Il 2 luglio 2026 il Garante per la protezione dei dati personali ha presentato alla Camera dei Deputati la Relazione sull'attività 2025. È un documento che, ogni anno, vale più di quanto sembri: non è solo un consuntivo, è la mappa delle priorità con cui l'Autorità orienterà controlli e provvedimenti nei dodici mesi successivi. Per un DPO, leggerla bene significa sapere in anticipo dove guarderà chi vigila.
Quest'anno il messaggio è netto: l'intelligenza artificiale non è più uno scenario futuro, è il terreno concreto su cui si giocano i diritti delle persone.
I numeri, e cosa raccontano
Le cifre delineano un'Autorità che ha lavorato a pieno regime. Nel 2025 il Garante ha adottato 807 provvedimenti collegiali, ha risposto a 4.288 reclami e ha ricevuto circa 146.000 notifiche e oltre 115.000 segnalazioni — la gran parte legate al telemarketing automatizzato; i provvedimenti correttivi e sanzionatori sono stati 506, con sanzioni complessive superiori a 37 milioni di euro (in crescita di oltre il 54% rispetto all'anno precedente).
Un dato in particolare merita attenzione da chi gestisce la sicurezza: nel 2025 l'Autorità ha ricevuto 2.415 notifiche di data breach (in media oltre sei al giorno), per il 78,7% da soggetti privati. Il messaggio operativo è netto: la gestione del breach — rilevamento, valutazione, notifica entro 72 ore — resta un processo che va provato, non improvvisato.
Il baricentro si sposta sull'IA
La parte che merita più attenzione non sono i numeri, ma i temi. La Relazione dedica spazio crescente all'intelligenza artificiale e, in particolare, ai deepfake: immagini, video e registrazioni vocali estremamente realistici costruiti a partire da volti e voci di persone reali. L'Autorità segnala come la loro diffusione — soprattutto tramite social e piattaforme di messaggistica — possa determinare violazioni gravi, fino ad assumere rilievo penale in assenza di consenso.
Su questo fronte il Garante ha già agito: le indagini avviate contro le applicazioni di "nudificazione" — a partire dai provvedimenti d'urgenza contro app come Clothoff — sono state estese all'intera categoria di questi strumenti, con un appello ai gestori a progettare le applicazioni secondo i principi di protezione dei dati. Il tema tocca in modo diretto la tutela dei minori, esplicitamente indicata tra le priorità.
Per un'organizzazione, il punto non è "produco deepfake?" — quasi nessuna lo fa consapevolmente. Il punto è l'esposizione indiretta: strumenti generativi integrati nei processi, contenuti caricati dagli utenti, assistenti che elaborano immagini o voci. È lì che il rischio va mappato, nel registro dei trattamenti e nella valutazione d'impatto.
Non solo Italia: l'Europa guarda alla trasparenza
Il quadro italiano si inserisce in un movimento europeo coerente. Il tema dell'azione di enforcement coordinato dell'EDPB per il 2026 (Coordinated Enforcement Framework) è la trasparenza e gli obblighi informativi degli articoli 12, 13 e 14 del GDPR: 25 autorità di controllo europee stanno contattando titolari di vari settori con azioni di enforcement o attività di accertamento (iniziativa lanciata nel marzo 2026 e in corso durante l'anno).
Tradotto: le informative privacy tornano al centro. Non come formalità, ma come banco di prova della capacità di un titolare di spiegare, in modo chiaro e accessibile, cosa fa con i dati. È l'altra faccia della stessa medaglia dell'IA: più i trattamenti diventano opachi e automatizzati, più la trasparenza verso l'interessato diventa il presidio che le autorità pretendono.
Sul piano tecnico-interpretativo, infine, l'EDPB sta lavorando a due cantieri che i DPO dei settori dati-intensivi dovrebbero tenere d'occhio: le linee guida sulla ricerca scientifica (Linee guida 1/2026, con consultazione pubblica chiusa il 25 giugno 2026), rilevanti per sanità e ricerca, e le attese linee guida sull'anonimizzazione, per cui il Board ha istituito una squadra dedicata con l'obiettivo dichiarato di chiudere entro l'estate. Quest'ultimo cantiere è delicato: ridefinisce la linea di confine tra dato "anonimo" — fuori dal GDPR — e dato pseudonimizzato, che dato personale resta.
Cosa dovrebbe fare un DPO adesso
La Relazione non introduce obblighi nuovi. Ma indica dove si concentrerà l'attenzione, e questo basta a riordinare l'agenda:
- Mappare l'esposizione all'IA generativa. Inventario degli strumenti generativi in uso — anche quelli "di comodo", adottati dai singoli uffici senza governance — e valutazione del rischio, con attenzione a contenuti sintetici e trattamenti che coinvolgono minori.
- Rimettere mano alle informative. Con l'enforcement europeo puntato sugli articoli 12–14, verificare ora completezza, chiarezza e accessibilità delle informative è tempo ben speso.
- Provare la gestione del breach. Non basta avere una procedura: serve poter dimostrare rilevamento, valutazione e notifica nei tempi. Con 2.415 notifiche di data breach nel 2025, è un promemoria collettivo.
- Presidiare il confine anonimizzazione/pseudonimizzazione. Chi progetta pipeline di de-identificazione dovrebbe seguire i lavori EDPB: l'asticella degli identifiability assessment potrebbe alzarsi.
C'è un filo che tiene insieme questi punti, ed è la conformità dimostrabile. La Relazione del Garante, letta bene, non chiede "avete una policy?", ma "cosa siete in grado di provare su ciò che fate con i dati?". È il terreno su cui Attrahere lavora: tenere il trattamento dei dati personali e sensibili sotto il controllo dell'organizzazione — on-premise, a egress zero — con un registro verificabile di ciò che accade. Le priorità dell'Autorità cambieranno ancora, anno dopo anno. La domanda di fondo, no.
Per approfondire il fenomeno dell'AI non governata in azienda, vedi la nostra guida Shadow AI: cos'è, rischi e come governarla.
