L’anno 2025 segna un periodo di intensa evoluzione per la normativa privacy in Italia, con il Regolamento Generale sulla Protezione dei Dati (GDPR) che si confronta con l’ingresso dirompente dell’Intelligenza Artificiale (IA) e con un’attività di controllo del Garante sempre più mirata. Non siamo di fronte a una rivoluzione del testo del GDPR, ma a una sua applicazione più matura e incisiva in ambiti critici.
La vera novità per le aziende e le Pubbliche Amministrazioni italiane risiede nella convergenza tra GDPR e l’AI Act europeo (Regolamento UE n. 2024/1689), con l’Italia che ha fatto da apripista adottando una legge nazionale specifica (Legge n. 132 del 23 settembre 2025) per l’adeguamento. Questo significa che la gestione dei dati personali non può più ignorare il fattore IA, specialmente per i sistemi considerati “ad alto rischio”.
L’Impatto dell’Intelligenza Artificiale (IA)
Il Garante per la Protezione dei Dati Personali ha posto l’IA al centro della sua attenzione. Trattare dati personali con sistemi di intelligenza artificiale, come i chatbot o i sistemi di analisi predittiva, amplifica la necessità di aderire ai principi cardine del GDPR: minimizzazione dei dati, trasparenza e responsabilizzazione.
- Il Diritto di Opposizione e i Modelli Linguistici: Un punto caldo è l’addestramento dei modelli di IA. Il Garante ha avvertito piattaforme come Meta (Facebook, Instagram) sulla possibilità che i loro sistemi vengano addestrati utilizzando i dati personali degli utenti che non si sono opposti, ribadendo che il diritto di opposizione è fondamentale e deve essere esercitabile in modo chiaro.
- Contrasto ai Rischi: L’attenzione si focalizza sui dati utilizzati per l’addestramento (il famoso web scraping) e sulle misure di sicurezza per proteggere gli output. Il Garante ha anche sanzionato società, come è successo nel maggio 2025 con un chatbot come “Replika”, evidenziando che l’uso dell’IA non giustifica la violazione dei diritti degli individui (Fonte: Garante Privacy).
Il Piano Ispettivo 2025 del Garante: Aree Calde
Il Garante non si è limitato a emettere pareri, ma ha intensificato la sua azione ispettiva. Il piano di controllo per il primo semestre 2025 si concentra su settori nevralgici della vita pubblica e privata, un segnale chiaro che la compliance deve essere continua e verificabile.
Le aree sotto la lente di ingrandimento includono:
- Tecnologie Emergenti e Dati Sensibili: I dati biometrici e il riconoscimento facciale (come l’uso in aeroporto, pur con precisazioni) sono sotto scrutinio. Nel giugno 2025 è stata sanzionata una scuola per l’uso illecito delle impronte digitali dei dipendenti per la rilevazione delle presenze.
- Web e Marketing: Continuano i controlli sui cookie di profilazione e tracciamento online. È essenziale che il consenso sia libero, informato e revocabile.
- Ambito Lavorativo: Forte attenzione al trattamento dei dati dei dipendenti. Ne è un esempio la maximulta alla Regione Lombardia per la gestione dei metadati di email e log internet dei dipendenti in smart working e il divieto di geolocalizzazione dei lavoratori agili. Un’altra sanzione ha riguardato l’affissione dei turni che rivelavano le motivazioni delle assenze in bacheca, violando la riservatezza.
- Settore Sanitario: La gestione del dossier sanitario è stata oggetto di attenzione, con l’indicazione che l’accesso deve avvenire solo per ragioni di cura.
Questi controlli dimostrano che l’inerzia operativa non è più tollerata, anche per gli Enti Pubblici, poiché la tutela dei diritti fondamentali non può essere sospesa per questioni di bilancio (Fonte: iSimply).
Focus sulla Trasparenza e le Sanzioni
Un filo conduttore delle recenti decisioni è la richiesta di maggiore trasparenza sia per le Pubbliche Amministrazioni che per le aziende.
Per esempio, il Garante ha sanzionato Comuni per aver pubblicato in chiaro sull’Albo Pretorio dati personali sensibili (es. le richieste di accesso agli atti o i punteggi di performance dei dipendenti) violando gli obblighi di trasparenza online. Nel settore bancario, una sanzione di 100mila euro ha ribadito il diritto di accesso del cliente ai propri dati contenuti nelle registrazioni telefoniche (Fonte: Garante Privacy Newsletter 25 settembre 2025).
Ricordiamo che, in caso di violazioni gravi, le sanzioni del GDPR possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale annuo, a cui si aggiunge il grave danno reputazionale derivante dalla pubblicazione ufficiale del provvedimento sanzionatorio. La corretta gestione del rischio ispettivo impone di non improvvisare e di investire costantemente nella formazione del personale.
Domande Frequenti sulla Normativa Privacy 2025
1. Qual è l’impatto principale dell’AI Act sulla privacy in Italia?
L’impatto maggiore è l’obbligo per le aziende e gli enti che utilizzano sistemi di IA, in particolare quelli ad alto rischio, di integrarli con i principi del GDPR. L’Italia, con la Legge n. 132 del 2025, ha anticipato l’adeguamento, creando un quadro normativo che richiede una doppia compliance: sia per la protezione dei dati personali che per la sicurezza e la trasparenza degli algoritmi.
2. Quali sono i settori più a rischio di ispezioni del Garante nel 2025?
Il piano ispettivo 2025 si concentra in particolare sul trattamento dei dati biometrici, sui sistemi di videosorveglianza avanzati, sulla gestione dei cookie di profilazione e sul rispetto della privacy in ambito lavorativo, inclusa la corretta gestione dei dati in smart working. Anche la filiera dei gestori di identità digitale (SPID) e il settore sanitario sono sotto stretta osservazione.
3. Cosa si intende per modello “Pay or OK” e qual è la posizione del Garante?
Il modello “Pay or OK” si riferisce alla prassi di alcune piattaforme di chiedere agli utenti di scegliere tra acconsentire all’utilizzo dei propri dati a fini di profilazione (OK) oppure pagare un abbonamento per navigare senza tracciamento (Pay). Il Garante ha avviato una consultazione pubblica su questo modello per valutarne la conformità ai requisiti di libertà del consenso richiesti dal GDPR, specialmente se l’alternativa a pagamento è troppo onerosa.
4. Che dire del trattamento dei dati sanitari alla luce dei recenti provvedimenti?
Il trattamento dei dati sanitari resta un tema delicato. Il Garante ha ribadito che il dossier sanitario può essere accessibile esclusivamente per finalità di cura. L’Autorità vigila con attenzione anche sull’uso di questi dati nell’ambito del PNRR, assicurando che l’ampliamento della base giuridica per il trattamento per motivi di interesse pubblico sia sempre accompagnato dalle massime garanzie di sicurezza e minimizzazione dei dati.
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
