TELEMARKETING E WHISTLEBLOWING NEL MIRINO DEL GARANTE Il Garante ha varato il piano ispettivo per il primo semestre 2026 e le ispezioni si concentreranno su data breach che hanno colpito banche dati pubbliche, gli applicativi per la gestione delle segnalazioni whistleblowing, gli strumenti di intelligenza artificiale (AI) in ambito scolastico, il dossier sanitario elettronico, il telemarketing specie nel settore energetico dove sono fioccate molte multe dell’Authority anche a causa di contratti falsi stabiliti senza il consenso degli interessati, il Sistema informativo doganali e le tecniche di anonimizzazione dei dati implementati dalle Telco per la condivisione dei big data. Sapere le macroaree su cui puntano verifiche e ispezioni è utile per i Titolari per rafforzare la propria Compliance, verificando col proprio DPO la situazione di queste macroaree.
EUROSTAT: SEMPRE PIU’ CITTADINI PREOCCUPATI PER LA PRIVACY
Una recente ricerca di Eurostat racconta di cittadini europei sempre più preoccupati per la difesa della propria privacy e dei propri dati, da quelli comuni a quelli sanitari, per non parlare della mole di dettagli che molti lasciano in rete, sui social e nelle ricerche digitali. Quelli maggior digitalizzati e attenti sono i cittadini dei paesi nordici con punte del 92,6 per cento di finlandesi che hanno adottato precauzioni per proteggere i propri dati, seguiti dal 91,2 degli olandesi, e dal 90,3 della Repubblica Ceca. Scendono nei gradini più bassi i vicini rumeni (56), Sloveni (57,4) e bulgri (62 per cento). L’Italia secondo questo sondaggio sarebbe a metà strada con l’80,1 per cento di cittadini consapevoli dei rischi di telefonia e internet.
ISPEZIONI PRESSO AMAZON SU VIDEOSORVEGLIANZA
IIl Garante per la protezione dei dati personali ha adottato un provvedimento d’urgenza nei confronti di Amazon vietato con effetto immediato ad Amazon Italia Logistica srl, il trattamento di dati personali di oltre 1800 lavoratori impiegati presso lo stabilimento di Passo Corese (RI). Il divieto riguarda informazioni raccolte – in modo sistematico, per tutta la durata del rapporto di lavoro e conservate fino a 10 anni dalla sua cessazione – attraverso una piattaforma collegata con il sistema di rilevazione delle presenze, accessibile a numerosi manager. La decisione arriva dopo un’ispezione del Garante privacy con l’Ispettorato del lavoro e la Guardia di finanza iniziata a metà febbraio presso i centri di stoccaggio e distribuzione Amazon per verificare le denunce arrivate in vari modi alle autorità sull’uso della videosorveglianza e il controllo sui lavoratori presenti nei magazzini. Le ispezioni si sono concentrate sui centri di distribuzione di Passo Corese (Rieti) e quello di Castel San Giovanni (Piacenza). Secondo i sindacati solo a Passo Corese sarebbero presenti 798 telecamere, mentre l’azienda dice che ce ne sono 500 circa. Le denunce dicono che le telecamere controllano i lavoratori, Amazon dichiara che non c’è nessun controllo sulla quantità e qualità del lavoro e che le telecamere sono solo nelle aree a rischio furto (quindi per la tutela del patrimonio aziendale). Tra i lavoratori che hanno protestato ce ne sono alcuni che hanno ricevuto sanzioni disciplinari per essere stati 8 minuti in bagno. Secondo indiscrezioni ci sarebbero anche delle pagelle dei lavoratori che riportano chi lavora di più e di meno e chi è iscritto al sindacato. Per ora Amazon nega ogni addebito. Bisogna vedere a che cosa approda l’ispezione.
PROPOSTA DI LEGGE SU USO IA BLOCCATA DA GOVERNO
Dopo lo scalpore suscitato dal video sull’assalto al poliziotto durante la manifestazione legata al centro sociale Askatasuna a Torino da parte del Ministero dell’interno, una proposta di legge che vieta l’uso dell’Intelligenza articiale (IA) a scopi politici e durante campagne elettorali che doveva approdare alla Camera alla fine di febbraio, è stata stoppata dal Governo. La bozza prevedeva una riforma di una legge del 1956 sulla propaganda elettorale imponendo un controllo di contenuti da parte dell’Autorità per le garanzie nelle comunicazioni e la possibilità di sanzionare economicamente le piattaforme sulle quali vengono pubblicati contenuti taroccati. Già nel 2025 nel Codice penale era stato inserito l’articolo 612-quater, che punisce la diffusione illecita di contenuti generati o manipolati con IA senza consenso della persona ritratta con pene da uno a cinque anni di reclusione, ma non cita in specifico l’uso politico.
ACCREDIA HA PROMOSSO UNI/Pdr 174 PRASSI SULLA CYBER
Già il GDPR prevedeva la diffusione di certificazioni sulla privacy e oggi si stanno completando gli iter per arrivare a verifiche soprattutto in ambito tecnologico e IT. Accredia, l’ente unico nazionale di accreditamente, da alcuni mesi ha lanciato una prassi che si chiama UNI/Pdr 174 che unisce la ISO/Iecc 27001 col Nist Cybersecurity Frameword. E’ ancora una prassi volontaria e che non comporta una certificazione vera e propria, ma può servire alle aziende per fare un check sulla compliance. Infatti da un recente sondaggio del Global Cybersecurity Outlook 2025, un CEO su tre indica lo spionaggio informatico e il furto di proprietà intellettuale tra le principali preoccupazioni aziendali e il 45 per cento dei leader della cybersecurity teme le interruzioni delle operazioni e dell’operatività e ingenti danni economici. Ricordiamo che il furto di dati, Data Breach, può comportare anche un rischio reputazionale. In caso vengano estratte banche dati, il Titolare è tenuto a darne comunicazione agli interessati e se si tratta di grande mole di dati la comunicazione deve avvenire attraverso i media.
EDPB PREOCCUPATO PER SEMPLIFICAZIONI COMMISSIONE UE SU PRIVACY
Il board europeo dei garanti privacy EDPB e EDPBS (l’organismo del portavoce/presidente) hanno pubblicato all’inizio di febbraio Joint Opinion 2/2026, detto Digital Ominibus, in cui mostrano tutta la preoccupazione per le semplificazioni legislative in materia di privacy che la Commissione UE propone di fare. Il board sposa l’idea di armonizzare il GDPR, il Regolamento EUDPR 2018/1725, la Direttiva e-privacy, il Data Act 2023/2854, la Direttiva Open data 2019/1024 e la Nis2, mantenendone i principi cardine, ma mostra tutta la sua contrarietà su alcuni punti. Per fare qualche esempio su un documento piuttosto complesso che riguarda i cardini della privacy europea, la Commissione verrebbe completamente stravolgere il concetto di dato personale che non sarebbe più riferito ad ogni persona identificata o identificabile; inoltre la pseudoanonimizzazione equivarrebbe a una cancellazione del dato. Altre discussioni calde sono sul data breach e i tempi della notifica, la base giuridica dell’intelligenza artificiale, il legittimo interesse nell’ambito AI e anche il tema dei cookie e delle pubblicità online. Ad esempio i dati sanitari, secondo il parere della Commissione, dovrebbero essere messi a disposizione della macchina IA per poter contribuire al suo allenamento. L’EDPB ha invece accolto l’estensione della notifica del Data Breach a 72 a 96 ore e il fatto che si proceda alla notifica solo per “rischio elevato”. E’ tutto da vedere in che cosa si tradurranno queste idee perché ricordiamo che al momento le società sottoposte alla Nis2 devono notificare sia al Garante che ad ACN.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. Nel 2025 è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi e con la prefazione del membro del Garante Guido Scorza e a firma Amarù, Fava, Fossi, Maschio per FrancoAngeli, NIS2: come rafforzare la cybersicurezza.