In primo piano

NIS2 e dati personali: come gestire e notificare gli incidenti
Con l’entrata in vigore delle nuove disposizioni NIS2, la gestione degli incidenti di sicurezza assume un ruolo centrale anche rispetto alla protezione dei dati personali. Le organizzazioni devono distinguere correttamente tra obblighi di notifica NIS2 e GDPR, evitando sovrapposizioni o omissioni.
A partire dal 1° gennaio 2026 è operativo il nuovo quadro di riferimento per la notifica degli incidenti rilevanti, aggiornato dalla determinazione ACN del 19 dicembre 2025. Le disposizioni transitorie restano valide fino al 14 gennaio 2026, dopodiché si applicherà il regime generale previsto dalla NIS2.
Non tutti gli incidenti “significativi” ai fini NIS2 comportano automaticamente un data breach ai sensi del GDPR, e viceversa: la valutazione deve distinguere tra impatto sui servizi essenziali e impatto sui dati personali.
Le organizzazioni sono quindi chiamate a integrare le procedure di gestione degli incidenti con quelle di data breach, coinvolgendo DPO o Referente Privacy e il Titolare del trattamento.
Una governance chiara e ruoli ben definiti sono elementi essenziali per garantire conformità normativa e tempestività nelle decisioni.
Data: 19 dicembre 2025
Leggi di più

Dall'Italia

Marketing indesiderato: sanzione da 400mila euro a Verisure Italia
Il Garante ha sanzionato Verisure Italia per gravi violazioni del GDPR in materia di marketing diretto e gestione dei diritti di opposizione degli interessati.
Il provvedimento trae origine dal reclamo di un ex cliente e dalla segnalazione di un potenziale cliente che avevano continuato a ricevere comunicazioni promozionali nonostante l’esercizio del diritto di opposizione.
L’Autorità ha accertato che Verisure Italia ha gestito con ritardo le richieste di opposizione e ha raccolto in modo non valido il consenso al marketing, accorpandolo di fatto alla semplice richiesta di preventivo.
È stata inoltre ritenuta eccessiva la conservazione dei dati dei potenziali clienti per finalità di teleselling, fissata in 12 mesi in assenza di un consenso valido.
Oltre alla sanzione economica, il Garante ha vietato l’ulteriore trattamento dei dati raccolti illecitamente, ordinato la loro cancellazione e imposto l’adeguamento delle informative privacy, richiedendo alla società di comunicare le misure correttive adottate entro 60 giorni.
Data: 27 novembre 2026
Leggi di più

Aimeg sanzionata per 300mila euro per violazioni sui dati dei clienti
Il Garante ha multato Aimag spa per aver trattato i dati dei clienti senza adeguate misure di sicurezza e senza una base giuridica valida per attività di telemarketing. Le indagini hanno rilevato accessi illeciti ai dati personali e violazioni nella gestione dei consensi.
La sanzione ammonta a 300mila euro per gravi violazioni nella gestione dei dati dei clienti. Il gruppo che gestisce servizi nel settore energetico, idrico, ambientale e tecnologico permetteva a chiunque di registrarsi all’area riservata del sito usando solo codice fiscale ed e-mail, accedendo a informazioni sensibili come indirizzo e numero di telefono. Inoltre, il trattamento dei dati per finalità promozionali avveniva senza una base giuridica valida e con consensi preflaggati, in contrasto con il Regolamento europeo. La gravità delle violazioni e l’ampio numero di utenti coinvolti hanno portato all’irrogazione della sanzione.
Data: 27 novembre 2025
Leggi di più
 

Dall'Europa

Sicurezza dei dati sanitari: CNIL sanziona software house
La CNIL francese ha inflitto una sanzione di 1,7 milioni di euro per gravi carenze nella sicurezza di un software utilizzato per la gestione di prestazioni sanitarie e sociali.
La sanzione riguarda un software gestionale utilizzato da enti pubblici francesi per la gestione di dati relativi a persone con disabilità.
L’indagine ha evidenziato debolezze strutturali del sistema e la mancata adozione di misure di sicurezza adeguate, nonostante precedenti audit.
La CNIL ha sottolineato la particolare gravità delle violazioni, considerata la natura altamente sensibile dei dati trattati. Il caso ribadisce l’obbligo, per titolari e responsabili del trattamento, di garantire misure tecniche e organizzative adeguate ai rischi, come richiesto dall’art. 32 GDPR.
Data: 24 dicembre 2025
Leggi di più 

Dal Garante

G7 Privacy e tutela dei minori nell’innovazione digitale
I Garanti privacy del G7 ribadiscono l’impegno per un’innovazione responsabile, con particolare attenzione alla tutela dei minori e all’uso dell’intelligenza artificiale.
Si è conclusa la presidenza canadese del G7 Privacy con l’adozione del Piano d’azione 2026 e di un documento sulla libera circolazione dei dati.
Le Autorità hanno riaffermato l’importanza di un’innovazione tecnologica che rafforzi la fiducia e rispetti i diritti fondamentali.
Particolare attenzione è stata dedicata alla protezione dei minori e all’uso responsabile dell’intelligenza artificiale (Position Paper)
Data: 10 dicembre 2025
Leggi di più

Sistema Informativo Schengen: nuovi modelli per l’esercizio dei diritti
Il Garante Privacy ha pubblicato nuovi modelli per esercitare i diritti sui dati personali contenuti nel Sistema Informativo Schengen.
Gli interessati possono ora utilizzare modelli aggiornati per richiedere accesso, rettifica o cancellazione dei dati presenti nel SIS.
Le richieste devono essere indirizzate al Ministero dell’Interno, quale autorità competente sulla sezione nazionale del sistema.
In caso di mancata o parziale risposta, è possibile presentare reclamo al Garante per la protezione dei dati personali.
L’iniziativa rafforza la trasparenza e l’effettività dei diritti degli interessati in ambito di cooperazione europea.
Data: 17 dicembre 2025
Leggi di più