Corte Suprema ITA: Geolocalizzazione dei veicoli aziendali: Obbligo di notifica al Garante per la protezione dei dati personali anche in caso di identificazione indiretta.
La Corte di Cassazione, con l'ordinanza n. 3462 del 16 febbraio 2026 (Pres. Acierno, Rel. Tricomi), ha chiarito un aspetto fondamentale del Codice della Privacy nella versione in vigore prima del GDPR (D.Lgs. 196/2003).
L'obbligo di notifica al Garante per la protezione dei dati personali, previsto dall'articolo 37, comma 1, lettera a), si applica ai sistemi di geolocalizzazione installati sui veicoli aziendali anche quando i dati GPS non sono automaticamente collegati al nome del dipendente. È sufficiente che il datore di lavoro sia in grado di identificare indirettamente il dipendente attraverso deduzioni logiche basate su elementi accessori, come l'assegnazione di un veicolo specifico o i dati del tachigrafo.
Il giudice di merito aveva ritenuto necessaria "l'identificazione automatica tramite codici"; la Cassazione, invece, ha chiarito che, ai fini dell'obbligo di notifica, ciò che conta è il rischio concreto di profilazione indiretta, poiché anche tale ipotesi costituisce trattamento di dati personali e richiede il rispetto degli obblighi previsti dal Codice della Privacy.
NIS2 e la catena di fornitura
Con NIS2, la sicurezza della catena di fornitura ICT cessa di essere solo una questione tecnica e diventa una questione di governance, di responsabilità gestionale e di resilienza complessiva dell'organizzazione. Il regolamento richiede misure di gestione del rischio che includano esplicitamente la catena di fornitura e i rapporti con i fornitori diretti e indiretti.
Questo aspetto è direttamente collegato al GDPR: L'articolo 28 impone al titolare del trattamento di selezionare solo responsabili del trattamento che offrano garanzie sufficienti, mentre l'articolo 32 richiede misure tecniche e organizzative adeguate al rischio. Ne consegue che la gestione dei fornitori ICT non può limitarsi a contratti standard o a una due diligence meramente formale, ma richiede una valutazione concreta della criticità del fornitore, delle dipendenze operative, dei dati trattati, delle misure di sicurezza adottate, dell'uso di subappaltatori, dei tempi di risposta agli incidenti e dei diritti di audit.
Il rischio della catena di approvvigionamento deve essere gestito ex ante attraverso la selezione, la classificazione, la verifica e il monitoraggio continuo dei fornitori critici. Dal punto di vista operativo, ciò comporta una due diligence strutturata, questionari sulla sicurezza, raccolta di prove documentali, audit periodici, verifica dei subappaltatori e clausole specifiche riguardanti le notifiche, le vulnerabilità, i tempi di risposta e la cooperazione in caso di incidente. A ciò si aggiunge la contrattualizzazione del rischio: per i fornitori di ICT che hanno un impatto sui servizi o sulle operazioni di trattamento rilevanti, le clausole generiche non sono sufficienti; sono necessarie disposizioni chiare in merito alle misure tecniche e organizzative, alla segnalazione degli incidenti, al supporto per il ripristino, alla gestione delle vulnerabilità, alla tracciabilità dei subappaltatori e alla restituzione o cancellazione dei dati.
Dal punto di vista del NIS2, queste clausole regolano il rischio della catena di fornitura; dal punto di vista del GDPR, forniscono un'attuazione concreta degli articoli 28 e 32, poiché la sicurezza della catena di fornitura dipende da obblighi definiti, verificabili ed effettivamente applicabili.
La nomina di un DPO è un requisito obbligatorio.
Con Provvedimento n. 68 del 12 febbraio 2026, il Garante per la protezione dei dati personali ha comminato una sanzione di 3.000 euro al Comune di Aversa per la violazione degli obblighi previsti dall'art. 37, commi 1 e 7, del GDPR, relativi alla designazione del Responsabile della protezione dei dati (DPO) e alla comunicazione dei dati di contatto del DPO all'Autorità.
L'indagine d'ufficio ha stabilito che l'ente non ha nominato formalmente il DPO né ha pubblicato i relativi dati di contatto sul suo sito web ufficiale. Le difese addotte dal Comune - carenze strutturali di personale, un processo di ristrutturazione finanziaria e la tempistica delle imminenti elezioni - non sono state ritenute sufficienti a giustificare la non conformità, dal momento che il ruolo del DPO è, dal maggio 2018, una componente obbligatoria e non negoziabile della governance della privacy degli enti pubblici.
Sebbene il Comune si sia adoperato per rimediare alla situazione nel corso del procedimento, il Garante per la protezione dei dati personali ha comunque ritenuto necessario comminare la sanzione e ordinare la pubblicazione della decisione, sottolineando la funzione deterrente della misura e ribadendo che le difficoltà organizzative non esimono il titolare del trattamento dal rispettare gli obblighi fondamentali in materia di protezione dei dati.
Sanzione di 50 mila euro a una Università per il trattamento illecito di dati biometrici.
Il Garante per la protezione dei dati personali, con provvedimento del 29 gennaio 2026, ha sanzionato una Università per 50.000 euro per avere trattato illecitamente i dati biometrici di numerosi partecipanti ai corsi online di abilitazione all’insegnamento. L’Ateneo utilizzava un sistema di riconoscimento facciale per verificare identità e presenza durante le lezioni, fondato sulla creazione di modelli biometrici a partire dall’immagine del volto e dal documento di identità degli studenti.
L’Autorità ha rilevato l’assenza di una base giuridica idonea a giustificare l’impiego di tecnologie biometriche, che, in quanto riferite a categorie particolari di dati, richiedono presupposti rigorosi e garanzie rafforzate, anche alla luce della disponibilità di soluzioni alternative meno invasive per il controllo delle presenze. È emersa, inoltre, la mancata effettuazione di una valutazione d’impatto sulla protezione dei dati (DPIA) prima dell’attivazione del sistema, nonostante il numero molto elevato di interessati coinvolti – oltre 450 corsisti per lezione.
Nel corso dell’istruttoria il sistema è rimasto parzialmente in uso, con correttivi ritenuti comunque inadeguati, fino alla sua definitiva disattivazione. Nel determinare l’importo della sanzione, il Garante ha tenuto conto, in senso attenuante, della collaborazione prestata dall’università e dell’interruzione spontanea del trattamento.
EDPB e GEPD: Parere congiunto n. 2/2026 sulla proposta di regolamento Digital Omnibus.
Il 10 febbraio 2026, il EDPB e il GEPD hanno adottato il parere congiunto n. 2/2026 sulla proposta di "Omnibus digitale".Omnibus digitale" con cui la Commissione intende semplificare e snellire il quadro normativo digitale dell'UE, compresi alcuni aspetti del GDPR. Le Autorità sostengono l'obiettivo di ridurre la complessità, ma ribadiscono un punto fondamentale: la semplificazione non può avvenire a costo di indebolire il concetto di dati personali o di eliminare dal campo di applicazione del GDPR i dati pseudonimizzati che possono comunque essere ricondotti a persone fisiche. Il parere accoglie con favore le misure che migliorano l'armonizzazione e la certezza del diritto, come i modelli comuni per le notifiche di violazione dei dati e la DPIA, ma esprime preoccupazione per le modifiche che incidono sul nucleo dei diritti fondamentali. La semplificazione non è un compromesso sulle tutele, ma un invito ad applicare il GDPR in modo più semplice, informato e dimostrabile.
Una solida conformità diventa quindi un fattore di affidabilità e velocità decisionale nei progetti digitali e di intelligenza artificiale, non solo un costo burocratico.
AEPD: Intelligenza artificiale basata su agenti: Come governare l'autonomia nell'elaborazione dei dati.
Il 18 febbraio 2026, l'Agenzia spagnola per la protezione dei dati(AEPD) ha pubblicato delle linee guida dedicate all'intelligenza artificiale "basata su agenti", ovvero sistemi che non si limitano a generare risposte ma interagiscono autonomamente con l'ambiente digitale per perseguire obiettivi complessi. Da un punto di vista legale, l'autonomia dell'agente espande radicalmente i rischi per la privacy: non è più sufficiente valutare gli input e gli output, ma bisogna governare un processo dinamico, adattivo e solo parzialmente prevedibile.
In questo scenario, principi come la trasparenza, la minimizzazione dei dati, la limitazione delle finalità e la privacy by design non possono essere gestiti con approcci standard. Se l'agente impara dal contesto, seleziona le fonti, esegue azioni e modifica il proprio comportamento, il controllo dell'oggetto dei dati rischia di diventare puramente teorico, proprio come gli avvisi generici, le istruzioni interne astratte o le forme di supervisione puramente formali si rivelano insufficienti.
La solidità del sistema si misura in base alla capacità dell'organizzazione di assegnare correttamente ruoli e responsabilità, di ricostruire i flussi di informazioni, di definire in anticipo l'ambito operativo dell'agente, di garantire un'efficace supervisione umana e di allineare questi aspetti con le politiche, le procedure interne, le relazioni con i fornitori e i meccanismi di responsabilità. Dal punto di vista operativo, ciò richiede almeno: la mappatura delle aree in cui l'agente opera e dei dati che utilizza; la definizione di limiti funzionali, istruzioni e soglie per l'intervento umano; l'adattamento della governance e della documentazione alle operazioni effettive; la valutazione preventiva degli impatti sui diritti; l'istituzione di una supervisione continua con revisione periodica. Con l'IA agenziale, quindi, non è sufficiente controllare lo strumento: il suo comportamento effettivo deve essere governato nel tempo.
Una multa di 15.000 euro è stata inflitta a un'azienda di formazione ed editoria legale per violazioni del GDPR in materia di consenso e accesso ai dati.
l Garante per la protezione dei dati personali, con provvedimento n. 87 del 12 febbraio 2026, ha comminato una multa di 15.000 euro a una società attiva nella formazione e nell'editoria giuridica per violazione degli articoli 6, 12 e 15 del GDPR e dell'articolo 130 del Codice della privacy. Il procedimento nasce dai reclami presentati da due professionisti che avevano ricevuto email promozionali non richieste e non avevano ricevuto risposta alle loro richieste di accesso ai propri dati personali.
L'azienda ha attribuito gli incidenti a "errori umani" e a ristrutturazioni organizzative, ma l'Autorità ha ritenuto queste giustificazioni irrilevanti, ribadendo l'importanza centrale del consenso esplicito per l'invio di comunicazioni commerciali automatizzate e l'obbligo di rispondere in modo completo e tempestivo alle richieste degli interessati.
Oltre alla sanzione pecuniaria, il Garante per la protezione dei dati personali ha emesso un richiamo formale al titolare del trattamento, sollecitando il rigoroso rispetto delle norme che regolano il marketing diretto e i diritti di accesso.
EDPB: L'azione coordinata 2026 sul diritto all'oblio e le sfide tecniche.
Il 18 febbraio 2026, il Comitato europeo per la protezione dei dati(EDPB) ha pubblicato la relazione finale dell'azione coordinata sul diritto alla cancellazione ai sensi dell'articolo 17 del GDPR. L'indagine, condotta nel 2025 da 32 autorità di controllo su 764 responsabili del trattamento dei dati, tra cui aziende ed enti pubblici, ha evidenziato sette principali criticità. Tra questi spiccano la mancanza di procedure interne efficaci, le informazioni insufficienti fornite agli interessati, l'uso di tecniche di anonimizzazione poco sicure e l'incertezza sui periodi di conservazione e sulla cancellazione dei dati nei backup.
Il rapporto evidenzia il divario che ancora esiste tra il concetto tecnico di "cancellazione" e la sua corretta applicazione legale. In effetti, molti responsabili del trattamento dei dati considerano operazioni quali hashing (cioè la trasformazione dei dati in una stringa alfanumerica tramite un algoritmo), mascheramento (oscuramento parziale dei dati, come ad esempio nascondere una parte del codice fiscale) o altri metodi reversibili (tecniche che rendono meno visibile il legame con l'individuo ma non lo eliminano) siano equivalenti alla cancellazione permanente. Tuttavia, se i dati rimangono riconducibili a un individuo, continuano a essere soggetti alle disposizioni del GDPR.
Allo stesso modo, l'obbligo non si considera assolto se le informazioni rimangono nei sistemi di backup o di disaster recovery, anche se non sono più visibili nei sistemi operativi.
L'EDPB sottolinea che il diritto all'oblio non si misura più solo in termini formali, ma in termini di effettiva capacità organizzativa e tecnologica di garantire la cancellazione effettiva e definitiva dei dati.
Francia: sanzione di 5 milioni. L’accountability oltre il formalismo documentale.
Il 22 gennaio 2026, la CNIL ha irrogato una sanzione di 5 milioni di euro a France Travail (ex Pôle Emploi), cristallizzando un principio fondamentale: la conformità al GDPR non è un mero adempimento documentale, ma un obbligo di accountability effettiva. L’istruttoria ha rilevato una grave discrasia tra il framework procedurale dichiarato e le misure tecniche di sicurezza realmente implementate.
Nel caso di specie, la CNIL ha accertato l’inefficacia dei sistemi di autenticazione e la carenza di protocolli di monitoraggio sugli accessi, rendendo vulnerabili i dati di milioni di interessati. Inoltre, è stata sanzionata l’inosservanza del principio di limitazione della conservazione: il mantenimento in archivio di dataset relativi a utenti inattivi da anni ha palesato l’assenza di procedure automatizzate di cancellazione o anonimizzazione.
Nonostante i rischi fossero stati identificati nelle valutazioni d’impatto, l’ente ha omesso l’attuazione delle contromisure necessarie. Oltre alla sanzione, è stata imposta una penale di 5.000 euro al giorno per il ritardo nell’adeguamento.
Sanzione CNIL di 5 milioni per accountability formale
Francia: sanzione di 5 milioni. L’accountability oltre il formalismo documentale.
Il 22 gennaio 2026, la CNIL ha irrogato una sanzione di 5 milioni di euro a France Travail (ex Pôle Emploi), cristallizzando un principio fondamentale: la conformità al GDPR non è un mero adempimento documentale, ma un obbligo di accountability effettiva. L’istruttoria ha rilevato una grave discrasia tra il framework procedurale dichiarato e le misure tecniche di sicurezza realmente implementate.
Nel caso di specie, la CNIL ha accertato l’inefficacia dei sistemi di autenticazione e la carenza di protocolli di monitoraggio sugli accessi, rendendo vulnerabili i dati di milioni di interessati. Inoltre, è stata sanzionata l’inosservanza del principio di limitazione della conservazione: il mantenimento in archivio di dataset relativi a utenti inattivi da anni ha palesato l’assenza di procedure automatizzate di cancellazione o anonimizzazione.
Nonostante i rischi fossero stati identificati nelle valutazioni d’impatto, l’ente ha omesso l’attuazione delle contromisure necessarie. Oltre alla sanzione, è stata imposta una penale di 5.000 euro al giorno per il ritardo nell’adeguamento.







