NicFab Newsletter
Numero 8 | 17 febbraio 2026
Privacy, Data Protection, AI e Cybersecurity
Benvenuti al numero 8 della newsletter settimanale dedicata alla privacy, alla data protection, all’intelligenza artificiale, alla cybersecurity e all’etica. Ogni martedì troverete una selezione ragionata delle notizie più rilevanti della settimana precedente, con un focus su sviluppi normativi europei, giurisprudenza, enforcement e innovazione tecnologica.
In questo numero
- GARANTE PRIVACY ITALIA
- EDPB - COMITATO EUROPEO PROTEZIONE DATI
- EDPS - GARANTE EUROPEO PROTEZIONE DATI
- COMMISSIONE EUROPEA
- CNIL - AUTORITÀ FRANCESE
- CONSIGLIO DELL’UNIONE EUROPEA
- CORTE DI GIUSTIZIA UE
- DIGITAL MARKETS & PLATFORM REGULATION
- STANDARD E CERTIFICAZIONI AI
- SVILUPPI INTERNAZIONALI
- INTELLIGENZA ARTIFICIALE
- CYBERSECURITY
- TECH & INNOVAZIONE
- RICERCA SCIENTIFICA
- AI Act in Pillole
- Dal Blog NicFab
- Eventi e incontri segnalati
- Conclusione
GARANTE PRIVACY ITALIA
PODCAST “A proposito di privacy” - I diritti dei lavoratori nel nuovo episodio
Il Garante Privacy ha pubblicato un nuovo episodio del podcast “La privacy al lavoro”, che affronta il delicato equilibrio tra innovazione tecnologica e diritti dei lavoratori. L’episodio prende spunto dalla maxi-sanzione di 5 milioni di euro inflitta a una società di food delivery per l’uso improprio di algoritmi nella gestione dei rider.
Il podcast, con la partecipazione di Francesco Modafferi, dirigente del Dipartimento realtà economiche e lavoro, analizza la sinergia tra GDPR e Statuto dei lavoratori. Vengono esaminati casi concreti di controllo illecito attraverso videosorveglianza, geolocalizzazione e software di monitoraggio, offrendo ai DPO spunti pratici per valutare la conformità nei contesti lavorativi.
L’episodio rappresenta un utile strumento formativo per comprendere i limiti legali nell’implementazione di sistemi automatizzati di gestione del personale.
COMUNICATO STAMPA - Garante privacy e INL: Avviate ispezioni presso centri logistici Amazon
Il Garante Privacy e l’Ispettorato Nazionale del Lavoro hanno avviato ispezioni congiunte presso i centri Amazon di Passo Corese (RI) e Castel San Giovanni (PC), con il supporto del Nucleo speciale tutela privacy della Guardia di Finanza.
L’iniziativa nasce da segnalazioni relative a possibili criticità nell’acquisizione e trattamento dei dati personali dei lavoratori e nell’utilizzo di sistemi di videosorveglianza non conformi allo Statuto dei lavoratori. Le autorità intendono verificare l’impatto dei sistemi di monitoraggio in contesti ad elevata complessità tecnologica.
Per i DPO, questa azione rappresenta un segnale chiaro dell’intensificazione dei controlli su aziende che utilizzano tecnologie avanzate per il monitoraggio del personale, sottolineando l’importanza di bilanciare efficienza operativa e tutela dei diritti fondamentali.
EDPB - COMITATO EUROPEO PROTEZIONE DATI
Digital Omnibus: EDPB ed EDPS tra supporto e preoccupazioni
L’EDPB e l’EDPS hanno adottato un’opinione congiunta sulla proposta di Digital Omnibus Regulation, volta a semplificare il framework normativo digitale europeo. Mentre supportano l’obiettivo di ridurre gli oneri amministrativi e aumentare la competitività, esprimono forti preoccupazioni su alcune modifiche proposte.
Le maggiori criticità riguardano le modifiche alla definizione di dato personale, che potrebbero restringere significativamente la protezione degli individui e creare incertezza giuridica. Particolarmente problematica è la proposta di affidare alla Commissione Europea la decisione su cosa non costituisce più dato personale dopo la pseudonimizzazione.
Per i DPO, questa posizione dell’EDPB è cruciale: pur accogliendo positivamente l’aumento della soglia di rischio per le notifiche di data breach e i nuovi template comuni, sottolinea l’importanza di non compromettere i diritti fondamentali in nome della semplificazione.
Programma di lavoro EDPB 2026-2027: facilitare la compliance
L’EDPB ha adottato il programma di lavoro 2026-2027, incentrato sui quattro pilastri della strategia 2024-2027 e sugli impegni del Helsinki Statement. L’obiettivo prioritario è rendere più semplice la compliance GDPR attraverso iniziative concrete e strumenti pratici.
Il programma prevede lo sviluppo di template pronti all’uso per le organizzazioni, includendo valutazioni del legittimo interesse, registri delle attività di trattamento e privacy policy, oltre ai già annunciati template per notifiche di data breach e DPIA. Questa iniziativa risponde alle esigenze emerse dalla consultazione pubblica e rappresenta un cambio di approccio verso un supporto più concreto.
Per i DPO, questi sviluppi significano strumenti standardizzati che potrebbero semplificare notevolmente il lavoro quotidiano e garantire maggiore coerenza nell’applicazione del GDPR a livello europeo.
Rafforzare la cooperazione nel panorama digitale in evoluzione
Il programma di lavoro EDPB 2026-2027 si articola su quattro pilastri strategici: armonizzazione e promozione della compliance, rafforzamento della cultura comune di enforcement, salvaguardia della protezione dati nel panorama digitale e contributo al dialogo globale.
L’EDPB continuerà a fornire linee guida tempestive su temi chiave come Consent or Pay, anonimizzazione, pseudonimizzazione e dati dei minori. Particolare attenzione sarà dedicata alle nuove tecnologie, incluse linee guida su IA generativa e data-scraping, promuovendo un approccio human-centric.
Il focus sui “contenuti per non esperti” rappresenta un’evoluzione significativa: template, esempi pratici, checklist e guide “how-to” renderanno il GDPR più accessibile. Per i DPO, questo significa maggiori risorse pratiche e supporto concreto nella formazione di team non specializzati in privacy.
Report sulla consultazione pubblica per template GDPR
L’EDPB ha pubblicato il report sulla consultazione pubblica riguardante i template per facilitare la compliance GDPR delle organizzazioni. Questo documento raccoglie i feedback degli stakeholder sui tipi di template più utili e necessari per semplificare l’applicazione pratica del regolamento.
La consultazione ha evidenziato le esigenze concrete delle organizzazioni, orientando l’EDPB verso lo sviluppo di strumenti pratici e standardizzati. I risultati hanno influenzato direttamente le decisioni sui template da sviluppare nel programma di lavoro 2026-2027.
Per i DPO, questo report rappresenta una fonte preziosa per comprendere le sfide comuni della compliance e anticipare gli strumenti che saranno presto disponibili per semplificare il loro lavoro quotidiano.
Documento ufficiale: EDPB Work Programme 2026-2027
È stato pubblicato il documento ufficiale del programma di lavoro EDPB per il biennio 2026-2027, che definisce le priorità strategiche e operative del Comitato Europeo per la Protezione dei Dati.
Il documento rappresenta la roadmap ufficiale delle attività EDPB, fornendo una visione completa delle iniziative pianificate per i prossimi due anni. Include tempistiche, obiettivi specifici e metodologie di implementazione delle varie iniziative.
Per i DPO, la lettura di questo documento è essenziale per pianificare le attività future, anticipare nuove linee guida e strumenti, e allineare le strategie di compliance con l’evoluzione del framework normativo europeo.
EDPS - GARANTE EUROPEO PROTEZIONE DATI
EDPS rafforza il ruolo del DPO
L’European Data Protection Supervisor ha pubblicato nuove linee guida vincolanti per rafforzare l’indipendenza dei Data Protection Officer nelle istituzioni UE. Questa iniziativa rappresenta un passo significativo nel consolidamento del ruolo del DPO, fornendo strumenti normativi più robusti per garantire l’autonomia operativa necessaria all’efficace svolgimento delle funzioni di protezione dati.
Le nuove disposizioni supervisorie mirano a eliminare potenziali conflitti di interesse e a chiarire i rapporti gerarchici, creando un framework più solido per la governance della privacy. Per i DPO, questo sviluppo offre maggiore legittimazione istituzionale e protezione contro pressioni indebite, elementi essenziali per mantenere la necessaria obiettività nelle valutazioni e nei controlli.
Parere congiunto EDPB-EDPS su Digital Omnibus
EDPB ed EDPS hanno adottato un parere congiunto sulla proposta di regolamento Digital Omnibus, finalizzata alla semplificazione del framework legislativo digitale europeo. Le autorità di controllo sostengono l’obiettivo di semplificazione e competitività, ma sollevano preoccupazioni critiche sui potenziali impatti sulla protezione dei dati personali.
Il parere evidenzia la necessità di bilanciare l’efficienza normativa con le garanzie fondamentali per i diritti degli interessati. Per i professionisti della privacy, questo documento rappresenta una guida preziosa per comprendere come l’armonizzazione legislativa possa influenzare le pratiche di compliance e i processi di valutazione dei rischi.
Conferenza “Reset or Refine”: nuove frontiere della protezione dati
In occasione del Data Protection Day 2026, EDPS e Council of Europe hanno organizzato la conferenza “Reset or Refine”, esplorando le nuove frontiere della protezione dati. L’evento ha riunito esperti internazionali per riflettere sull’evoluzione delle sfide privacy nell’era digitale, con particolare focus sull’intersezione tra tecnologia, diritti fondamentali e vita quotidiana.
Il formato podcast dell’iniziativa, realizzato in collaborazione con l’esperta Jennifer Crama, ha reso accessibili temi complessi come l’AI regulation e i diritti digitali. Per i DPO, la conferenza offre spunti preziosi per anticipare tendenze emergenti e adattare le strategie di governance dei dati alle nuove realtà tecnologiche.
COMMISSIONE EUROPEA
Piano d’azione contro il cyberbullismo: “Più sicuri online, più forti insieme”
La Commissione Europea ha presentato un piano d’azione coordinato per contrastare il cyberbullismo, riconoscendo l’urgenza di proteggere cittadini e minori nell’ambiente digitale. L’iniziativa mira a creare un ecosistema online più sicuro attraverso misure concrete e coordinate a livello europeo.
Per i DPO, questa comunicazione rappresenta un’importante evoluzione nel panorama della protezione dei dati personali, specialmente per quanto riguarda i dati dei minori e le misure di sicurezza necessarie nei servizi digitali. Il piano potrebbe introdurre nuovi obblighi di segnalazione e procedure di risposta rapida per le piattaforme online.
L’approccio “più forti insieme” sottolinea l’importanza della collaborazione tra settore pubblico e privato, richiedendo ai professionisti della privacy di rivedere le proprie strategie di protezione e risposta agli incidenti nel contesto del cyberbullismo.
Piano d’azione sulla sicurezza dei droni e contro-droni
La Commissione ha adottato un piano strategico per affrontare le sfide di sicurezza poste dall’uso crescente dei droni, riconoscendo il loro valore economico stimato in 14,5 miliardi di euro entro il 2030. Il documento evidenzia vulnerabilità critiche nell’architettura di sicurezza europea, dai trasporti alle infrastrutture critiche.
Il piano assume particolare rilevanza per i DPO considerando l’integrazione crescente dell’intelligenza artificiale nei sistemi di droni e le implicazioni per la privacy derivanti dalle capacità di sorveglianza e riconoscimento. Le misure di counter-drone potrebbero comportare nuovi trattamenti di dati personali che richiedono valutazioni d’impatto specifiche.
L’approccio coordinato proposto dalla Commissione necessiterà di framework di protezione dati armonizzati per garantire che le misure di sicurezza rispettino i diritti fondamentali dei cittadini europei.
Consultazione pubblica sulla revisione della Direttiva AVMSD
La Commissione Europea ha avviato una consultazione pubblica per valutare l’impatto della Direttiva sui Servizi di Media Audiovisivi (AVMSD) ed esplorare opzioni per la sua revisione. L’iniziativa mira a raccogliere feedback da stakeholder e cittadini sull’adeguatezza dell’attuale framework normativo per i media audiovisivi nell’era digitale.
La revisione della AVMSD potrebbe avere implicazioni significative per la protezione dei dati personali, in particolare per quanto riguarda la profilazione degli utenti da parte delle piattaforme di streaming, la pubblicità personalizzata e la protezione dei minori nei servizi audiovisivi on-demand. Per i DPO, è importante monitorare questa evoluzione normativa che potrebbe introdurre nuovi requisiti di compliance all’intersezione tra regolamentazione dei media e protezione dei dati.
NanoIC: €700 milioni per la più grande pilot line del Chips Act europeo
L’Unione Europea ha inaugurato NanoIC presso IMEC a Leuven, la più grande linea pilota del Chips Act europeo, con un investimento complessivo di 700 milioni di euro. Questa struttura rappresenta una pietra miliare per lo sviluppo e la produzione di semiconduttori in Europa, rafforzando la sovranità tecnologica del continente.
L’iniziativa si inserisce nella strategia europea per ridurre la dipendenza da fornitori extraeuropei di chip, componenti essenziali per tutte le tecnologie digitali, dall’AI alla cybersecurity. Per i DPO e i professionisti della sicurezza, il rafforzamento della filiera europea dei semiconduttori ha implicazioni dirette sulla sicurezza della supply chain ICT e sulla protezione delle infrastrutture critiche digitali.
CNIL - AUTORITÀ FRANCESE
Omnibus numérique: CEPD ed EDPS esprimono pareri sulla semplificazione normativa UE
Il Comitato Europeo per la Protezione dei Dati (CEPD) e il Garante Europeo (EDPS) hanno adottato un parere congiunto sulla proposta di regolamento “omnibus numérique”, che mira a semplificare il quadro normativo digitale dell’UE e rafforzare la competitività europea.
L’iniziativa, pur sostenendo obiettivi di semplificazione e riduzione degli oneri amministrativi, solleva preoccupazioni significative. CEPD ed EDPS valutano attentamente l’impatto sul GDPR, sul regolamento ePrivacy e sull’intero acquis in materia di protezione dati, verificando se la proposta garantisca effettiva sicurezza giuridica.
Per i DPO, questa evoluzione normativa rappresenta un momento cruciale per monitorare potenziali modifiche al framework di compliance esistente.
Bilancio sanzioni CNIL 2025: 486 milioni di euro di multe
La CNIL ha pubblicato il bilancio delle sanzioni 2025, con cifre record: 83 sanzioni per un totale di 486.839.500 euro di ammende, oltre a 143 diffide e 31 richiami agli obblighi legali.
I settori più colpiti sono stati cookies, sorveglianza dei dipendenti e sicurezza dei dati. Particolare rilevanza ha assunto la procedura semplificata introdotta nel 2022: 67 sanzioni sono state pronunciate direttamente dal presidente o da un membro della formazione ristretta, contro le 16 della procedura ordinaria.
Il dato evidenzia un’intensificazione dell’attività sanzionatoria e l’efficacia del nuovo approccio procedurale. Per i DPO, questi numeri confermano la necessità di mantenere alta l’attenzione sui temi più sensibili, con particolare focus su cookie compliance e workplace privacy.
Séance plénière CNIL: nuovi codici di condotta e autorizzazioni sanitarie
L’ordine del giorno della seduta plenaria del 12 febbraio 2026 rivela importanti sviluppi normativi. Tra i punti salienti, l’esame di una guida dell’Autorità Nazionale Giochi (ANJ) sui dati personali nel settore del gambling e l’approvazione di un codice di condotta nazionale dell’Alliance du Commerce.
Significativa anche l’autorizzazione a LIFEN RESEARCH per la costituzione di un data warehouse sanitario, che rappresenta un precedente importante per il trattamento di dati sanitari a fini di ricerca.
Per i DPO, questi sviluppi indicano l’evoluzione dell’approccio CNIL verso strumenti di compliance settoriali e l’apertura verso progetti innovativi nel healthcare, purché adeguatamente regolamentati.
Decisioni di adeguatezza: Brasile e Ufficio Brevetti Europeo nel club GDPR
La Commissione Europea ha adottato decisioni di adeguatezza reciproche con il Brasile il 27 gennaio 2026, dopo quella per l’Ufficio Europeo dei Brevetti del luglio 2025. Questi riconoscimenti attestano livelli di protezione dati comparabili al GDPR.
Le decisioni permettono trasferimenti di dati personali senza garanzie aggiuntive, semplificando significativamente le operazioni transfrontaliere. Il Brasile diventa così un partner strategico per le aziende europee operanti in America Latina.
Per i DPO, queste novità aprono nuove opportunità di business riducendo la complessità dei meccanismi di trasferimento internazionale, pur mantenendo elevati standard di protezione. Un vantaggio competitivo importante per le organizzazioni con operazioni globali.
CONSIGLIO DELL’UNIONE EUROPEA
WK 10334 2024 INIT - Documento provvisorio a 4 colonne
Il Consiglio dell’UE ha pubblicato la versione provvisoria del documento a quattro colonne relativo alla proposta di regolamento per le regole procedurali aggiuntive sull’enforcement del GDPR. Questo formato permette di confrontare le posizioni di Commissione, Parlamento europeo, Consiglio e il testo di compromesso.
Il documento rappresenta un passaggio cruciale nel processo legislativo che potrebbe introdurre nuove procedure per rafforzare l’applicazione del GDPR. Per i DPO, questo sviluppo segnala l’intenzione delle istituzioni europee di armonizzare maggiormente le procedure di enforcement tra gli Stati membri, potenzialmente impattando sui tempi e modalità dei procedimenti sanzionatori.
WK 10361 2024 INIT - Presentazione della proposta
La presentazione ufficiale della proposta di regolamento sulle regole procedurali aggiuntive per l’enforcement del GDPR fornisce il quadro generale dell’iniziativa legislativa. Il documento illustra le motivazioni che hanno spinto la Commissione a proporre nuove norme procedurali.
L’obiettivo principale appare essere il miglioramento dell’efficacia e della coerenza nell’applicazione del GDPR attraverso procedure più standardizzate. Per i DPO, questa iniziativa potrebbe tradursi in processi più prevedibili ma anche in controlli più rigorosi da parte delle autorità di controllo, richiedendo un aggiornamento delle strategie di compliance aziendale.
WK 11232 2024 INIT - Presentazione della Presidenza
La Presidenza del Consiglio ha elaborato una propria presentazione della proposta di regolamento, evidenziando le priorità e l’approccio adottato durante il semestre di presidenza. Questo documento riflette la visione politica della Presidenza sui miglioramenti necessari alle procedure di enforcement.
La presentazione suggerisce un approccio equilibrato tra efficacia dell’enforcement e garanzie procedurali per le imprese. I DPO dovranno monitorare attentamente l’evoluzione dei negoziati, poiché le modifiche alle procedure potrebbero influenzare significativamente i tempi di risposta richiesti e le modalità di interazione con le autorità di controllo durante le indagini.
WK 12364 2024 INIT - Documento a 4 colonne annotato
Il documento a quattro colonne annotato rappresenta un’evoluzione del precedente documento provvisorio, includendo note esplicative e commenti dettagliati sulle diverse posizioni istituzionali. Le annotazioni facilitano la comprensione delle divergenze tra le istituzioni e delle possibili soluzioni di compromesso.
Questo livello di dettaglio indica che i negoziati sono entrati in una fase più tecnica e specifica. Per i DPO, le annotazioni potrebbero rivelare quali aspetti procedurali sono più controversi e quindi più suscettibili di modifiche durante il processo legislativo, permettendo una migliore preparazione per i cambiamenti futuri.
WK 15339 2024 INIT - Proposta di compromesso sull’Articolo 5
Il Consiglio ha pubblicato una proposta di compromesso aggiornata specificamente focalizzata sull’Articolo 5, che tratta la “risoluzione anticipata” delle procedure di enforcement. Questo meccanismo potrebbe introdurre procedure accelerate per casi meno complessi o per violazioni riconosciute dalle imprese.
La risoluzione anticipata rappresenterebbe un’importante innovazione nel sistema sanzionatorio del GDPR, potenzialmente offrendo alle organizzazioni la possibilità di concludere più rapidamente i procedimenti attraverso il riconoscimento delle violazioni. I DPO dovranno valutare come questa opzione possa integrarsi nelle strategie di gestione degli incidenti e delle non conformità, bilanciando i vantaggi della risoluzione rapida con le implicazioni reputazionali.
CORTE DI GIUSTIZIA UE
WhatsApp Ireland vs Comitato europeo per la protezione dei dati - Ricorso ricevibile
La Corte di Giustizia UE ha dichiarato ricevibile il ricorso presentato da WhatsApp Ireland contro la decisione vincolante 1/2021 del Comitato europeo per la protezione dei dati (EDPB). La decisione rappresenta un passaggio procedurale significativo che apre la strada all’esame nel merito della controversia.
Il caso tocca aspetti fondamentali del meccanismo di cooperazione e coerenza previsto dal GDPR, in particolare il ruolo delle decisioni vincolanti dell’EDPB nei confronti delle autorità nazionali di controllo. Per i DPO, questa vicenda evidenzia l’importanza di monitorare l’evolversi della giurisprudenza europea sui poteri di enforcement del Regolamento.
L’ammissibilità del ricorso conferma che le aziende possono contestare davanti alla giustizia europea le decisioni dell’EDPB, aprendo nuovi scenari per la tutela dei diritti delle imprese nel contesto della protezione dati.
DIGITAL MARKETS & PLATFORM REGULATION
Proposta per il Digital Networks Act dell’UE
La Commissione Europea ha presentato una proposta di regolamento sui network digitali che promette di ridisegnare il panorama normativo delle telecomunicazioni nell’UE. Il Digital Networks Act modificherebbe diversi regolamenti esistenti, incluso quello sulla neutralità della rete del 2015, e ne sostituirebbe altri come il Codice Europeo delle Comunicazioni Elettroniche.
Questa proposta rappresenta un ulteriore tassello nella strategia europea di regolamentazione del digitale, che potrebbe avere significative implicazioni per i Data Protection Officer. Le modifiche potrebbero introdurre nuovi obblighi di compliance e meccanismi di controllo sui flussi di dati attraverso le reti digitali, richiedendo un aggiornamento delle valutazioni d’impatto privacy e delle procedure di gestione dei dati personali.
UE ordina a Meta di aprire WhatsApp ai chatbot AI rivali
La Commissione Europea ha inviato a Meta una comunicazione degli addebiti per presunta violazione delle norme antitrust, accusando l’azienda di escludere gli assistenti AI di terze parti da WhatsApp Business. La commissaria alla concorrenza Teresa Ribera ha sottolineato l’importanza di proteggere l’innovazione nell’IA e preservare la concorrenza nel mercato europeo.
L’azione si concentra sulla “WhatsApp Business Solution” e sulla recente politica di Meta che vieta ai fornitori di IA l’uso della piattaforma quando l’intelligenza artificiale è il servizio principale offerto. Per i DPO, questa decisione evidenzia l’importanza di valutare come le restrizioni di accesso alle piattaforme possano influenzare i flussi di dati e la portabilità delle informazioni personali, elementi cruciali nel contesto del GDPR.
La Corte di Giustizia sblocca il ricorso di WhatsApp contro le sanzioni milionarie
La Corte di Giustizia UE ha stabilito che le aziende possono contestare le decisioni dell’European Data Protection Board (EDPB), aprendo la strada al ricorso di WhatsApp contro una multa di €225 milioni per trasparenza insufficiente. La decisione chiarisce un aspetto procedurale cruciale: quando l’EDPB modifica sostanzialmente le decisioni di un’autorità nazionale (come avvenuto con l’aumento della multa da €30-50 milioni a €225 milioni), le aziende hanno diritto di ricorso.
Questa sentenza ha implicazioni significative per i DPO, poiché stabilisce un precedente sulla contestabilità delle decisioni del board europeo. Con almeno dieci altri ricorsi pendenti (quasi tutti riguardanti Meta), si preannuncia una fase di maggiore litigiosità che potrebbe influenzare l’interpretazione e l’applicazione del GDPR a livello europeo.
STANDARD E CERTIFICAZIONI AI
HLF Workstream 12 sull’AI: pubblicato il rapporto finale
L’High-Level Forum on Standardisation ha pubblicato il rapporto finale del Workstream 12 dedicato all’intelligenza artificiale. Il gruppo di lavoro ha perseguito tre obiettivi principali: sensibilizzare sugli standard in fase di sviluppo a supporto della richiesta di standardizzazione della Commissione Europea e dell’AI Act, incoraggiare una partecipazione più ampia degli stakeholder e migliorare la comprensione dell’ambito degli standard in preparazione.
Il rapporto fornisce una panoramica delle azioni condotte in collaborazione con la Commissione Europea, documentando il ruolo del CEN-CENELEC JTC 21 nello sviluppo degli standard AI in cooperazione con ISO-IEC JTC1 SC42. Per i DPO e i professionisti della compliance AI, questo documento offre un quadro di riferimento essenziale per comprendere l’architettura degli standard armonizzati che consentiranno la presunzione di conformità ai requisiti dell’AI Act.
JTC 21: risultati del sondaggio sull’inclusività nella standardizzazione AI
Il CEN-CENELEC JTC 21 ha pubblicato i risultati del sondaggio sull’inclusività condotto nella primavera 2025, raccogliendo 146 risposte sui 195 partecipanti eleggibili. L’indagine offre un quadro dettagliato di chi contribuisce allo sviluppo degli standard AI europei e delle modalità di partecipazione, evidenziando punti di forza, lacune e opportunità per una partecipazione più equitativa.
I risultati sono particolarmente rilevanti per comprendere la composizione e la rappresentatività del processo di standardizzazione che definirà i requisiti tecnici dell’AI Act, influenzando direttamente gli obblighi di compliance per le organizzazioni che sviluppano o implementano sistemi AI ad alto rischio.
prEN 18228 - AI Risk Management: standard finalizzato
Lo standard prEN 18228 sulla gestione del rischio per i sistemi AI è stato finalizzato a dicembre e sottoposto alla Commissione Europea prima dell’inchiesta pubblica. Il documento specifica requisiti per l’identificazione, la valutazione e la mitigazione dei rischi lungo l’intero ciclo di vita dei sistemi AI, coprendo sia i rischi per la salute e la sicurezza sia quelli per i diritti fondamentali.
Lo standard si applica a un’ampia gamma di prodotti e servizi che utilizzano tecnologia AI, includendo considerazioni esplicite per le persone vulnerabili. Per i DPO, questo rappresenta uno degli standard armonizzati chiave che consentiranno la presunzione di conformità ai requisiti dell’AI Act in materia di gestione del rischio.
prEN 18286 - Quality Management System: bocciatura e revisione
Lo standard prEN 18286 sul sistema di gestione della qualità per i fini regolatori dell’AI Act non ha ottenuto il livello di approvazione richiesto durante l’inchiesta pubblica, sia in termini di voti favorevoli dei membri nazionali sia per i criteri di popolazione ponderata. Sono stati ricevuti 1.288 commenti, tutti attentamente analizzati con risoluzioni proposte dall’editor del progetto. Le richieste di riconsiderazione saranno esaminate durante una riunione ibrida di cinque giorni a Londra dal 2 al 6 marzo.
Questa bocciatura è significativa: lo standard è il candidato armonizzato per coprire i requisiti dell’AI Act relativi a salute, sicurezza e diritti fondamentali. Per i DPO, il ritardo potrebbe influenzare le tempistiche della presunzione di conformità per le organizzazioni che implementano sistemi AI ad alto rischio.
Standard su bias, data quality, logging e trustworthiness: aggiornamenti
Diversi standard critici per l’implementazione dell’AI Act stanno avanzando rapidamente. Il prEN 18283 (gestione del bias nei sistemi AI) e il prEN 18284 (qualità e governance dei dataset) sono stati rivisti in un workshop di tre giorni a Delft e saranno sottoposti alla Commissione entro il 15 giugno. Il prEN ISO/IEC 24970 sull’AI system logging, sviluppato in parallelo a livello internazionale ed europeo, è atteso supportare l’implementazione dell’Articolo 12 dell’AI Act sugli obblighi di registrazione.
Sul fronte della trustworthiness, il prEN 18229-1 (trasparenza, logging e supervisione umana) e il prEN 18229-2 (accuratezza e robustezza) sono stati inviati alla Commissione Europea per il lancio dell’inchiesta pubblica. Infine, il prEN 18274 sulle competenze professionali degli AI ethicist è stato approvato con commenti.
ISO/IEC NP 26200: nuovo standard per la valutazione dei LLM
È stato approvato come nuovo progetto lo standard ISO/IEC NP 26200, un framework per la valutazione, l’uso etico e l’interoperabilità dei Large Language Models nei sistemi AI. Lo standard definirà metodologie di testing, criteri di valutazione delle prestazioni, strategie di mitigazione del bias, protocolli di gestione del rischio e best practice per il deployment responsabile, coprendo anche considerazioni sulla sicurezza e applicazioni settoriali in sanità, finanza, istruzione e servizi pubblici.
Per i DPO, questo nuovo standard rappresenta un’evoluzione significativa verso la regolamentazione tecnica dei modelli di linguaggio, colmando una lacuna rilevante nell’ecosistema degli standard AI.
Guida per la Fundamental Rights Impact Assessment (FRIA) sotto l’AI Act
Il Danish Institute for Human Rights e lo European Center for Not-for-Profit Law hanno pubblicato congiuntamente una guida per condurre Fundamental Rights Impact Assessments in conformità con l’AI Act e gli standard internazionali pertinenti. La guida copre pianificazione, deliberazione strutturata sulla gravità e probabilità degli impatti negativi, coinvolgimento delle persone potenzialmente interessate, implementazione e monitoraggio delle misure di mitigazione, trasparenza pubblica e documentazione rigorosa.
La guida sottolinea che le FRIA sono più efficaci quando integrate in una strategia organizzativa complessiva per la governance dell’AI. Per i DPO, questo strumento rappresenta un riferimento pratico essenziale per l’adempimento degli obblighi di valutazione d’impatto sui diritti fondamentali previsti dall’AI Act.
SVILUPPI INTERNAZIONALI
Carolina del Sud introduce un nuovo modello per la protezione dei minori online
La Carolina del Sud ha firmato l’HB 3431, una legge che si discosta dai tradizionali Age-Appropriate Design Code (AADC) introducendo un approccio ibrido alla protezione dei minori online. La normativa, entrata in vigore immediatamente, stabilisce un “duty of care” più rigoroso rispetto ad altri stati, richiedendo alle piattaforme di prevenire attivamente rischi come l’uso compulsivo e danni psicologici gravi.
La legge presenta soglie di applicabilità più ampie e strumenti di protezione obbligatori, ma NetChoice ha già presentato ricorso per incostituzionalità. Per i DPO, la situazione è complessa: da un lato il rischio di non conformità con sanzioni significative, dall’altro potenziali investimenti in compliance che potrebbero risultare inutili se la legge fosse annullata. Questo nuovo approccio potrebbe segnalare un’evoluzione verso modelli di protezione online più articolati rispetto ai classici AADC.
Iran utilizza la sorveglianza digitale per identificare i manifestanti
Le autorità iraniane stanno impiegando strumenti di sorveglianza digitale avanzati per individuare e perseguire i partecipanti alle proteste antigovernative. Dopo aver ripristinato alcuni servizi online, il regime ha implementato una rete tecnologica che include riconoscimento facciale e analisi dei dati telefonici per tracciare gli oppositori politici.
Questo caso evidenzia come le tecnologie di sorveglianza possano essere utilizzate per scopi repressivi, sollevando questioni fondamentali sulla protezione dei dati personali in contesti autoritari. Per i DPO che operano a livello internazionale, rappresenta un esempio concreto dei rischi associati al trasferimento di dati verso paesi con regimi oppressivi e sottolinea l’importanza delle valutazioni di impatto sui trasferimenti internazionali.
Australia: carenze nelle leggi privacy espongono cittadini a sperimentazione AI
Un tribunale amministrativo australiano ha ribaltato la decisione del garante privacy, autorizzando Bunnings (catena di negozi) a utilizzare il riconoscimento facciale sui clienti. Questa decisione evidenzia l’inadeguatezza delle leggi privacy australiane, ferme da 40 anni, nell’affrontare le sfide dell’intelligenza artificiale.
L’ex procuratore generale Mark Dreyfus aveva proposto riforme significative, inclusa l’espansione della definizione di “informazioni personali” e maggiori controlli sull’AI ad alto impatto. Per i DPO, il caso australiano rappresenta un monito sui rischi di framework normativi obsoleti che non riescono a tenere il passo con l’evoluzione tecnologica. La normalizzazione della sorveglianza biometrica negli spazi pubblici potrebbe creare precedenti preoccupanti per la protezione dei dati personali.
INTELLIGENZA ARTIFICIALE
Anthropic vs Pentagono: Claude nel mirino militare
Il Dipartimento della Difesa USA sta spingendo le aziende AI, inclusa Anthropic, ad autorizzare l’uso militare dei loro modelli “per tutti gli scopi legali”. Mentre OpenAI, Google e xAI mostrano apertura alle richieste governative, Anthropic resiste fermamente, rifiutando applicazioni per armi autonome e sorveglianza di massa domestica.
Il Pentagono minaccia di rescindere il contratto da 200 milioni di dollari con l’azienda. Secondo il Wall Street Journal, Claude sarebbe già stato utilizzato in operazioni militari sensibili. Per i DPO, questo caso evidenzia l’importanza di definire chiaramente i limiti etici nell’uso dell’AI aziendale e prepararsi a potenziali pressioni esterne che potrebbero compromettere i principi di governance stabiliti.
La vita dopo la morte è Social! L’AI che commenta, risponde e ti imita… da morto
Meta ha ottenuto un brevetto per una tecnologia AI che mantiene attivi gli account social anche dopo la morte dell’utente. Il sistema addestra un modello linguistico sui dati personali per replicare comportamenti abituali: like, commenti e risposte che simulano la presenza online del defunto.
Nonostante Meta dichiari di non avere intenzione di sviluppare questa idea, il brevetto solleva questioni cruciali per i DPO. La creazione di “istantanee digitali” basate su cronologie di post e interazioni pone interrogativi sul consenso post-mortem e sui diritti degli eredi sui dati personali. Come gestiranno le organizzazioni il trattamento di dati per finalità mai esplicitamente autorizzate dal titolare in vita?
Hacker statali sfruttano Gemini: la nuova frontiera degli attacchi
Il Google Threat Intelligence Group rivela che gruppi hacker governativi di Cina, Iran, Corea del Nord e Russia stanno abusando sistematicamente di Gemini per supportare ogni fase degli attacchi informatici, dalla ricognizione all’esfiltrazione dati. Particolarmente preoccupanti sono i tentativi di “distillazione del modello” con oltre 100.000 query per clonare le funzionalità dell’AI.
Gli attaccanti utilizzano l’AI per automatizzare l’analisi delle vulnerabilità, creare esche di phishing e sviluppare infrastrutture di controllo. Per i DPO, questo scenario richiede politiche rigorose sull’accesso ai servizi AI, monitoraggio degli utilizzi anomali e valutazione dei rischi legati all’esposizione di informazioni sensibili attraverso prompt aziendali.
APT31 cinese usa Gemini per cyberattacchi contro USA
Il gruppo hacker cinese APT31, già sanzionato per attacchi alle infrastrutture critiche americane, ha utilizzato Gemini di Google per automatizzare l’analisi delle vulnerabilità e pianificare attacchi informatici. Gli aggressori hanno impiegato Hexstrike, uno strumento di red-teaming, integrato con Gemini per condurre ricognizione automatizzata contro obiettivi specifici negli Stati Uniti.
Google ha disabilitato gli account collegati alla campagna, ma l’episodio rappresenta un’evoluzione significativa verso attacchi semi-autonomi guidati dall’AI. I DPO devono considerare che i servizi AI pubblici possono essere weaponizzati, implementando controlli per prevenire l’uso improprio degli strumenti aziendali e valutando attentamente i fornitori di tecnologie AI.
Gruppi statali weaponizzano l’AI in tutto il ciclo di attacco
Google documenta l’uso sistematico di Gemini da parte di threat actor statali per accelerare operazioni offensive. UNC2970 (Corea del Nord) utilizza l’AI per profilare obiettivi nelle campagne “Dream Job”, mentre APT42 (Iran) sfrutta il modello per ingegneria sociale e sviluppo di strumenti malevoli personalizzati.
Emergono nuovi malware AI-powered come HonestCue, che usa le API Gemini per generare codice C# per payload di seconda fase, e CoinBait, un kit di phishing sviluppato con strumenti AI. Sebbene non si registrino breakthrough tecnologici, l’integrazione dell’AI nei workflow offensivi sta democratizzando capacità avanzate. I DPO devono aggiornare i framework di rischio considerando questi nuovi vettori di minaccia.
Hacker abusano di Gemini in tutte le fasi degli attacchi
Il rapporto Google Threat Intelligence conferma l’adozione trasversale di Gemini da parte di cybercriminali per supportare l’intero ciclo di vita degli attacchi. Dagli APT cinesi che fingono identità di esperti di sicurezza per ottenere piani di testing automatizzati, ai gruppi iraniani che accelerano lo sviluppo di strumenti malevoli tramite debugging e generazione di codice AI.
L’emergere di malware frameworks come HonestCue e kit di phishing come CoinBait, sviluppati con assistenza AI, indica una nuova era nella produzione di minacce. Per i DPO, è essenziale implementare policy granulari sull’uso dell’AI, educazione del personale sui rischi di prompt injection e monitoraggio delle interazioni con servizi AI per prevenire fughe di informazioni sensibili.
CYBERSECURITY
LVMH: multa da 25 milioni per violazioni dati in Corea del Sud
Le autorità sudcoreane hanno inflitto una multa complessiva di 25 milioni di dollari a Louis Vuitton, Dior e Tiffany per gravi carenze nella protezione dei dati di oltre 5,5 milioni di clienti. Gli attacchi hanno sfruttato vulnerabilità nei sistemi cloud-based di gestione clienti, compromettendo informazioni sensibili tra cui nomi, contatti e storico acquisti.
Le violazioni evidenziano lacune sistemiche: mancanza di controlli IP, autenticazione debole, assenza di restrizioni sui download di massa e ritardi nelle notifiche alle autorità. Per i DPO, il caso sottolinea l’importanza di implementare controlli granulari sui sistemi SaaS e di mantenere procedure di incident response tempestive, rispettando i termini di notifica previsti dalle normative locali.
Apple risolve zero-day critico sfruttato in attacchi mirati
Apple ha rilasciato aggiornamenti urgenti per iOS, macOS e altri sistemi per correggere CVE-2026-20700, una vulnerabilità zero-day nel componente dyld che consente l’esecuzione di codice arbitrario. Google TAG ha confermato lo sfruttamento attivo in attacchi sofisticati contro individui specifici.
La vulnerabilità si aggiunge a due precedenti flaw già corretti a dicembre, suggerendo una campagna coordinata. L’incident evidenzia l’evoluzione delle minacce APT e la necessità per i DPO di stabilire procedure di patch management accelerate per vulnerabilità critiche, specialmente su dispositivi mobile che gestiscono dati aziendali sensibili.
Vulnerabilità Ivanti EPMM colpisce autorità europee
Multiple autorità europee, incluse quelle olandesi e la Commissione Europea, hanno confermato violazioni dei dati attraverso exploit zero-day in Ivanti Endpoint Manager Mobile. Gli attacchi hanno esposto informazioni di contatto di dipendenti governativi, con la Finlandia che riporta fino a 50.000 dipendenti coinvolti.
Le vulnerabilità CVE-2026-1281 e CVE-2026-1340 hanno consentito l’esecuzione remota di codice non autenticata. Particolarmente preoccupante è la scoperta che i sistemi non eliminavano permanentemente i dati rimossi. Per i DPO del settore pubblico, l’incident sottolinea la criticità della gestione sicura dei dispositivi mobile e l’importanza di audit periodici sulle pratiche di data retention.
UE propone Cybersecurity Act 2: rafforzamento di ENISA
Il Consiglio Europeo ha presentato la proposta per il nuovo Cybersecurity Act 2, che aggiornerà il regolamento EU 2019/881 estendendo i poteri di ENISA e introducendo nuovi framework per la sicurezza della supply chain ICT. La proposta mira a rafforzare la certificazione europea di cybersecurity e migliorare la resilienza digitale dell’Unione.
Il nuovo regolamento dovrebbe introdurre requisiti più stringenti per la valutazione dei rischi nella catena di fornitura tecnologica e ampliare gli schemi di certificazione obbligatori. Per i DPO, questo sviluppo normativo richiederà un aggiornamento delle strategie di compliance e una maggiore attenzione ai fornitori tecnologici utilizzati nell’organizzazione.
Transparent Tribe intensifica attacchi di spionaggio in India
Il gruppo APT Transparent Tribe ha lanciato una sofisticata campagna di cyberspionaggio contro entità governative e scientifiche indiane, utilizzando una nuova variante di trojan RAT. Gli attacchi iniziano con email di phishing contenenti link Windows mascherati da PDF, che eseguono script HTA per caricare payload direttamente in memoria.
Il malware implementa meccanismi di persistenza adattivi basati sul software antivirus rilevato, utilizzando tecniche diverse per Kaspersky, Quick Heal, Avast e altri prodotti. Per i DPO di organizzazioni strategiche, il caso evidenzia l’importanza di implementare difese multi-layer contro attacchi di spear-phishing e di monitorare proattivamente l’utilizzo di script legittimi come mshta.exe per attività sospette.
BeyondTrust sotto attacco in meno di 24 ore
Una vulnerabilità critica in BeyondTrust Remote Support (CVE-2026-1731) è stata sfruttata dagli attaccanti in meno di 24 ore dalla pubblicazione del proof-of-concept. La falla consente l’esecuzione remota di codice senza autenticazione, rappresentando un rischio elevato per le organizzazioni che utilizzano questa soluzione di supporto remoto.
Questo incident dimostra la velocità con cui le vulnerabilità pubblicate vengono weaponizzate dai threat actor. Per i DPO è essenziale implementare processi di patch management ultra-rapidi per le vulnerabilità critiche e considerare misure di mitigazione temporanee quando le patch non sono immediatamente disponibili, specialmente per sistemi esposti pubblicamente o con accesso remoto.
TECH & INNOVAZIONE
Amazon Ring interrompe la partnership con Flock Safety
Amazon Ring ha annunciato la cancellazione della partnership con Flock Safety, azienda specializzata in telecamere di sorveglianza AI utilizzate da forze dell’ordine e agenzie federali. L’accordo, siglato a ottobre, avrebbe permesso agli utenti Ring di condividere filmati con la rete di sicurezza pubblica di Flock.
La decisione arriva dopo le controversie generate dall’annuncio Super Bowl di Ring, che mostrava la funzionalità “Search Party” per tracciare animali domestici attraverso una rete di telecamere di quartiere. Per i DPO, questo caso evidenzia i rischi reputazionali legati alle tecnologie di sorveglianza AI e l’importanza di valutare attentamente le implicazioni privacy prima di implementare partnership che coinvolgono dati biometrici e di videosorveglianza.
Dati biometrici: sicurezza e rischi per la privacy
I dati biometrici – impronte digitali, riconoscimento facciale, vocale – rappresentano oggi una delle forme di autenticazione più diffuse nei dispositivi consumer. Sebbene offrano maggiore sicurezza rispetto alle password tradizionali, comportano rischi specifici per la privacy che i DPO devono considerare attentamente.
La chiave è la modalità di conservazione: quando i dati biometrici vengono elaborati localmente sul dispositivo, i rischi si riducono significativamente. Tuttavia, la trasmissione o l’archiviazione centralizzata di questi dati crea vulnerabilità critiche. A differenza delle password, i dati biometrici non possono essere “cambiati” in caso di compromissione, rendendo le violazioni particolarmente dannose.
Per i DPO, è essenziale implementare politiche che privilegino l’elaborazione locale, limitino la raccolta ai soli scopi necessari e garantiscano trasparenza agli utenti sui metodi di utilizzo e conservazione dei loro dati biometrici.
RICERCA SCIENTIFICA
Selezione dei paper più rilevanti della settimana da arXiv su AI, Machine Learning e Privacy
Explainable AI
Explaining AI Without Code: A User Study on Explainable AI - Studio che analizza come rendere l’AI spiegabile per utenti non tecnici nelle piattaforme no-code. Particolarmente rilevante per DPO che devono implementare l’obbligo di spiegabilità del GDPR senza competenze tecniche approfondite. Il gap tra trasparenza algoritmica e accessibilità rappresenta una sfida cruciale per la compliance. arXiv
Towards Explainable Federated Learning: Understanding the Impact of Differential Privacy - Ricerca sull’intersezione tra privacy differenziale e spiegabilità nell’apprendimento federato. Analizza come le tecniche di privacy possano influire sulla trasparenza algoritmica, aspetto fondamentale per bilanciare protezione dati e accountability richiesta dalle normative. arXiv
Federated Learning e Privacy
TIP: Resisting Gradient Inversion via Targeted Interpretable Perturbation in Federated Learning - Un nuovo approccio per difendere il federated learning dagli attacchi di inversione dei gradienti, che permettono di ricostruire dati privati. La soluzione proposta migliora l’utilizzo della differential privacy con perturbazioni mirate, mantenendo l’utilità del modello. Cruciale per i DPO che valutano l’adozione del federated learning. arXiv
On the Sensitivity of Firing Rate-Based Federated Spiking Neural Networks to Differential Privacy - Studio sull’impatto dei meccanismi di differential privacy nelle reti neurali spiking federate. La ricerca analizza come il clipping dei gradienti e l’iniezione di rumore alterino le statistiche di firing-rate, fornendo insights per bilanciare privacy ed efficienza energetica in contesti IoT. arXiv
Differential Privacy e Dati Sintetici
Risk-Equalized Differentially Private Synthetic Data: Protecting Outliers by Controlling Record-Level Influence - Approccio innovativo per proteggere gli outlier nella generazione di dati sintetici con differential privacy. Affronta il problema degli attacchi di membership inference che colpiscono principalmente individui con caratteristiche rare. Rilevante per protezione di categorie vulnerabili e minimizzazione del rischio di re-identificazione. arXiv
AI Safety e Sicurezza
SafeNeuron: Neuron-Level Safety Alignment for Large Language Models - Framework per l’allineamento di sicurezza a livello neuronale negli LLM. Affronta la vulnerabilità dei comportamenti di sicurezza concentrati in pochi parametri, offrendo maggiore robustezza contro attacchi. Essenziale per organizzazioni che implementano LLM in produzione con requisiti di sicurezza stringenti. arXiv
Evaluating LLM Safety Under Repeated Inference via Accelerated Prompt Stress Testing - Metodologia per valutare la sicurezza degli LLM sotto inferenza ripetuta, identificando rischi operativi diversi dai benchmark tradizionali. Focus sulla consistenza delle risposte in scenari reali ad alto rischio. Fondamentale per risk assessment in deployment enterprise di sistemi AI. arXiv
Security e Robustezza
ANML: Attribution-Native Machine Learning with Guaranteed Robustness - Framework che pondera i campioni di training basandosi su quattro fattori di qualità, includendo verificazione e consistenza dei gradienti. Particolarmente rilevante per training su dati sensibili dove la provenienza e qualità sono critiche per compliance e audit trail. arXiv
One RNG to Rule Them All: How Randomness Becomes an Attack Vector in Machine Learning - Analisi delle vulnerabilità introdotte dai generatori pseudocasuali nei sistemi ML. Evidenzia rischi spesso trascurati legati all’implementazione della randomness in sampling, augmentation e inizializzazione. Importante per security assessment e hardening di pipeline ML in ambienti regolamentati. arXiv
AI ACT IN PILLOLE - Parte 7
Articolo 12 - Registrazione
Dopo aver analizzato la classificazione dei sistemi ad alto rischio nell’Articolo 6, è essenziale comprendere come garantire la tracciabilità operativa di questi sistemi. L’Articolo 12 del Regolamento AI Act stabilisce infatti uno dei pilastri fondamentali del compliance: gli obblighi di registrazione e logging.
Il cuore della tracciabilità automatica
L’Articolo 12 impone ai fornitori di sistemi di IA ad alto rischio di progettare i propri sistemi in modo che registrino automaticamente gli eventi durante il loro funzionamento. Non si tratta di una mera raccomandazione, ma di un requisito tecnico vincolante che deve essere integrato fin dalla fase di progettazione del sistema.
La registrazione deve essere sufficientemente dettagliata da consentire la tracciabilità del funzionamento del sistema per tutta la sua durata di vita. Questo significa che ogni decisione significativa, ogni input processato e ogni output generato devono lasciare una traccia digitale verificabile e immutabile.
Contenuto minimo dei log
Il regolamento specifica che i log devono includere almeno i periodi di utilizzo del sistema, la banca dati di riferimento utilizzata e i dati di input che hanno portato alla corrispondenza rilevata dal sistema. Questa disposizione è particolarmente critica per sistemi come quelli di riconoscimento biometrico o di scoring creditizio, dove la capacità di ripercorrere il processo decisionale è fondamentale per verificare la correttezza e l’equità delle decisioni.
Per esempio, un sistema di screening CV automatico dovrà registrare non solo quali candidati sono stati selezionati o scartati, ma anche quali criteri specifici hanno influenzato la decisione, quali dati del curriculum sono stati considerati più rilevanti e in che momento è avvenuta l’elaborazione.
Responsabilità dei deployer
L’articolo non si limita ai fornitori, ma estende specifici obblighi anche ai deployer - coloro che utilizzano il sistema di IA nell’ambito della propria attività. I deployer devono mantenere i log generati automaticamente dal sistema e, crucialmente, devono conservarli per il periodo appropriato in considerazione del contesto d’uso specifico.
Questa doppia responsabilità crea un ecosistema di tracciabilità condivisa: il fornitore deve garantire la capacità tecnica di logging, mentre il deployer deve assicurare la conservazione e la disponibilità dei dati registrati. Tale approccio riflette la natura collaborativa della compliance nell’ecosistema dell’IA.
Implicazioni pratiche per le organizzazioni
Dal punto di vista operativo, l’Articolo 12 richiede investimenti significativi nell’infrastruttura di logging. Le organizzazioni dovranno implementare sistemi di storage robusti, procedure di backup affidabili e meccanismi di accesso controllato ai log. La conservazione a lungo termine comporta inoltre considerazioni sui costi di storage e sulla migrazione tecnologica nel tempo.
Particolarmente critica è la questione dell’integrazione con i sistemi di audit esistenti. I log generati dai sistemi di IA ad alto rischio dovranno essere correlabili con altri sistemi di tracciabilità aziendale, creando una vista unificata per le attività di compliance e audit.
Intersezione con la protezione dati
Un aspetto delicato riguarda l’equilibrio tra gli obblighi di logging dell’AI Act e i principi del GDPR. I log potrebbero contenere dati personali, richiedendo quindi un’analisi accurata delle basi giuridiche per il trattamento e dei tempi di conservazione. La minimizzazione dei dati deve essere bilanciata con l’esigenza di tracciabilità completa.
Prospettive sanzionatorie
Il mancato rispetto degli obblighi di registrazione può comportare sanzioni fino al 4% del fatturato annuale mondiale o 20 milioni di euro. È importante sottolineare che le autorità di controllo potranno verificare non solo l’esistenza dei sistemi di logging, ma anche la loro effettiva adeguatezza e completezza.
La prossima settimana, nella Parte 8, analizzeremo l’Articolo 13 dedicato alla trasparenza e alle informazioni che devono essere fornite ai deployer, completando così il quadro degli obblighi informativi nell’ecosistema dell’IA ad alto rischio.
DAL BLOG NICFAB
Digital Omnibus on AI: il Parlamento europeo riscrive le regole della Commissione
10 febbraio 2026
Analisi comparativa del Draft Report PE782.530 dei comitati IMCO e LIBE rispetto alla proposta della Commissione COM(2025) 836 sul Digital Omnibus on AI: scadenze fisse, AI literacy, dati sensibili, sandbox e cybersecurity.
Eventi e incontri segnalati
EDPB-EDPS Joint Opinion on Digital Omnibus (pubblicato il 10 febbraio 2026)
EDPS | Info
Safer internet day 2026 (pubblicato il 10 febbraio 2026)
European Commission | Info
Apply AI Sectoral deep dive - Mobility, transport, and automotive (pubblicato il 10 febbraio 2026)
European Commission | Info
Data Act - webinar on draft Guidelines for reasonable compensation (pubblicato il 10 febbraio 2026)
European Commission | Info
Digital Omnibus: EDPB and EDPS support simplification and competitiveness while raising key concerns (pubblicato il 11 febbraio 2026)
EDPB | Info
Data takes flight: Navigating privacy at the airport (pubblicato il 12 febbraio 2026)
EDPS | Info
EDPB work programme 2026-2027: easing compliance and strengthening cooperation across the evolving digital landscape (pubblicato il 12 febbraio 2026)
EDPB | Info
Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027 (pubblicato il 13 febbraio 2026)
EDPB | Info
AI standardisation Inclusiveness Newsletter - Edition 13 (pubblicato il 13 febbraio 2026)
ETUC | Info
Happy Data Protection Day 2026!
EDPS | Info
Conclusione
Il panorama europeo della data protection si trova in una fase di tensione dialettica tra semplificazione e controllo, dove l’accelerazione dell’enforcement incontra la spinta istituzionale verso maggiore pragmatismo operativo. Due dinamiche apparentemente contraddittorie che definiscono il nuovo equilibrio della protezione dati.
Le ispezioni congiunte Garante-INL presso i centri logistici Amazon rappresentano un salto qualitativo nell’approccio regolatorio. Non siamo più di fronte al tradizionale controllo documentale o alle sanzioni per inadeguatezze procedurali, ma all’esame diretto di come gli algoritmi decidano della vita lavorativa di migliaia di persone. Turnazioni, valutazioni delle performance, attivazione e disattivazione degli account dei driver: ogni aspetto del rapporto di lavoro passa attraverso sistemi automatizzati che processano dati personali con impatti diretti sui diritti fondamentali. La collaborazione tra Garante privacy e Ispettorato del lavoro segnala la consapevolezza istituzionale che la protezione dati non può più essere confinata in un perimetro tecnico-procedurale, ma deve integrarsi con le tutele del lavoro e della concorrenza.
Questa linea di rigore trova ulteriore conferma nelle dinamiche che circondano Meta e WhatsApp. La Corte di Giustizia sblocca il ricorso contro le sanzioni milionarie per violazioni privacy, mentre contemporaneamente la Commissione impone l’apertura dell’ecosistema WhatsApp ai chatbot AI concorrenti. Due fronti che convergono sulla stessa questione: il controllo del potere algoritmico delle piattaforme dominanti e la loro capacità di determinare unilateralmente le condizioni di accesso ai servizi digitali essenziali.
L’EDPB risponde a queste sfide con una strategia apparentemente paradossale: facilitare il compliance attraverso il nuovo programma di lavoro 2026-2027 che promette template standardizzati per la valutazione del legittimo interesse, modelli di privacy policy e strumenti semplificati per i registri dei trattamenti. La logica è chiara - se le organizzazioni hanno strumenti più accessibili per conformarsi al GDPR, l’enforcement può concentrarsi sui casi di vera rilevanza sistemica come Amazon o Meta, senza disperdere risorse su inadeguatezze meramente formali di piccole e medie imprese.
Il Digital Omnibus diventa così il terreno di scontro decisivo. EDPB ed EDPS sostengono pubblicamente l’obiettivo di semplificazione ma oppongono resistenza ferma sui tentativi di ridefinire i concetti fondamentali come “dato personale”. La preoccupazione è fondata: proprio nel momento in cui l’enforcement dimostra la propria efficacia nel controllare gli abusi algoritmici, modifiche strutturali al GDPR potrebbero restringerne l’ambito applicativo e indebolire le tutele. È una partita che si gioca su dettagli tecnici ma con conseguenze strategiche enormi.
Il rafforzamento del ruolo del DPO annunciato dall’EDPS si inserisce in questa logica di presidio qualificato. Di fronte alla crescente complessità dei sistemi algoritmici e alla necessità di valutazioni interdisciplinari che incrociano privacy, diritti del lavoro e tutela della concorrenza, la figura del Data Protection Officer deve evolversi da controllore del compliance a interprete delle dinamiche di potere tecnologico. Il “Digital Clearinghouse 2.0” rappresenta l’infrastruttura per questa trasformazione: non più semplice coordinamento tra autorità nazionali, ma hub di competenze specializzate per affrontare casi che richiedono expertise trasversali.
La decisione di adeguatezza per il Brasile, dopo quella per l’Ufficio europeo dei brevetti, conferma la strategia di espansione dell’influenza normativa europea attraverso il riconoscimento di standard equivalenti. È soft power regolatorio che consolida il GDPR come benchmark globale proprio mentre internamente si discute di possibili alleggerimenti.
Rimane aperta la questione centrale: la semplificazione procedurale può coesistere con il rigore sostanziale senza compromettere l’efficacia del sistema? L’esperimento europeo di bilanciare competitività economica e tutela dei diritti fondamentali nell’era algoritmica è ancora in corso, ma i segnali di questa settimana suggeriscono una maturazione dell’approccio regolatorio verso maggiore selettività e precisione strategica. La vera sfida sarà mantenere questo equilibrio quando le pressioni competitive globali si intensificheranno ulteriormente.
📧 A cura di Nicola Fabiano
Avvocato - Studio Legale Fabiano
🌐 Studio Legale Fabiano: https://www.fabiano.law
🌐 Blog: https://www.nicfab.eu
🌐 DAPPREMO: www.dappremo.eu
Supporter
Telegram → @nicfabnews
Matrix → #nicfabnews:matrix.org
Mastodon → @nicfab@fosstodon.org
Bluesky → @nicfab.eu