllo degli accessi, logging, cifratura, gestione dei consensi, impostazioni conservative e valutazione dei rischi. La privacy by default significa che l’utente non deve essere costretto a disattivare tracciamenti eccessivi già attivi: le impostazioni iniziali devono essere rispettose della protezione dati.
DPIA: quando serve la valutazione d’impatto
La DPIA, o valutazione d’impatto sulla protezione dei dati, è necessaria quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone. È tipica di trattamenti su larga scala, uso di dati particolari, sorveglianza sistematica, profilazione, decisioni automatizzate, nuove tecnologie o sistemi che possono incidere significativamente sugli interessati. La DPIA non è un modulo da compilare per prudenza generica. Serve a descrivere il trattamento, valutarne necessità e proporzionalità, individuare rischi, prevedere misure di mitigazione e documentare le scelte. È lo strumento che obbliga l’organizzazione a fermarsi prima di mettere in produzione un trattamento rischioso. Nel contesto attuale, la DPIA diventa particolarmente importante per sistemi AI, scoring, riconoscimento biometrico, profilazione marketing avanzata, sistemi HR automatizzati, videosorveglianza intelligente, sanità digitale, piattaforme educative e controlli sui lavoratori.
Trasferimenti internazionali: cloud, Stati Uniti e Paesi terzi
Il GDPR disciplina anche il trasferimento di dati personali fuori dallo Spazio economico europeo. La Commissione europea indica che gli strumenti principali per i trasferimenti internazionali includono decisioni di adeguatezza, clausole contrattuali standard e binding corporate rules. Questo punto è centrale perché molte aziende usano servizi cloud, analytics, CRM, newsletter, advertising, supporto clienti e piattaforme AI basate fuori dall’UE o appartenenti a gruppi extraeuropei. Il trasferimento non è vietato in sé, ma deve essere governato. Servono basi giuridiche, strumenti adeguati, valutazioni sul Paese di destinazione, misure supplementari quando necessarie e trasparenza verso gli utenti. Il cloud non elimina la responsabilità del titolare. Se un’azienda europea usa un servizio statunitense, deve capire dove vanno i dati, chi li tratta, con quali garanzie, quali subfornitori sono coinvolti e quali misure tecniche proteggono le informazioni.
GDPR e cookie: consenso, tracciamento e marketing digitale
I cookie e gli strumenti di tracciamento sono uno dei fronti più visibili della privacy online. Il GDPR si intreccia qui con la direttiva ePrivacy e con le regole nazionali. I cookie tecnici necessari al funzionamento del sito sono trattati in modo diverso da cookie analytics non anonimizzati, cookie di profilazione, advertising tracker, pixel social, fingerprinting e strumenti di retargeting. Il punto sostanziale è che il consenso al tracciamento deve essere reale. Banner confusi, pulsanti sbilanciati, dark pattern, consensi impliciti, caselle preselezionate o rifiuto reso difficile non sono una soluzione robusta. Il consenso non è un ostacolo grafico da far superare all’utente, ma una scelta libera e informata. Per editori, siti di informazione e piattaforme digitali, la sfida è economica. Molti modelli pubblicitari dipendono dalla profilazione. Il GDPR impone però di distinguere tra pubblicità contestuale, analytics rispettose della privacy, tracciamenti invasivi e condivisione di dati con terze parti. La compliance cookie è quindi una questione tecnica, legale ed editoriale.
GDPR e intelligenza artificiale
L’intelligenza artificiale rende il GDPR ancora più importante. Modelli generativi, sistemi predittivi, chatbot, scoring, riconoscimento immagini, analytics avanzate e automazione decisionale possono trattare dati personali in modo diretto o indiretto. Il problema non riguarda solo i dataset di training, ma anche prompt, log, feedback, output, embedding, sistemi RAG, dati sintetici, profilazione e decisioni automatizzate. Il GDPR non vieta l’AI, ma impone basi giuridiche, minimizzazione, trasparenza, sicurezza e controllo sui diritti degli interessati. Se un’azienda usa dati personali per addestrare, migliorare o far funzionare un modello, deve spiegare cosa fa e con quale fondamento. Se un sistema AI produce decisioni che incidono significativamente sulle persone, il tema dell’articolo 22 sul processo decisionale automatizzato diventa centrale. L’AI Act regola i sistemi di intelligenza artificiale in base al rischio, ma non sostituisce il GDPR. I due quadri si sovrappongono: l’AI Act disciplina sicurezza, trasparenza e requisiti dei sistemi; il GDPR disciplina il trattamento dei dati personali dentro quei sistemi. Un sistema AI conforme all’AI Act può comunque violare il GDPR se tratta dati personali senza base giuridica, senza trasparenza o con misure insufficienti.
GDPR e lavoro: HR, controllo dipendenti e dati aziendali
Nel mondo del lavoro, il GDPR si intreccia con Statuto dei lavoratori, norme nazionali, contratti e poteri organizzativi dell’impresa. Le aziende trattano dati dei dipendenti per assunzione, buste paga, presenze, strumenti informatici, email, badge, videosorveglianza, geolocalizzazione, performance, welfare, formazione, salute e sicurezza. Il rischio aumenta quando entrano strumenti di controllo digitale: software di produttività, monitoraggio endpoint, sistemi DLP, tracciamento accessi, analytics HR, algoritmi di selezione, strumenti AI per screening dei candidati e piattaforme di lavoro remoto. La sicurezza aziendale non autorizza automaticamente qualsiasi forma di sorveglianza. Serve proporzionalità, informativa, base giuridica, minimizzazione e rispetto delle garanzie lavoristiche. I sistemi AI applicati al lavoro sono tra i più delicati. Possono incidere su assunzioni, valutazioni, promozioni, licenziamenti, turni, produttività e carriera. In questi casi privacy, non discriminazione, trasparenza algoritmica e governance HR diventano inseparabili.
GDPR e cybersicurezza: protezione dati come gestione del rischio
Il GDPR non è una norma cybersecurity, ma contiene obblighi di sicurezza. Il titolare e il responsabile devono adottare misure tecniche e organizzative adeguate al rischio. Questo può includere cifratura, pseudonimizzazione, backup, controllo accessi, MFA, logging, segmentazione, patching, gestione vulnerabilità, formazione, procedure di incident response e test periodici. La sicurezza dei dati non si misura solo dalla presenza di un antivirus o di un firewall. Si misura dalla capacità di prevenire accessi non autorizzati, rilevare anomalie, contenere incidenti, ripristinare dati e dimostrare che le misure erano adeguate al rischio. Un ransomware che espone dati personali non è solo un problema IT: è anche un potenziale data breach GDPR. Per questo GDPR, NIS2 e DORA si stanno avvicinando nella pratica. Il GDPR protegge i dati personali. La NIS2 rafforza la sicurezza dei soggetti essenziali e importanti. Il DORA disciplina la resilienza operativa digitale della finanza. Nelle organizzazioni mature, questi regimi non vanno gestiti separatamente, ma dentro una governance comune di rischio digitale.
Il ruolo del Garante Privacy in Italia
In Italia, l’autorità di controllo è il Garante per la protezione dei dati personali. Il Garante gestisce reclami, segnalazioni, procedimenti, sanzioni, linee guida, strumenti online e attività informative. Il sito istituzionale mette a disposizione sezioni dedicate al GDPR, al Codice Privacy, all’accountability, al data breach, al DPO, alla privacy by design e agli altri strumenti applicativi del regolamento. Il GDPR convive con il Codice Privacy italiano, cioè il decreto legislativo 196/2003, come modificato e coordinato con il GDPR. Il Garante mette a disposizione anche il Codice e le regole deontologiche, incluse quelle relative al trattamento di dati personali nell’esercizio dell’attività giornalistica. Questo è un punto importante per l’informazione. Il GDPR tutela la protezione dati, ma deve convivere con libertà di espressione, diritto di cronaca, interesse pubblico e regole deontologiche del giornalismo.
La privacy non può essere usata come censura automatica della cronaca, ma il giornalismo non può ignorare pertinenza, essenzialità dell’informazione e dignità delle persone.
Sanzioni GDPR: fino a 20 milioni o 4% del fatturato globale
Le sanzioni GDPR possono essere molto pesanti. Il regolamento prevede due livelli principali: fino a 10 milioni di euro o 2% del fatturato mondiale annuo per alcune violazioni, e fino a 20 milioni di euro o 4% del fatturato mondiale annuo per le violazioni più gravi, scegliendo l’importo maggiore. Il testo dell’articolo 83 prevede espressamente il livello massimo di 20 milioni di euro o 4% del fatturato mondiale per determinate violazioni. La Commissione europea ricorda che, in caso di mancato rispetto delle norme, possono essere imposte varie sanzioni, incluse sospensione delle attività e multe. Il punto però non è solo economico. Una sanzione privacy produce danno reputazionale, obblighi correttivi, costi legali, perdita di fiducia, interruzione di trattamenti e impatto commerciale. Per alcune aziende, il rischio più grave non è la multa, ma scoprire che il proprio modello di business non è sostenibile dal punto di vista privacy.
GDPR, DSA, DMA, AI Act e NIS2: differenze fondamentali
Il GDPR è la norma madre sulla protezione dei dati personali. Il DSA interviene sulle responsabilità delle piattaforme. Il DMA sui mercati digitali e sui gatekeeper. L’AI Act sui sistemi di intelligenza artificiale. La NIS2 sulla cybersicurezza dei soggetti essenziali e importanti. Nella pratica, un singolo servizio digitale può essere toccato da tutte queste norme insieme.
| Norma | Obiettivo principale | Ambito centrale |
|---|---|---|
| GDPR | Proteggere i dati personali e i diritti degli interessati | Dati personali, basi giuridiche, diritti, data breach, DPO, sicurezza |
| DSA | Rendere più sicuro e trasparente l’ambiente online | Piattaforme, contenuti illegali, moderazione, marketplace, advertising |
| DMA | Limitare il potere dei gatekeeper digitali | Big Tech, app store, search, sistemi operativi, marketplace, cloud, concorrenza |
| AI Act | Regolare i sistemi AI in base al rischio | AI ad alto rischio, modelli generali, trasparenza, divieti, governance |
| NIS2 | Rafforzare la cybersicurezza di soggetti essenziali e importanti | Rischio cyber, incidenti, misure di sicurezza, supply chain, autorità nazionali |
Un marketplace che usa AI per raccomandare prodotti, tratta dati personali, pubblica annunci, ospita venditori, gestisce pagamenti e subisce un attacco cyber può incontrare GDPR, DSA, AI Act, NIS2 e, se è gatekeeper, anche DMA. La compliance moderna non è più una somma di caselle isolate, ma una governance integrata.
GDPR nel 2026: semplificazione, AI e rischio di indebolimento
Il GDPR resta centrale, ma nel 2026 è anche al centro di pressioni politiche e industriali. La Commissione europea ha avviato iniziative di semplificazione della regolazione digitale, anche nel quadro del cosiddetto Digital Omnibus, con l’obiettivo dichiarato di ridurre oneri burocratici e sostenere competitività e innovazione. Alcune proposte discusse nel 2025 hanno riguardato anche il rapporto tra GDPR, dati pseudonimizzati, addestramento AI e legittimo interesse, generando critiche da parte di associazioni privacy e osservatori che temono un indebolimento della protezione dei dati. Il punto è delicato. L’Europa vuole competere nell’intelligenza artificiale, ma non può farlo sacrificando il principio che l’ha resa un riferimento globale: la persona resta al centro del trattamento dei dati. La semplificazione può essere utile se riduce duplicazioni e incertezza. Diventa pericolosa se trasforma la protezione dati in un ostacolo da svuotare. Nel 2026, quindi, il GDPR non è una norma del passato. È il terreno su cui si giocheranno alcune delle battaglie più importanti tra Big Tech, AI, pubblicità, cloud, ricerca, pubblica amministrazione, sanità digitale e diritti fondamentali.
Come costruire una compliance GDPR efficace
Una compliance GDPR efficace parte dalla mappatura dei trattamenti. Bisogna sapere quali dati vengono raccolti, per quali finalità, da chi, con quali basi giuridiche, per quanto tempo, attraverso quali sistemi e fornitori. Senza questa mappa, ogni adempimento successivo è fragile. Poi bisogna aggiornare informative, contratti con responsabili, registro dei trattamenti, policy interne, procedure per i diritti degli interessati, gestione cookie, data breach, DPO, DPIA e misure di sicurezza. La privacy non è una cartella documentale, ma un processo continuo. Per le aziende più digitali, serve un approccio ancora più tecnico: controllo dei tag e dei pixel, governance del CRM, minimizzazione dei dati nei moduli, protezione delle API, cifratura, controllo accessi, revisione dei log, configurazione cloud, valutazione dei subfornitori, retention automatizzata e audit periodici. Per la pubblica amministrazione, il GDPR richiede particolare attenzione a trasparenza, minimizzazione, sicurezza, DPO, basi giuridiche pubblicistiche, interoperabilità, conservazione e diritti dei cittadini. La PA tratta spesso dati su larga scala e categorie delicate; non può quindi considerare la privacy un adempimento secondario.
GDPR come infrastruttura della fiducia digitale
Il GDPR è diventato l’infrastruttura giuridica della fiducia digitale europea. Ogni servizio online, piattaforma, app, azienda, ente pubblico e tecnologia che usa dati personali deve confrontarsi con i suoi principi. Non è una norma perfetta, non è sempre semplice da applicare e non elimina abusi, sorveglianza o modelli opachi. Ma stabilisce un punto che resta decisivo: la persona non scompare dentro il dato. Nel 2026, il GDPR è ancora più importante di quanto fosse nel 2018. L’intelligenza artificiale, la pubblicità comportamentale, il cloud, i trasferimenti internazionali, le piattaforme, la cybersicurezza e le nuove normative europee lo rendono il punto di incrocio tra innovazione e diritti fondamentali. Chi tratta dati deve saper dimostrare cosa fa. Chi subisce un trattamento deve poter esercitare diritti. Chi costruisce tecnologia deve progettare con responsabilità.
La privacy non è un freno alla trasformazione digitale: è la condizione che impedisce alla trasformazione digitale di diventare sorveglianza permanente.
FAQ sul GDPR
Che cos’è il GDPR?
Il GDPR è il Regolamento europeo 2016/679 sulla protezione dei dati personali. Stabilisce regole comuni nell’Unione Europea su raccolta, uso, conservazione, sicurezza, trasferimento e cancellazione dei dati personali. Si applica a imprese, pubbliche amministrazioni, professionisti, organizzazioni e piattaforme che trattano dati di persone fisiche.
A chi si applica il GDPR?
Il GDPR si applica a chi tratta dati personali di persone che si trovano nell’Unione Europea, anche se l’organizzazione ha sede fuori dall’UE quando offre beni o servizi a persone nell’Unione o ne monitora il comportamento. Riguarda aziende, PA, associazioni, professionisti, siti web, app, piattaforme, e-commerce e fornitori digitali.
Cosa sono i dati personali?
Sono dati personali tutte le informazioni che identificano o rendono identificabile una persona fisica. Nome, email, telefono, indirizzo, codice fiscale, IP, cookie identificativi, dati sanitari, immagini, dati di pagamento, geolocalizzazione e preferenze possono essere dati personali se collegati direttamente o indirettamente a una persona.
Qual è la differenza tra privacy e protezione dei dati?
La privacy riguarda la sfera privata della persona in senso ampio. La protezione dei dati riguarda le regole sul trattamento delle informazioni personali. Il GDPR disciplina soprattutto la protezione dei dati personali, ma contribuisce anche alla tutela della privacy come diritto fondamentale.
Il consenso è sempre necessario?
No. Il consenso è solo una delle basi giuridiche previste dal GDPR. Un trattamento può basarsi anche su contratto, obbligo legale, interesse vitale, interesse pubblico o legittimo interesse. Il consenso serve quando è la base più corretta per il trattamento, ma non può essere usato in modo forzato o generico.
Che cos’è il legittimo interesse?
Il legittimo interesse è una base giuridica che consente il trattamento quando esiste un interesse reale del titolare o di terzi, il trattamento è necessario e i diritti dell’interessato non prevalgono. Richiede un test di bilanciamento e non può essere usato come giustificazione automatica per qualsiasi attività utile all’azienda.
Che cos’è il diritto all’oblio?
Il diritto all’oblio è il diritto alla cancellazione dei dati personali quando ricorrono determinate condizioni, ad esempio se i dati non sono più necessari, il trattamento è illecito, il consenso viene revocato o l’interessato si oppone a determinati trattamenti. Non è assoluto e deve essere bilanciato con obblighi legali, libertà di espressione e interesse pubblico.
Entro quanto tempo bisogna rispondere a una richiesta privacy?
In linea generale, il titolare deve rispondere alle richieste degli interessati senza ingiustificato ritardo e comunque entro un mese dal ricevimento. In casi complessi, il termine può essere prorogato secondo le condizioni previste dal GDPR, ma l’interessato deve essere informato.
Che cos’è un data breach?
Un data breach è una violazione di dati personali. Può includere accesso non autorizzato, perdita, distruzione, modifica, divulgazione indebita o indisponibilità dei dati. Può derivare da attacco hacker, errore umano, ransomware, furto di dispositivi, configurazione cloud errata o invio di dati al destinatario sbagliato.
Quando va notificato un data breach al Garante?
Il data breach va notificato al Garante quando presenta un rischio per i diritti e le libertà delle persone fisiche. La notifica deve avvenire, ove possibile, entro 72 ore dalla conoscenza della violazione. Se il rischio è elevato, può essere necessaria anche la comunicazione agli interessati.
Che cos’è il DPO?
Il DPO, o RPD, è il Responsabile della protezione dei dati. Informa e consiglia titolare e responsabile, sorveglia l’osservanza del GDPR, coopera con l’autorità di controllo e funge da punto di contatto. Deve avere competenze specialistiche e operare con indipendenza.
Tutte le aziende devono nominare un DPO?
No. La nomina è obbligatoria in alcuni casi, ad esempio per autorità e organismi pubblici, monitoraggio regolare e sistematico su larga scala o trattamento su larga scala di categorie particolari di dati. Molte organizzazioni lo nominano comunque per rafforzare governance e controllo.
Che cos’è la DPIA?
La DPIA è la valutazione d’impatto sulla protezione dei dati. Serve quando un trattamento può presentare rischio elevato per diritti e libertà delle persone. È tipica di profilazione, sorveglianza sistematica, trattamenti su larga scala di dati sensibili, nuove tecnologie e sistemi AI ad alto impatto.
Cosa significa privacy by design?
Privacy by design significa progettare prodotti, servizi e processi tenendo conto della protezione dei dati fin dall’inizio. Non bisogna aggiungere la privacy dopo, ma incorporarla in architettura, impostazioni, flussi dati, sicurezza, minimizzazione e gestione dei diritti.
Cosa significa privacy by default?
Privacy by default significa che, per impostazione predefinita, devono essere trattati solo i dati necessari per una specifica finalità. L’utente non deve essere costretto a disattivare impostazioni invasive già attive, e il sistema deve partire da configurazioni rispettose della protezione dati.
Quali sono le sanzioni GDPR?
Le sanzioni possono arrivare fino a 10 milioni di euro o 2% del fatturato mondiale annuo per alcune violazioni, e fino a 20 milioni di euro o 4% del fatturato mondiale annuo per le violazioni più gravi. L’importo dipende da natura, gravità, durata, intenzionalità, cooperazione, categorie di dati e misure adottate.
Il GDPR si applica anche ai siti web piccoli?
Sì. Anche un piccolo sito può trattare dati personali tramite form di contatto, newsletter, analytics, cookie, commenti, log server o plugin. Gli obblighi sono proporzionati, ma non scompaiono solo perché il sito è piccolo.
Il GDPR riguarda anche l’intelligenza artificiale?
Sì, quando l’AI tratta dati personali. Dataset, prompt, log, output, sistemi di profilazione, decisioni automatizzate e modelli generativi possono rientrare nel GDPR. L’AI Act non sostituisce il GDPR: le due discipline devono essere applicate insieme quando sono coinvolti dati personali.
Che differenza c’è tra GDPR e DSA?
Il GDPR protegge i dati personali. Il DSA regola la responsabilità delle piattaforme online su contenuti illegali, moderazione, marketplace, pubblicità e rischi sistemici. Possono sovrapporsi, ma hanno funzioni diverse.
Che differenza c’è tra GDPR e DMA?
Il GDPR tutela i diritti delle persone sui dati personali. Il DMA regola il potere economico dei gatekeeper digitali e mira a rendere i mercati più equi e contendibili. Il GDPR guarda alla protezione del dato, il DMA alla concorrenza nei mercati digitali.
Il GDPR blocca l’innovazione?
No. Il GDPR non blocca innovazione, cloud, AI o marketing digitale. Impone però che l’innovazione sia progettata con basi giuridiche, trasparenza, sicurezza, minimizzazione, diritti degli interessati e responsabilità documentata. Il problema non è innovare con i dati, ma farlo senza regole e senza controllo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
