<?xml version="1.0" encoding="UTF-8"?><rss xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:atom="http://www.w3.org/2005/Atom" version="2.0" xmlns:itunes="http://www.itunes.com/dtds/podcast-1.0.dtd" xmlns:googleplay="http://www.google.com/schemas/play-podcasts/1.0"><channel><title><![CDATA[DPO News]]></title><description><![CDATA[In un mondo dove dati e tecnologie evolvono ogni giorno, questo spazio offre idee e aggiornamenti per chi vuole stare al passo e un passo avanti. Che tu gestisca dati, progetti digitali o attività di compliance sei nel posto giusto.]]></description><link>https://sergioamatoavv.substack.com</link><image><url>https://substackcdn.com/image/fetch/$s_!wpT2!,w_256,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsergioamatoavv.substack.com%2Fimg%2Fsubstack.png</url><title>DPO News</title><link>https://sergioamatoavv.substack.com</link></image><generator>Substack</generator><lastBuildDate>Thu, 09 Jul 2026 01:12:09 GMT</lastBuildDate><atom:link href="https://sergioamatoavv.substack.com/feed" rel="self" type="application/rss+xml"/><copyright><![CDATA[DPO News]]></copyright><language><![CDATA[it]]></language><webMaster><![CDATA[avv.sergioamato@gmail.com]]></webMaster><itunes:owner><itunes:email><![CDATA[avv.sergioamato@gmail.com]]></itunes:email><itunes:name><![CDATA[DPO News]]></itunes:name></itunes:owner><itunes:author><![CDATA[DPO News]]></itunes:author><googleplay:owner><![CDATA[avv.sergioamato@gmail.com]]></googleplay:owner><googleplay:email><![CDATA[avv.sergioamato@gmail.com]]></googleplay:email><googleplay:author><![CDATA[DPO News]]></googleplay:author><itunes:block><![CDATA[Yes]]></itunes:block><item><title><![CDATA[🤖Episodio #16 | L'intelligenza artificiale ci "ruberà" il lavoro? Cosa dicono i dati]]></title><description><![CDATA[Non solo licenziamenti: mansioni, competenze e responsabilit&#224; nell&#8217;era dell&#8217;IA]]></description><link>https://sergioamatoavv.substack.com/p/episodio-16-lintelligenza-artificiale</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-16-lintelligenza-artificiale</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Tue, 07 Jul 2026 08:17:29 GMT</pubDate><content:encoded><![CDATA[<p>C&#8217;&#232; una narrazione che domina il dibattito pubblico sull&#8217;<strong>intelligenza artificiale</strong>: quella dell&#8217;<strong>ondata di licenziamenti di massa</strong>, dei milioni di <strong>posti di lavoro spazzati via</strong>, della <strong>sostituzione imminente</strong>.</p><p>&#200; una narrazione efficace e che fa notizia, alimenta convegni, titoli e post virali. Ha per&#242; un limite: i dati disponibili raccontano una storia - almeno parzialmente - diversa.</p><div class="subscription-widget-wrap-editor" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/subscribe?&quot;,&quot;text&quot;:&quot;Iscriviti&quot;,&quot;language&quot;:&quot;it&quot;}" data-component-name="SubscribeWidgetToDOM"><div class="subscription-widget show-subscribe"><div class="preamble"><p class="cta-caption">Grazie per aver letto! Iscriviti gratuitamente per ricevere nuovi Post e supportare il mio lavoro.</p></div><form class="subscription-widget-subscribe"><input type="email" class="email-input" name="email" placeholder="Digita la tua email&#8230;" tabindex="-1"><input type="submit" class="button primary" value="Iscriviti"><div class="fake-input-wrapper"><div class="fake-input"></div><div class="fake-button"></div></div></form></div></div><div><hr></div><h3><strong>Esposizione non significa sostituzione</strong></h3><p>Il punto di partenza resta il <em><strong><a href="https://www.ilo.org/sites/default/files/2025-05/WP140_web.pdf">working paper ILO-NASK di maggio 2025</a></strong></em>, una delle stime pi&#249; strutturate a livello globale.</p><p>Secondo l&#8217;<strong>Organizzazione Internazionale del Lavoro</strong>, circa <strong>un lavoratore su quattro</strong> nel mondo si trova in un&#8217;occupazione con una qualche <strong>esposizione all&#8217;IA generativa</strong>. Ma la stessa organizzazione chiarisce il punto centrale: <strong>esposizione non equivale a sostituibilit&#224;</strong>.</p><p>Lo scenario pi&#249; probabile non &#232; l&#8217;eliminazione del lavoro, ma la <strong>trasformazione delle mansioni</strong>. La fascia di esposizione pi&#249; elevata, quella in cui l&#8217;IA pu&#242; svolgere una parte molto rilevante dei compiti, riguarda circa il <strong>3,3% dell&#8217;occupazione globale</strong>. Un numero sicuramente rilevante, ma che non denota un&#8217;apocalisse alle porte.</p><div><hr></div><h3><strong>Cosa vede chi l&#8217;IA la costruisce: il report di Anthropic</strong></h3><p><strong>Anthropic</strong>, l&#8217;azienda che sviluppa <strong>Claude</strong>, ha pubblicato diversi report nell&#8217;ambito dell&#8217;<strong>Anthropic Economic Index</strong>, basati sull&#8217;analisi <em>privacy-preserving</em> dell&#8217;utilizzo di Claude.</p><p>Nel <strong><a href="https://www.anthropic.com/research/labor-market-impacts">report &#8220;Labor market impacts of AI: A new measure and early evidence&#8221; del 5 marzo 2026</a></strong>, Anthropic introduce una distinzione certamente utile: non basta chiedersi quali attivit&#224; siano teoricamente automatizzabili; bisogna guardare <strong>quali attivit&#224; sono effettivamente svolte con l&#8217;IA</strong> in contesti professionali.</p><blockquote><p>Il risultato &#232; coerente con gli altri dati: dal lancio dell&#8217;IA generativa <strong>non emerge</strong>, per ora, un <strong>aumento sistematico della disoccupazione</strong> tra i lavoratori pi&#249; esposti. Il segnale pi&#249; concreto riguarda invece i <strong>giovani tra 22 e 25 anni</strong>: nelle occupazioni pi&#249; esposte all&#8217;AI (specie generativa), l&#8217;ingresso nel mercato sembra pi&#249; lento. Tradotto: non pi&#249; licenziamenti, ma, semmai, <strong><mark data-color="#fafafa" style="background-color: rgb(250, 250, 250); color: rgb(0, 0, 0);">meno assunzioni</mark></strong><mark data-color="#fafafa" style="background-color: rgb(250, 250, 250); color: rgb(0, 0, 0);">.</mark></p></blockquote><p>Di fatti, il trend che si sta consolidando &#232; quello per cui l&#8217;IA tende ad assorbire sempre pi&#249; le <strong>attivit&#224; maggiormente ripetitive</strong>, preliminari o standardizzate. In questo senso il &#8220;problema&#8221; riguarda il modo in cui <strong>si impara un mestiere</strong>.</p><p>Molte professioni si apprendono proprio svolgendo quei compiti che oggi l&#8217;IA riesce a supportare o automatizzare: prime bozze, ricerche, sintesi, classificazioni, controlli, data entry, analisi preliminari, <em>customer care </em>di primo livello.</p><p>Se queste attivit&#224; spariscono o vengono notevolmente ridotte, il rischio &#232; interrompere il meccanismo di formazione dei giovani professionisti. E a questo punto devono essere ripensati i <strong>percorsi di ingresso, formazione e supervisione</strong>.</p><div><hr></div><h3><strong>Guardiamo ora all&#8217;altro lato: cosa ci dice l&#8217;uso reale di ChatGPT</strong></h3><p>A questa fotografia si aggiunge un dato importante: <strong>come le persone usano davvero questi strumenti</strong>.</p><p><strong>OpenAI</strong>, nello <strong><a href="https://www.nber.org/papers/w34255">studio &#8220;How people are using ChatGPT&#8221; del settembre 2025</a></strong>, mostra che l&#8217;uso di ChatGPT non &#232; concentrato solo sul lavoro. Circa il <strong>30% dell&#8217;utilizzo consumer &#232; </strong><em><strong>work-related</strong></em>, mentre circa il <strong>70% riguarda attivit&#224; non lavorative</strong>. Le tre categorie pi&#249; frequenti sono guida pratica, ricerca di informazioni e scrittura (quest&#8217;ultima &#232; la principale attivit&#224; lavorativa).</p><p>Ancora pi&#249; interessante &#232; la distinzione per cui i <strong>modelli di utilizzo</strong> possono essere descritti anche in termini di:</p><ul><li><p><strong>chiedere</strong>;</p></li><li><p><strong>fare</strong>; ed</p></li><li><p><strong>esprimere</strong>.</p></li></ul><p>Circa la met&#224; dei messaggi (49%) &#232; &#8220;<em>Asking</em>&#8221;: l&#8217;<strong>utente chiede consiglio</strong>, contesto, supporto decisionale. Il 40% &#232; &#8220;<em>Doing</em>&#8221;: l&#8217;<strong>utente chiede al modello di produrre un </strong><em><strong>output</strong></em>, come una bozza, un piano, un codice, una sintesi. Il restante 11% &#232; invece &#8220;<em>Expressing</em>&#8221;, solitamente coinvolgendo <strong>riflessioni personali, esplorazione e gioco</strong>.</p><p>Questo dato ridimensiona una parte dell&#8217;allarme: l&#8217;IA non viene usata come &#8220;sostituto operativo&#8221; del lavoratore, ma spesso - e molto pi&#249; frequentemente - come <strong>assistente cognitivo</strong> o <em>sparring partner</em>: aiuta a decidere, scrivere, cercare, verificare, organizzare ma, almeno per il momento, <strong>non sostituisce</strong>.</p><p>A questa lettura si aggiungono i <strong>report pi&#249; recenti di OpenAI sull&#8217;economia dell&#8217;IA e sul mercato del lavoro europeo</strong> (tra tutti l&#8217;<strong><a href="https://cdn.openai.com/pdf/openai-eu-economic-blueprint-jan-2026.pdf">EU Economic Blueprint 2.0 di gennaio 2026</a></strong>), da cui emerge che l&#8217;impatto dell&#8217;IA non dipende solo da ci&#242; che la tecnologia pu&#242; fare, ma da <strong>come viene utilizzata</strong>.</p><p>Il punto, infatti, non &#232; solo che i modelli stanno diventando pi&#249; capaci, ma che si sta aprendo un divario tra<strong> capacit&#224; tecnica</strong> e <strong>uso effettivo</strong>. OpenAI lo definisce &#8220;<em><strong>capability overhang</strong></em>&#8221;: l&#8217;IA &#232; gi&#224; in grado di svolgere attivit&#224; sempre pi&#249; complesse, ma l&#8217;economia, le imprese e le amministrazioni non assorbono queste capacit&#224; alla stessa velocit&#224;. Questo conferma un punto essenziale: l&#8217;impatto sul lavoro non dipende solo da <strong>ci&#242; che l&#8217;IA sa fare</strong>, ma da <strong>come viene adottata, integrata e governata nei processi reali</strong>.</p><p>Sempre secondo il Blueprint europeo di OpenAI, nel 2025 circa il <strong>20% delle imprese UE dichiara di utilizzare sistemi di IA</strong>, ma il dato sale al <strong>55% tra le grandi imprese</strong> e resta poco sopra il <strong>17% tra le piccole</strong>. Questo crea un possibile nuovo divario: non tra lavoratori sostituiti e lavoratori astrattamente &#8220;salvi&#8221;, ma tra organizzazioni capaci di integrare l&#8217;IA nei processi e organizzazioni che restano ferme a un uso superficiale o occasionale.</p><p>Il recente studio <strong><a href="https://cdn.openai.com/pdf/the-ai-jobs-transition-framework-for-the-eu.pdf">AI Jobs Transition Framework for the EU di giugno 2026</a></strong> rafforza questa impostazione. Applicando il modello a oltre 2.600 occupazioni europee, il report stima che il <strong>14% dell&#8217;occupazione UE ricada in lavori con maggiore potenziale di automazione</strong>, il <strong>27% in lavori destinati soprattutto a riorganizzarsi</strong>, il <strong>12% in lavori che potrebbero addirittura crescere con l&#8217;IA</strong> e il <strong>47% in lavori con cambiamento meno immediato</strong>.</p><blockquote><p>Per l&#8217;Italia il dato &#232; ancora pi&#249; interessante: il framework colloca il 16% dell&#8217;occupazione nella categoria a maggiore potenziale di automazione, il 24% nella riorganizzazione, il 10% nei lavori che potrebbero crescere con l&#8217;IA e il 51% nei lavori con cambiamento meno immediato. OpenAI precisa per&#242; che queste differenze non misurano la preparazione dei singoli Paesi, ma riflettono la loro struttura occupazionale. Il rischio non &#232; dunque uguale per tutti e non dipende solo dalla tecnologia in s&#233;, ma dal modo in cui un&#8217;economia &#232; composta.</p></blockquote><p>&#200; interessante notare come il <em>framework </em>non valuta solo l&#8217;esposizione tecnica, ma anche la &#8220;<em><strong>necessit&#224; umana</strong></em>&#8221;: l&#8217;IA pu&#242; supportare l&#8217;avvocato, il medico, l&#8217;insegnante, l&#8217;assistente sociale o il funzionario pubblico, ma in molti casi resta necessario un <strong>soggetto umano responsabile, identificabile e chiamato a rispondere delle decisioni</strong>. Questo &#232; il punto di contatto anche con gli <strong>aspetti normativi e di </strong><em><strong>compliance</strong></em>: non basta chiedersi se un sistema possa generare un <em>output</em>; bisogna chiedersi chi decide, chi controlla, chi valida e chi risponde dell&#8217;eventuale errore.</p><div><hr></div><h3><strong>I numeri (reali) sui licenziamenti</strong></h3><p>Sul fronte dei licenziamenti dichiaratamente attribuiti all&#8217;IA, la fonte pi&#249; solida sul <strong>mercato USA</strong> resta <strong><a href="https://www.challengergray.com/wp-content/uploads/2026/07/Challenger-Report-June2600986996.pdf">Challenger, Gray &amp; Christmas, che traccia questa causale dal 2023</a></strong>.</p><p>Il report pi&#249; recente - che risale a giugno 2026 - fotografa un quadro in rapida evoluzione: a giugno, l&#8217;<strong>IA</strong> &#232; stata la <strong>prima ragione dichiarata di </strong><em><strong>job cuts</strong> </em>- cio&#232; di <strong>tagli del personale annunciati</strong> dai datori di lavoro statunitensi - per il quarto mese consecutivo: 14.029 tagli annunciati nel mese, pari al <strong>31% del totale mensile</strong>. Nel primo semestre 2026, i tagli attribuiti all&#8217;IA arrivano a 101.743, circa il <strong>23% di tutti i tagli annunciati</strong>; dal 2023, anno in cui Challenger ha iniziato a tracciare l&#8217;IA come causale autonoma, l&#8217;IA &#232; stata citata in 173.568 annunci di tagli.</p><p>La <strong>tecnologia resta dunque l&#8217;epicentro di questo nuovo paradigma</strong>: 15.503 licenziamenti annunciati nel solo mese di giugno e 139.156 dall&#8217;inizio del 2026, con un aumento dell&#8217;83% rispetto allo stesso periodo del 2025. Challenger collega questa dinamica alla <strong>riorganizzazione delle imprese tecnologiche intorno all&#8217;IA</strong>: automazione di ruoli, revisione degli organici e riallocazione dei budget verso nuove capacit&#224;.</p><blockquote><p>Sono numeri certamente significativi, ma allo stesso tempo sarebbe sbagliato leggerli come prova di una sostituzione generalizzata del lavoro umano. Lo stesso report Challenger mostra infatti che i <strong>licenziamenti complessivi di giugno</strong> sono in <strong>calo del 53%</strong> rispetto a maggio dello stesso anno, e che nel <strong>primo semestre 2026</strong> il totale dei tagli annunciati &#232; <strong>inferiore del 40%</strong> rispetto al <strong>primo semestre 2025</strong>. Va inoltre ricordato che le statistiche di Challenger misurano i <strong>tagli annunciati</strong> dai datori di lavoro statunitensi, e non necessariamente <strong>licenziamenti gi&#224; eseguiti</strong> o <strong>definitivamente perfezionati</strong>.</p></blockquote><p>Il punto, quindi, non &#232; negare che l&#8217;IA stia gi&#224; incidendo sulle decisioni occupazionali, ma qualificare correttamente il fenomeno. La <strong>causale &#8220;IA&#8221; </strong>indicata da un&#8217;azienda non &#232; sempre la prova che un lavoratore sia stato <strong>sostituito direttamente</strong> da un sistema di intelligenza artificiale. Pu&#242; indicare un processo di automazione effettiva, ma anche di riorganizzazione, riduzione dei costi, revisione dei modelli operativi o riallocazione degli investimenti. In alcuni casi, &#8220;IA&#8221; pu&#242; diventare anche una formula pi&#249; spendibile per raccontare <strong>processi di </strong><em><strong>restructuring </strong></em><strong>che avrebbero avuto luogo comunque</strong>.</p><p>Per questo, il dato Challenger va certamente preso sul serio, ma non isolato dal resto dell&#8217;analisi. Ci dice che l&#8217;IA &#232; ormai entrata nel linguaggio e nelle strategie di gestione - e in alcuni casi riduzione - del personale, ma non dimostra, da solo, che siamo davanti a una sostituzione di massa del lavoro umano. Semmai conferma una lettura pi&#249; precisa: l&#8217;<strong>IA sta accelerando processi di riorganizzazione</strong>, soprattutto nei settori pi&#249; digitali e pi&#249; esposti, e sta diventando un fattore sempre pi&#249; dichiarato nelle <strong>scelte aziendali su organici, budget e competenze</strong>.</p><div class="subscription-widget-wrap-editor" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/subscribe?&quot;,&quot;text&quot;:&quot;Iscriviti&quot;,&quot;language&quot;:&quot;it&quot;}" data-component-name="SubscribeWidgetToDOM"><div class="subscription-widget show-subscribe"><div class="preamble"><p class="cta-caption"></p></div><form class="subscription-widget-subscribe"><input type="email" class="email-input" name="email" placeholder="Digita la tua email&#8230;" tabindex="-1"><input type="submit" class="button primary" value="Iscriviti"><div class="fake-input-wrapper"><div class="fake-input"></div><div class="fake-button"></div></div></form></div></div><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/?utm_source=substack&utm_medium=email&utm_content=share&action=share&quot;,&quot;text&quot;:&quot;Condividi DPO News&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/?utm_source=substack&utm_medium=email&utm_content=share&action=share"><span>Condividi DPO News</span></a></p><p></p>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #15 | Adottare un software per il monitoraggio emotivo dei lavoratori può violare GDPR e Statuto dei lavoratori]]></title><description><![CDATA[Il nuovo provvedimento del Garante su AI e raccolta di informazioni come emozioni e stati d'animo dei lavoratori: cosa rischiano chi sviluppa il software di benessere aziendale e chi lo adotta.]]></description><link>https://sergioamatoavv.substack.com/p/episodio-15-adottare-un-software</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-15-adottare-un-software</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Fri, 29 May 2026 12:00:35 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!LclH!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Con il recente <strong>provvedimento n. 342 del 14 maggio 2026</strong> (<a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10255494">doc. web n. 10255494</a>), reso noto con il comunicato stampa del 28 maggio, il Garante per la protezione dei dati personali ha rivolto un avvertimento alla startup italiana Myndoor S.r.l. che ha sviluppato un <em>plug-in</em> per Slack e Teams capace di rilevare, tramite <strong>intelligenza artificiale</strong> e <strong>analisi semantica delle chat</strong>, condizioni di <strong>potenziale stress dei dipendenti</strong> che scelgano volontariamente di utilizzarlo e di restituire appositi suggerimenti.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!HOjX!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!HOjX!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 424w, https://substackcdn.com/image/fetch/$s_!HOjX!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 848w, https://substackcdn.com/image/fetch/$s_!HOjX!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 1272w, https://substackcdn.com/image/fetch/$s_!HOjX!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!HOjX!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png" width="720" height="730" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/adbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:730,&quot;width&quot;:720,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:528833,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/199731335?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!HOjX!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 424w, https://substackcdn.com/image/fetch/$s_!HOjX!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 848w, https://substackcdn.com/image/fetch/$s_!HOjX!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 1272w, https://substackcdn.com/image/fetch/$s_!HOjX!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fadbfb47d-f9b9-4795-b9c7-868a7f2fd4ef_720x730.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>Si tratta di un <strong>avvertimento</strong> ex art. 58, par. 2, lett. a) del GDPR, ossia uno strumento prognostico che segnala un rischio di violazione futura. Dal caso possono ricavarsi due diversi &#8212; seppur in parte sovrapponibili &#8212; profili di interesse per le aziende, e in particolare sia per <strong>chi sviluppa software</strong> destinati ad interagire e trattare dati dei dipendenti di terzi sia per <strong>chi li acquista per utilizzarli</strong> verso i propri dipendenti.</p><div><hr></div><h2><strong>Chi sviluppa: oneri e responsabilit&#224;</strong></h2><p>La Societ&#224;, qualificatasi come <strong>titolare del trattamento dei dati degli utenti del servizio</strong>, riveste tale ruolo a prescindere dalla modalit&#224; di vendita ed erogazione del servizio. Il Garante ne ricava un messaggio per chi questi sistemi li progetta: la conformit&#224; dipende anche e soprattutto dalle <strong>scelte fatte in fase di sviluppo</strong> (Considerando 78 del GDPR). In concreto significa due cose:</p><ol><li><p>definire correttamente i c.d. <strong>ruoli privacy</strong>, costruendo il servizio in modo che il fornitore resti l&#8217;unico titolare e che al datore di lavoro sia tecnicamente precluso l&#8217;accesso a tali tipologie di dati;</p></li><li><p>rinunciare alle funzioni prive di <strong>base giuridica o in contrasto con le norme di settore</strong>: qui, il riferimento &#232; proprio alla funzione che fornisce al datore il report sullo stress dei propri dipendenti. Il Garante sottolinea che nella stessa direzione va anche l&#8217;<strong>art. 5 dell&#8217;AI Act sulle pratiche vietate</strong>, gi&#224; in vigore, il quale vieta l&#8217;utilizzo di <strong>sistemi di IA che possano inferire le emozioni sul luogo di lavoro</strong>.</p></li></ol><div><hr></div><h2><strong>Chi adotta: limiti e obblighi</strong></h2><p>In linea di principio, acquistare un servizio per i propri dipendenti, senza ricevere alcun dato, &#232; lecito e neutro: vale la logica dei contratti a favore di terzo (art. 1411 c.c.) con cui si attiva, ad esempio, una polizza sanitaria.</p><p>Il problema nasce quando, come potenzialmente nel caso in esame, il datore adotta <strong>strumenti che raccolgono informazioni personali e invasive sui propri dipendenti</strong>, come ad esempio un report sui livelli di stress. Le informazioni sulla <strong>sfera emotiva dei dipendenti</strong> rientrano nell&#8217;art. 113 del Codice Privacy, che rinvia allo <strong>Statuto dei lavoratori</strong> (e nello specifico all&#8217;art. 8 della L. 300/1970): la loro conoscibilit&#224; da parte del datore &#232; preclusa, con una violazione per di pi&#249; <strong>penalmente sanzionata</strong> (art. 171 del Codice Privacy).</p><div><hr></div><h2><strong>Perch&#233; neanche il dato aggregato &#232; sicuro</strong></h2><p>Si potrebbe pensare che, ricevendo solo un <strong>report aggregato, pseudonimizzato</strong> e <strong>generato con un numero considerevole di utenti attivi</strong>, il datore sia al riparo da queste contestazioni. Il Garante, per&#242;, la pensa diversamente. Pur dando atto che, nell&#8217;unico caso concreto, l&#8217;azienda destinataria non poteva <strong>re-identificare i propri dipendenti</strong>, l&#8217;Autorit&#224; ritiene impossibile escludere che, in futuro, un datore che richieda quel report risalga all&#8217;identit&#224; dei propri lavoratori, soprattutto nelle realt&#224; piccole o con personale poco numeroso e caratterizzato.</p><p>In quei contesti l&#8217;<strong>aggregazione</strong>, da sola, <strong>non &#232; misura sufficiente a impedire la re-identificazione per inferenza</strong>, e la sola trasmissione del report pu&#242; verosimilmente integrare una <strong>violazione del quadro a tutela della dignit&#224; di chi lavora</strong> (artt. 5, 6, 9, 24, 25 e 88 del GDPR, 2-ter e 113 del Codice Privacy). Da qui l&#8217;avvertimento: la Societ&#224; deve impedire qualsiasi forma di messa a disposizione di quei dati, anche indiretta o via report, in favore dei datori di lavoro.</p><div><hr></div><h2><strong>Implicazioni pratiche</strong></h2><p><strong>Per le aziende che sviluppano tecnologia</strong>, &#232; bene tenere a mente che progettare un servizio in un&#8217;ottica di <em>privacy by design</em> include la rinuncia a funzioni che, pur tecnicamente possibili e magari appetibili sul mercato, espongono il <em>provider</em> stesso e il cliente-datore a un <strong>rischio significativo</strong> sotto il versante <em><strong>data protection</strong></em> e <strong>giuslavoristico</strong>.</p><p><strong>Per le aziende che adottano la tecnologia</strong>, prima di acquistare un servizio o strumento che comporti una raccolta di dati dei propri dipendenti, specie se particolarmente invasivi o afferenti emozioni o stati d&#8217;animo nel contesto lavorativo, &#232; necessaria una <strong>valutazione preventiva che tenga conto del GDPR, della normativa giuslavoristica e dell&#8217;AI Act</strong>. E questo vale anche quando i dipendenti attivano il servizio volontariamente e la finalit&#224; dichiarata &#232; il benessere interno.</p><div><hr></div><blockquote><p>"Le informazioni riguardanti la sfera emotiva dei dipendenti costituiscono informazioni la cui conoscibilit&#224; &#232; preclusa al datore di lavoro" - Garante per la protezione dei dati personali, provvedimento n. 342 del 14 maggio 2026</p></blockquote><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://calendar.app.google/dyHvASm1VeT1c6cTA&quot;,&quot;text&quot;:&quot;Fissa un momento di confronto con me&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://calendar.app.google/dyHvASm1VeT1c6cTA"><span>Fissa un momento di confronto con me</span></a></p><p></p>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #14 | Pixel di tracciamento nelle email: le nuove regole e chi deve adeguarsi]]></title><description><![CDATA[Arrivano le nuove Linee Guida del Garante privacy sulla gestione dei pixel di tracciamento: cosa cambia per chi fa email marketing, newsletter e comunicazioni istituzionali]]></description><link>https://sergioamatoavv.substack.com/p/episodio-14-pixel-di-tracciamento</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-14-pixel-di-tracciamento</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Wed, 22 Apr 2026 10:04:05 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!wwqc!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!wwqc!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!wwqc!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 424w, https://substackcdn.com/image/fetch/$s_!wwqc!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 848w, https://substackcdn.com/image/fetch/$s_!wwqc!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!wwqc!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!wwqc!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png" width="1456" height="971" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/a7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:971,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:1522716,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/195015331?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!wwqc!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 424w, https://substackcdn.com/image/fetch/$s_!wwqc!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 848w, https://substackcdn.com/image/fetch/$s_!wwqc!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!wwqc!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa7b46b89-4bf1-4a6b-b685-5ecf02f1baba_1536x1024.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>Il 17 aprile 2026 il Garante privacy ha adottato le <strong><a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10241943">linee guida italiane sull&#8217;uso dei tracking pixel nelle comunicazioni di posta elettronica</a></strong>. Il provvedimento n. 284, firmato dal presidente Stanzione, &#232; in corso di pubblicazione in Gazzetta Ufficiale: da quel momento decorrono <strong>sei mesi per adeguarsi</strong>.</p><div><hr></div><h4><strong>Contesto di riferimento e finalit&#224; perseguite</strong></h4><p>Tra la fine del 2025 e l&#8217;inizio del 2026, l&#8217;Autorit&#224; ha condotto una serie di accertamenti ispettivi, di carattere conoscitivo, rispettivamente presso <strong>provider di servizi di posta elettronica</strong> ed un <strong>fornitore di piattaforma cd. di </strong><em><strong>marketing automation</strong></em> per la gestione professionale del servizio di <strong>inoltro comunicazioni di posta elettronica per conto di committenti</strong>. All&#8217;esito di tale attivit&#224; ispettiva &#232; stato possibile accertare, tra l&#8217;altro, che i <em>tracking pixel</em> vengono utilizzati pressoch&#233; nella totalit&#224; dei casi, sebbene per il conseguimento di molteplici scopi diversi: garantire la corretta ricezione delle e-mail (cd. <em>deliverability</em>), contrastare lo spam, misurare l&#8217;audience e le performance della comunicazione (intesa come apertura o lettura delle e-mail o <em>download</em> di allegati), ed anche per identificare attivit&#224; di <em>phishing </em>o anche per esigenze di formattazione. Il loro impiego pu&#242; quindi riguardare tanto le <strong>comunicazioni di tipo commerciale</strong> <strong>e promozionale</strong> quanto quelle pi&#249; propriamente <strong>di servizio o a carattere istituzionale e informativo</strong>.</p><div><hr></div><h4><strong>Cosa sono i tracking pixel</strong></h4><p>Un <em><strong>tracking pixel</strong> </em>&#232; un&#8217;immagine trasparente, grande un solo pixel, <strong>inserita nel corpo di una email</strong>. Nel momento in cui apri il messaggio, quell&#8217;immagine viene <strong>scaricata dal server</strong> del mittente, che in quel momento <strong>acquisisce informazioni</strong> quali: la <strong>conferma dell&#8217;apertura</strong>, <strong>l&#8217;indirizzo IP del destinatario</strong>, il <strong>tipo di dispositivo</strong>, i <strong>tempi e il numero di riaperture successive</strong>. Il meccanismo scatta solo se hai abilitato il <em>download</em> automatico delle immagini nel tuo client di posta. Qualora, invece, l&#8217;utente imposti la funzione di lettura dell&#8217;e-mail esclusivamente in formato testo, il <em>tracking pixel</em>, al pari di qualsiasi altra immagine, non sar&#224; scaricato e dunque non potr&#224; tracciare il comportamento del destinatario della comunicazione.</p><div><hr></div><h4><strong>Il quadro normativo</strong></h4><p>Il Garante inquadra i tracking pixel nell&#8217;art. 122 del Codice Privacy, la norma che recepisce la <strong>direttiva e-Privacy</strong> e regola l&#8217;<strong>accesso al terminale dell&#8217;utente</strong>. La logica &#232; la stessa dei cookie: inserire un elemento nel dispositivo di qualcuno, e poi leggerne le informazioni, &#232; un&#8217;operazione che richiede <strong>consenso preventivo</strong>, salvo eccezioni. Le linee guida in oggetto confermano l&#8217;impostazione gi&#224; espressa dall&#8217;<strong><a href="https://www.edpb.europa.eu/system/files/2025-02/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_it.pdf">EDPB nelle Linee Guida 2/2023</a></strong> sull&#8217;art. 5, par. 3 della direttiva e-Privacy: i pixel rientrano in pieno in quella fattispecie, con piena applicabilit&#224; del Regolamento per gli aspetti non coperti dalla direttiva.</p><div><hr></div><h4><strong>La novit&#224; pi&#249; rilevante: il regime del consenso preventivo e dell&#8217;opt-out</strong></h4><p>Il caso tipico in cui &#232; necessario <strong>richiedere un consenso</strong> all&#8217;utente sono le attivit&#224; di DEM (<em>Direct Email Marketing</em>), specie laddove si misuri il<strong> tasso di apertura individuale</strong> per <strong>ottimizzare le campagne</strong> e <strong>profilare preferenze</strong>. In questi contesti, il Garante chiarisce che il <strong>consenso al tracciamento</strong> pu&#242; essere <strong>incorporato nel consenso pi&#249; generale alla ricezione delle comunicazioni promozionali</strong>, a condizione che la <strong>richiesta sia formulata in modo neutro</strong>, senza pressioni, e che l&#8217;informativa espliciti chiaramente l&#8217;uso dei pixel. Il consenso dovr&#224; essere raccolto preferibilmente <strong>al momento stesso dell&#8217;acquisizione dell&#8217;indirizzo di posta elettronica </strong>in questione, dopo che - in ossequio alle regole di carattere generale - l&#8217;interessato sia stato debitamente informato. Sul<strong> piano operativo </strong>questo significa che il titolare che raccoglie il consenso al tracciamento via pixel deve tenere un <strong>registro delle preferenze espresse da ciascun utente</strong>, con <em><strong>timestamp</strong></em>, <strong>versione dell&#8217;informativa</strong> mostrata al momento della raccolta, e <strong>traccia delle eventuali revoche successive</strong> (comprese quelle granulari). &#200; infatti necessario che l&#8217;utente che abbia acconsentito al trattamento possa successivamente <strong>revocare in modo agevole le scelte pregresse</strong>, anche in modo <strong>granulare</strong>: optando cio&#232; per la revoca del consenso unico prestato, con l&#8217;effetto di impedire la futura ricezione di ulteriori messaggi, oppure<strong> revocandolo solo parzialmente</strong>, con<strong> esclusivo riferimento al tracciamento connesso alla ricezione di </strong><em><strong>tracking pixel</strong></em>.</p><blockquote><p>La richiesta di consenso potrebbe essere formulata come segue: &#8220;<em>Acconsento a ricevere comunicazioni promozionali da [Azienda] via email. Le email potranno contenere pixel di tracciamento che rilevano l&#8217;apertura del messaggio e informazioni tecniche associate (indirizzo IP, dispositivo, orario). Puoi revocare questo consenso in qualsiasi momento, anche solo per il tracciamento. [Leggi l&#8217;informativa completa]</em>&#8220;</p></blockquote><div><hr></div><h4><strong>Le eccezioni al consenso</strong></h4><p>Il provvedimento individua tre categorie di casi in cui il <strong>consenso non &#232;</strong>, di norma, <strong>richiesto</strong>:</p><ul><li><p><strong>Analisi statistiche aggregate</strong>: se il pixel &#232; il medesimo per tutti i destinatari di una campagna - e non univoco per singolo utente - e risulti funzionale all&#8217;effettuazione di un <strong>conteggio di tipo statistico</strong> che misuri la <strong>percentuale globale di apertura dei messaggi</strong>, utilizzato anche al fine di migliorare la<em> deliverability </em>delle e-mail, come pure per contrastare fenomeni di spam;</p></li><li><p><strong>Misure di sicurezza</strong>: quando il pixel serve ad implementare misure di sicurezza che interessano il <strong>processo di autenticazione dell&#8217;utente</strong>, il <strong>reset password</strong>, la <strong>risposta a un esercizio di diritti</strong>, etc. - sia pure riferito al terminale riconducibile ad un singolo utente - il trattamento risulta giustificato dall&#8217;<strong>esigenza di sicurezza</strong> e di <strong>fornitura del servizio richiesto</strong>;</p></li><li><p><strong>Comunicazioni istituzionali o di servizio con obbligo giuridico di invio</strong>: laddove il pixel sia contenuto in <strong>messaggi istituzionali </strong>contenenti indicazioni utili su come <strong>prevenire azioni di </strong><em><strong>phishing </strong></em><strong>o frodi</strong> rispetto a minacce contingenti, <strong>modifiche contrattuali</strong>, <strong>scadenze contributive</strong>, <strong>campagne istituzionali</strong>, comunicazioni relative a <strong>incidenti di sicurezza</strong>. In questi casi l&#8217;interesse alla presa di conoscenza effettiva del destinatario &#232; ritenuto prevalente e scisso dal presupposto di liceit&#224; del preventivo consenso dell&#8217;utente.</p></li></ul><div><hr></div><h4><strong>Chi deve raccogliere il consenso: piattaforme o aziende?</strong></h4><p>Questa &#232; la domanda operativa pi&#249; rilevante e la risposta dipende da <strong>chi decide se usare i pixel e per quale finalit&#224;</strong>. Come sempre, il <strong>ruolo va definito caso per caso</strong> in base al principio di <em>accountability</em>, con possibile applicazione dell&#8217;art. 26 del GDPR sulla contitolarit&#224;. Nel caso di piattaforme che mettono a disposizione il pixel come <strong>funzionalit&#224; tecnica</strong>, l&#8217;azienda cliente &#232; responsabile dell&#8217;attivazione, selezionando per quale campagna, con quale finalit&#224; utilizzare lo strumento. In questo modello la <strong>piattaforma agisce tendenzialmente come responsabile del trattamento</strong> ex art. 28 del GDPR, mentre l&#8217;<strong>azienda cliente in qualit&#224; di titolare del trattamento</strong>, dovendo conseguentemente raccogliere e gestire la richiesta di consenso verso l&#8217;utente. Diverso &#232; il caso, ad esempio, di chi <strong>non usa una propria lista</strong> ma &#8220;noleggia&#8221; liste di contatti da un provider che invia messaggi informativi o promozionali per conto del committente. Qui il provider gestisce direttamente l&#8217;invio ai destinatari e il conseguente tracciamento e dovrebbe aver raccolto un consenso a monte dall&#8217;utente - anche per quanto attiene all&#8217;utilizzo dei pixel. Ci&#242;, fermo restando che la qualifica dei ruoli rilevanti ai fini della normativa <em>data protection</em> dovr&#224; essere definita caso per caso in base al <strong>flusso sostanziale</strong> del trattamento e agli <strong>accordi negoziali intercorrenti</strong> tra le parti, anche con eventuale applicazione dell'art. 26 GDPR in materia di contitolarit&#224;.</p><div><hr></div><blockquote><p>I prossimi passi? Mappare i flussi email in uso e verificare se e dove sono presenti pixel di tracciamento. Per ciascuno, sar&#224; da verificare se si rientra in una delle deroghe o se, invece, sia necessario richiedere un consenso all&#8217;utente. Bisogner&#224; conseguentemente aggiornare l&#8217;informativa privacy con un riferimento esplicito ai pixel e alle finalit&#224; del loro utilizzo e implementare il meccanismo di revoca granulare, verificando con i fornitori delle piattaforme (Mailchimp, Brevo, HubSpot, etc.) se e quando rilasceranno le funzionalit&#224; necessarie sotto un profilo tecnico.</p></blockquote><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://calendar.app.google/AtgGDrYWHmnC1Mtt9&quot;,&quot;text&quot;:&quot;Prenota un momento di confronto&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://calendar.app.google/AtgGDrYWHmnC1Mtt9"><span>Prenota un momento di confronto</span></a></p><p></p>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #13 | Il nuovo template sulla DPIA dell'EDPB: struttura, novità operative e contesto regolatorio]]></title><description><![CDATA[Cosa cambia nella pratica per titolari, uffici legali e DPO, e perch&#233; questo template &#232; diverso dai precedenti]]></description><link>https://sergioamatoavv.substack.com/p/episodio-13-il-nuovo-template-sulla</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-13-il-nuovo-template-sulla</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Wed, 15 Apr 2026 08:45:35 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!1gAD!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!1gAD!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!1gAD!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 424w, https://substackcdn.com/image/fetch/$s_!1gAD!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 848w, https://substackcdn.com/image/fetch/$s_!1gAD!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!1gAD!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!1gAD!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png" width="1456" height="971" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/ece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:971,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:1522716,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/194274699?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!1gAD!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 424w, https://substackcdn.com/image/fetch/$s_!1gAD!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 848w, https://substackcdn.com/image/fetch/$s_!1gAD!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!1gAD!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fece920da-dc86-48a9-8489-a776cced8f9d_1536x1024.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>L&#8217;EDPB (<em>European Data Protection Board</em>) ha pubblicato il 10 marzo 2026 il proprio <strong><a href="https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/edpb-dpia-template_en">modello ufficiale di DPIA</a></strong> (<em>Data Protection Impact Assessment</em>), accompagnato da un documento esplicativo (<em><strong><a href="https://www.edpb.europa.eu/system/files/2026-04/edpb_dpia_template_explainer_2026_v1_en.pdf">explainer</a></strong></em>) che ne chiarisce la logica compilativa. Il pacchetto &#232; aperto a consultazione pubblica fino al <strong>9 giugno 2026</strong>.</p><p>Si tratta di una risposta a un problema reale legata a questo adempimento cos&#236; centrale nell&#8217;ecosistema di <em>compliance data protection </em>di ciascuna organizzazione: la <strong>frammentazione metodologica</strong>. Ogni organizzazione, ogni consulente, ogni autorit&#224; di controllo nazionale ha finora lavorato con strumenti propri. Il template dell&#8217;EDPB punta a definire un minimo comune denominatore europeo, accettato da tutte le Autorit&#224; di controllo, che riduca l&#8217;incertezza applicativa senza precludere alle organizzazioni di utilizzare la metodologia di <em>risk management </em>che preferiscono.</p><p>Le organizzazioni rimangono infatti libere di condurre la propria DPIA con gli strumenti che preferiscono - ISO 31000, EBIOS RM, il tool PIA della CNIL, o qualsiasi altro metodo consolidato. Ci&#242; che il template standardizza &#232; il formato in cui i risultati vengono documentati e presentati alle autorit&#224; di controllo, non il percorso con cui ci si arriva.</p><div><hr></div><p><strong>La struttura: sette sezioni, cinquanta istruzioni operative</strong></p><p>Il documento &#232; articolato in <strong>una sezione introduttiva</strong> (sezione 0) e <strong>sei sezioni operative</strong> (da 1 a 6), ciascuna accompagnata nell&#8217;<em>explainer</em> da istruzioni numerate - cinquanta in totale - che spiegano con precisione cosa inserire in ogni campo. Non &#232; un&#8217;introduzione teorica alla DPIA: &#232; una guida operativa, pensata sia per i titolari che per le autorit&#224; di controllo.</p><p>La <strong>sezione 0 </strong>&#232; dedicata alla <strong>panoramica del trattamento</strong>: titolare (con gestione esplicita dei contitolari), responsabili e sub-responsabili, denominazione del trattamento con raccordo al registro delle attivit&#224; ex art. 30, pianificazione temporale, e una scheda tecnica della DPIA che include <em>versioning</em>, team coinvolto, perimetro della valutazione e data di validazione formale. Su quest&#8217;ultimo punto l&#8217;<em>explainer</em> &#232; netto: la DPIA deve essere <strong>approvata da un responsabile designato dell&#8217;organizzazione</strong> (AD, CEO o equivalente) come documento completo e definitivo. Non &#232; un adempimento del DPO: &#232; un atto dell&#8217;organizzazione in qualit&#224; di titolare del trattamento.</p><p>La <strong>sezione 1</strong> introduce la <strong>descrizione sistematica del trattamento</strong>, che si articola su quattro livelli. Il primo &#232; la descrizione di alto livello: dati personali trattati con identificazione delle categorie particolari, finalit&#224; specifiche ed esplicite, usi secondari o compatibili, natura/portata/contesto. Il secondo livello &#232; la descrizione funzionale: il trattamento va <strong>decomposto in fasi </strong>(raccolta, uso, conservazione, comunicazione e trasferimento, cancellazione e distruzione), documentando l&#8217;intera catena titolare-responsabile-sub-responsabile. Il terzo livello riguarda i <strong>mezzi di trattamento e gli asset di supporto</strong>: server, dispositivi, applicativi, API, modelli, personale, contratti con i responsabili. L&#8217;<em>explainer</em> precisa che vanno inclusi solo gli <strong>asset rilevanti per l&#8217;analisi del rischio</strong> - quelli la cui compromissione avrebbe un impatto non trascurabile sui diritti degli interessati. Il quarto livello, spesso trascurato, riguarda la <strong>conformit&#224; ai codici di condotta approvati</strong>.</p><p>La <strong>sezione 2</strong> &#232; l&#8217;<strong>analisi del trattamento</strong>. Copre la <strong>base giuridica</strong> - da analizzare per ciascuna finalit&#224;, incluse quelle <strong>secondarie o compatibili</strong> - e le deroghe ex art. 9(2) GDPR per le categorie particolari di dati. Segue la <strong>minimizzazione dei dati </strong>con giustificazione analitica per ciascun dato trattato, periodi di conservazione, destinatari, e metriche di qualit&#224; del dato. La parte pi&#249; articolata &#232; la sezione 2.3, dedicata alle <strong>misure a supporto della conformit&#224;</strong>: l&#8217;<em>explainer</em> distingue cinque sottocategorie - principi art. 5, diritti degli interessati, altri requisiti GDPR (consenso, responsabili del trattamento, trasferimenti internazionali), <em>privacy by design e by default</em>, sicurezza del trattamento - e per ciascuna richiede di indicare <strong>lo stato di implementazione</strong> con tre livelli: pianificato, parzialmente implementato, implementato. Non basta elencare le misure: bisogna discuterne l&#8217;adeguatezza e l&#8217;efficacia.</p><p>La <strong>sezione 3 </strong>affronta i requisiti di <strong>necessit&#224; e proporzionalit&#224;</strong>. &#200; una delle sezioni pi&#249; esigenti sul piano argomentativo, e l&#8217;<em>explainer</em> lo chiarisce senza ambiguit&#224;: la valutazione di necessit&#224; richiede di dimostrare che il trattamento sia efficace e il meno invasivo possibile per i diritti degli interessati, con evidenze sulle <strong>alternative considerate</strong>. La proporzionalit&#224; presuppone la necessit&#224; come condizione, e richiede un <strong>bilanciamento esplicito</strong> tra vantaggi del trattamento e gli impatti sui diritti fondamentali. Non &#232; sufficiente affermare che il trattamento sia proporzionato: serve una valutazione realistica, motivata e costantemente aggiornata.</p><p>La <strong>sezione 4</strong> &#232; la <strong>valutazione e gestione del rischio</strong>, strutturata su due livelli distinti. Il primo - e questo &#232; uno degli aspetti pi&#249; originali del template - riguarda i <strong>rischi strutturali o &#8220;</strong><em><strong>by design</strong></em><strong>&#8220;</strong>: le minacce che esistono anche quando tutto funziona esattamente come progettato e tutti gli attori rispettano le regole. Sono rischi di fatto legati alle scelte progettuali stesse. Il secondo livello riguarda invece i <strong>rischi da eventi non ordinari, accidentali o illeciti</strong>: malfunzionamenti, errori operativi, attacchi esterni, abusi interni. L&#8217;<em>explainer </em>fornisce esempi precisi di fonti di rischio per questa seconda categoria: <em>bug software</em>, configurazioni errate, diritti di accesso sbagliati, mancata manutenzione, <em>phishing</em>, <em>ransomware</em>. Per entrambi i livelli la metodologia di calcolo &#232; libera, ma deve essere documentata e applicata coerentemente. Il <strong>rischio inerente</strong> si calcola come funzione di probabilit&#224; e gravit&#224;, modulata da fattori aggravanti (numero elevato di interessati, presenza di soggetti vulnerabili, alta esposizione esterna) o mitiganti (misure della sezione 2.3). Il piano d&#8217;azione produce le misure aggiuntive non inizialmente previste, il cui effetto viene poi misurato nella valutazione del <strong>rischio residuo</strong>. Un rischio ad alta gravit&#224; pu&#242; essere inaccettabile anche a bassa probabilit&#224;: l&#8217;<em>explainer</em> e le note esplicative al template lo contemplano esplicitamente.</p><p>La <strong>sezione 5 </strong>formalizza il <strong>coinvolgimento delle parti interessate</strong>. Il template introduce un campo dedicato in cui il titolare deve indicare non solo il <strong>parere del DPO</strong> (<em>Data Protection Officer</em>), ma <strong>come quel parere sia stato concretamente recepito nel processo</strong> - o, se non lo &#232; stato, le ragioni della scelta. Per gli <strong>interessati</strong>, va spiegata la loro <strong>partecipazione al processo</strong> e, laddove non vi siano stati coinvolti, la motivazione della scelta.</p><p>La<strong> sezione 6</strong>, introduce la <strong>conclusione e decisione</strong>, che &#232; forse l&#8217;innovazione pi&#249; visibile per chi viene da approcci pi&#249; informali. Il template prevede <strong>quattro esiti formali</strong>: <strong>respinto </strong>(il trattamento deve essere abbandonato), <strong>consultazione obbligatoria</strong> con l&#8217;autorit&#224; di controllo, <strong>approvato</strong>, <strong>approvato con condizioni</strong>. La decisione deve essere motivabile e tracciabile.</p><div><hr></div><p><strong>Due elementi che meritano attenzione specifica</strong></p><p>Il primo &#232; la distinzione netta tra <strong>rischi strutturali</strong> e <strong>rischi incidentali</strong> nella sezione 4. Nella pratica corrente, la valutazione del rischio nelle DPIA si concentra quasi sempre sui secondi - <em>data breach</em>, attacchi, errori umani. L&#8217;<em>explainer</em> introduce esplicitamente la categoria dei rischi &#8220;<em>by design</em>&#8220;, che esistono indipendentemente da qualsiasi malfunzionamento. &#200; un cambio di prospettiva rilevante, perch&#233; sposta l&#8217;analisi a monte: non solo cosa pu&#242; andare storto, ma anche cosa, anche andando tutto secondo i piani, produce impatti sui diritti degli interessati.</p><p>Il secondo &#232; la sezione sugli <strong>usi secondari e compatibili</strong> (1.1.3), che nel template viene menzionata esplicitamente come sezione a s&#233;: si chiede di indicare <strong>se e a quali condizioni i dati possono essere riutilizzati</strong> per finalit&#224; diverse da quella originaria, con esplicito riferimento al principio di limitazione della finalit&#224;. Nella pratica quotidiana questa voce viene sistematicamente ignorata o compilata in modo generico. La sua presenza nel template EDPB la porta al rango di elemento obbligatorio della documentazione. Il tema si inserisce in un contesto regolatorio pi&#249; ampio: il considerando 50 del GDPR gi&#224; ammette trattamenti ulteriori per finalit&#224; compatibili, e il pacchetto Digital Omnibus (COM(2025) 765) segnala una volont&#224; di rendere questo snodo pi&#249; operativo, con potenziali ricadute pratiche soprattutto nei settori della <strong>ricerca scientifica e della sanit&#224;</strong>.</p><div><hr></div><p><strong>Non &#232; il primo modello europeo: la linea di continuit&#224; con CNIL e AEPD</strong></p><p>Il template EDPB non nasce in un vuoto. Diverse <strong>autorit&#224; di controllo</strong> nazionali avevano gi&#224; sviluppato <strong>propri strumenti metodologici</strong> per la conduzione delle DPIA, e chi lavora in questo ambito li conosce bene.</p><p>La <strong>CNIL </strong>(Garante privacy francese) &#232; stata probabilmente la pi&#249; sistematica: il suo <strong><a href="https://www.cnil.fr/en/privacy-impact-assessment-pia">strumento PIA (Privacy Impact Assessment)</a></strong>, disponibile anche come software <em>open source</em>, ha rappresentato per anni il punto di riferimento pratico pi&#249; utilizzato a livello europeo, con una struttura che copre descrizione del trattamento, analisi dei rischi e piano d&#8217;azione. L&#8217;<strong>AEPD </strong>(Garante privacy spagnolo) ha pubblicato a sua volta una<strong><a href="https://www.aepd.es/en/rights-and-duties/fulfill-your-duties/measures-compliance/data-protection-impact-assessments"> guida articolata sulla gestione del rischio e la valutazione d&#8217;impatto</a></strong>, con un approccio particolarmente dettagliato sul raccordo tra <em>risk assessment</em> e misure tecniche e organizzative. Entrambi questi strumenti hanno contribuito a definire un <strong>lessico comune e una logica di lavoro condivisa</strong>, pur restando strumenti nazionali, pensati per i propri contesti regolativi e privi di un riconoscimento formale europeo.</p><p>Il template EDPB si pone esplicitamente in <strong>continuit&#224;</strong> con questa tradizione ma fa un <strong>passo ulteriore</strong>: non &#232; lo strumento di una singola autorit&#224; nazionale, ma il formato adottato dal Board e accettato da tutte le Autorit&#224; degli Stati membri. Significa che un&#8217;organizzazione che utilizza questo template per documentare la propria DPIA produce un <strong>documento che ha valore uniforme in tutta l&#8217;Unione</strong>, indipendentemente da quale Autorit&#224; di controllo sia competente. &#200; l&#8217;ambizione di un <em><strong>framework</strong></em><strong> davvero armonizzato</strong>, che chiude - almeno nella forma - la <strong>stagione della frammentazione metodologica post-2018</strong>.</p><blockquote><p>Resta aperta la questione sostanziale: la qualit&#224; di una DPIA dipende dalla seriet&#224; con cui viene condotta, non dal formato in cui viene documentata. Il template risolve il problema della standardizzazione, non quello della profondit&#224; analitica. Ma avere un riferimento comune riconosciuto &#232; comunque un progresso, sia per le organizzazioni che devono produrre la documentazione, sia per le autorit&#224; che devono valutarla.</p></blockquote><div><hr></div><p><strong>Il template in italiano</strong></p><p>Per facilitare la lettura e l&#8217;uso operativo, ho predisposto una <strong>traduzione italiana del modello ufficiale</strong>. Non &#232; una traduzione ufficiale, ma uno strumento di studio e lavoro che metto a disposizione liberamente.</p><p>Il documento &#232; in consultazione pubblica fino al <strong>9 giugno 2026</strong>: eventuali osservazioni possono essere inviate all&#8217;EDPB entro quella data. La versione definitiva potr&#224; differire da quella attuale.</p><p>&#128073; <strong>Scarica il template DPIA in italiano</strong> <em>(<strong><a href="https://drive.google.com/file/d/1EGmNgaNOrhX4eYvgYQgy5UBPkauXDQ5j/view?usp=sharing">accessibile al presente link</a></strong>)</em></p>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #12 | Accessibilità digitale: le Linee Guida dell'AGID chiariscono gli obblighi concreti in capo ai fornitori di servizi privati]]></title><description><![CDATA[E-commerce, banche, trasporti, media: cosa devono fare (e cosa rischiano) i fornitori di servizi digitali privati]]></description><link>https://sergioamatoavv.substack.com/p/episodio-12-accessibilita-digitale</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-12-accessibilita-digitale</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Wed, 25 Mar 2026 16:25:56 GMT</pubDate><enclosure url="https://substack-post-media.s3.amazonaws.com/public/images/c1f9f182-8cb5-4707-93da-3640bdc84ca8_1536x1024.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Dal 28 giugno 2025 &#232; diventato pienamente operativo il <a href="https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig">d.lgs. n. 82/2022</a>, che ha recepito la Direttiva europea sull'<strong>accessibilit&#224; dei prodotti e servizi </strong>(<em>European Accessibility Act</em>). </p><p>Lo scorso 4 marzo 2026 l&#8217;<strong><a href="https://trasparenza.agid.gov.it/page/103/details/5554/adozione-delle-linee-guida-agid-sullaccessibilita-dei-servizi-in-attuazione-dellart-21-del-decreto-legislativo-n-82-del-2022.html">AgID</a> </strong>ha adottato le relative <strong><a href="https://trasparenza.agid.gov.it/download/10081.html">Linee Guida</a></strong> in attuazione dell&#8217;articolo 21 del sopracitato decreto, le quali chiariscono il <strong>perimetro applicativo</strong> e gli <strong>obblighi concreti in capo ai fornitori di servizi privati</strong>.</p><p>Non si tratta di una novit&#224; per il settore pubblico: gli enti pubblici hanno obblighi di accessibilit&#224; digitale da oltre vent'anni, dalla Legge Stanca del 2004 in poi. La novit&#224; &#232; che dal 2025 quegli obblighi si estendono ai privati &#8212; e l'estensione &#232; tutt'altro che marginale.</p><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!7imI!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!7imI!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 424w, https://substackcdn.com/image/fetch/$s_!7imI!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 848w, https://substackcdn.com/image/fetch/$s_!7imI!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 1272w, https://substackcdn.com/image/fetch/$s_!7imI!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!7imI!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png" width="728" height="117.00594421582076" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:1406,&quot;width&quot;:8748,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:1011915,&quot;alt&quot;:&quot;Agenzia per l'Italia Digitale&quot;,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="Agenzia per l'Italia Digitale" title="Agenzia per l'Italia Digitale" srcset="https://substackcdn.com/image/fetch/$s_!7imI!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 424w, https://substackcdn.com/image/fetch/$s_!7imI!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 848w, https://substackcdn.com/image/fetch/$s_!7imI!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 1272w, https://substackcdn.com/image/fetch/$s_!7imI!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F4d21487f-4e8f-4017-8f7b-0795869b0aae_8748x1406.png 1456w" sizes="100vw" fetchpriority="high"></picture><div></div></div></a><figcaption class="image-caption"><strong>Fonte:</strong> Agenzia per l&#8217;Italia Digitale (AgID), logo istituzionale tratto da materiali pubblici disponibili su <strong>www.agid.gov.it</strong></figcaption></figure></div><div><hr></div><h3>Chi &#232; coinvolto?</h3><p>Il decreto si applica ai<strong> fornitori di servizi digitali diretti ai consumatori </strong>(intesa come la persona fisica che acquista al di fuori di attivit&#224; professionale) che operano in sei categorie: </p><ol><li><p>servizi di comunicazione elettronica;</p></li><li><p>piattaforme di accesso a media audiovisivi; </p></li><li><p>servizi di trasporto passeggeri (aereo, ferroviario, navale, bus, metro, tram);</p></li><li><p>servizi bancari al dettaglio;</p></li><li><p>e-book e software di lettura;</p></li><li><p>piattaforme e siti di e-commerce. </p></li></ol><p>Rimangono escluse le microimprese (meno di 10 dipendenti e fatturato/totale attivo &#8804; 2 milioni di euro), seppur incoraggiate all&#8217;adozione volontaria di standard inclusivi.</p><blockquote><p><strong>Nota operativa</strong>: se il servizio &#232; rivolto sia a consumatori sia a professionisti &#8212; il caso tipico di un e-commerce che vende hardware sia a privati sia ad aziende &#8212; l&#8217;intero servizio deve essere conforme, senza possibilit&#224; di distinguere la parte &#8220;<em>consumer&#8221;</em> da quella &#8220;<em>business</em>&#8221;.</p></blockquote><div><hr></div><h3>Cosa si chiede concretamente?</h3><p>Il riferimento tecnico per la conformit&#224; &#232; la<a href="https://uni.com/images/stories/uni/allegati_norme/UNICEIEN301549/UNICEIEN301549_2022_accessibile.pdf"> </a><strong><a href="https://uni.com/images/stories/uni/allegati_norme/UNICEIEN301549/UNICEIEN301549_2022_accessibile.pdf">norma EN 301 549 v.3.2.1</a></strong>, uno standard europeo armonizzato che definisce i requisiti di accessibilit&#224; per prodotti e servizi ICT &#8212; siti web, app mobili, software, piattaforme interattive. La norma incorpora le <a href="https://www.w3.org/Translations/WCAG21-it/">WCAG 2.1 </a>(<em><strong>Web Content Accessibility Guidelines</strong></em>), lo standard internazionale del W3C per l&#8217;accessibilit&#224; dei contenuti web - aggiornato dalle successive <a href="https://www.w3.org/Translations/WCAG22-it/">WCAG 2.2</a>: chi soddisfa i requisiti della EN 301 549 soddisfa, per la parte relativa ai contenuti web, le WCAG ai livelli A e AA, che sono i livelli minimi obbligatori. La norma va per&#242; oltre le WCAG, coprendo anche software, hardware e altri prodotti ICT.</p><p>In termini sostanziali, i servizi devono rispettare i <strong>quattro principi POUR</strong>: essere <strong>percepibili</strong>, <strong>operabili</strong>, <strong>comprensibili</strong> e <strong>robusti</strong> &#8212; ovvero fruibili da tecnologie assistive come<em> screen reader</em> e <em>display braille</em>. A questi requisiti generali si aggiungono obblighi specifici per categoria: per i servizi bancari le informazioni non devono superare il livello B2 del CEFR per complessit&#224; linguistica; per gli <em>e-book</em>, i sistemi DRM non possono bloccare le tecnologie assistive; per l&#8217;e-commerce, il flusso di identificazione e pagamento deve essere accessibile ai non vedenti.</p><blockquote><p><strong>Nota operativa: </strong>le Linee Guida introducono anche un <strong>obbligo che incrocia la privacy</strong>: i fornitori devono dichiarare espressamente di non utilizzare <strong>tecniche di tracciamento web</strong> &#8212; cookies, <em>browser fingerprinting</em> &#8212; dalle quali si possa <strong>desumere una condizione di disabilit&#224; dell&#8217;utente</strong>. Un&#8217;intersezione normativa concreta tra <strong>accessibilit&#224;</strong> e <strong>trattamento dei dati personali</strong> che vale la pena tenere presente.</p></blockquote><div><hr></div><h3>Cosa significa concretamente per i fornitori?</h3><p>Le Linee Guida non chiedono soltanto di <strong>rendere i servizi accessibili</strong>, ma di <strong>spiegare in modo trasparente come lo sono</strong>.</p><p>Un ulteriore profilo spesso trascurato riguarda proprio gli <strong>obblighi informativi</strong>: le Linee Guida in esame dedicano un allegato specifico a questo profilo, che chiarisce in modo vincolante cosa deve contenere la <strong>documentazione informativa verso l'utente</strong>. </p><p>Nelle <strong>condizioni generali del servizio</strong>, o in un <strong>documento equivalente</strong>, il fornitore deve infatti spiegare <strong>come il proprio servizio soddisfa i requisiti di accessibilit&#224;</strong> imposti dalla normativa vigente.</p><blockquote><p><strong>Nota operativa: </strong>il contenuto minimo della documentazione deve ricomprendere (i) una <strong>descrizione generale del servizio in formato accessibile</strong>, (ii) una <strong>spiegazione del suo funzionamento,</strong> e (iii) un'illustrazione puntuale di<strong> come vengono rispettati i requisiti applicabili</strong>. Queste informazioni si aggiungono - e non si sostituiscono - a quelle gi&#224; dovute ai consumatori ai sensi della Direttiva 2011/83/UE.</p></blockquote><div><hr></div><h3>Il regime delle esenzioni: quando e come si applica?</h3><p>Il decreto prevede due casi in cui i requisiti di accessibilit&#224; non trovano applicazione in modo &#8220;pieno&#8221;: quando la conformit&#224; richiederebbe una <strong>modifica sostanziale del servizio</strong> &#8212; cio&#232; ne altererebbe la natura stessa &#8212; oppure quando comporterebbe un <strong>onere sproporzionato</strong> rispetto alle<strong> dimensioni e capacit&#224; del fornitore</strong>, secondo i criteri previsti dall&#8217;Allegato V del d.lgs. 82/2022 (ad esempio, tenendo in considerazione il rapporto tra i costi netti di adeguamento e i costi totali di fornitura del servizio o, piuttosto, la stima costi/benefici).</p><p>Attenzione per&#242;: non si tratta di eccezioni automatiche. Entrambe devono essere <strong>valutate e documentate dal fornitore</strong>, e la documentazione va conservata per almeno<strong> cinque anni </strong>dall&#8217;ultima erogazione del servizio. </p><blockquote><p><strong>Nota operativa:</strong> c&#8217;&#232; poi un <strong>regime transitorio</strong>: i contratti di servizi stipulati <strong>prima del 28 giugno 2025 </strong>possono essere mantenuti <strong>invariati fino alla loro scadenza</strong>, e comunque per un <strong>periodo non superiore a cinque anni da tale data</strong>. I terminali <em>self-service </em>gi&#224; utilizzati per la fornitura dei servizi possono continuare ad essere impiegati fino alla <strong>fine della loro vita economica utile</strong>, ma <strong>non oltre vent&#8217;anni dalla loro messa in funzione</strong>.</p></blockquote><div><hr></div><h3>Vigilanza e reclami, come funziona?</h3><p><strong>AgID</strong> &#232; l&#8217;<strong>autorit&#224; di vigilanza </strong>per la maggior parte dei servizi in perimetro (con competenze ripartite con AGCOM per le telecomunicazioni e ART per i trasporti). I fornitori con fatturato medio superiore a 500 milioni di euro negli ultimi tre anni sono esposti a <strong>sanzioni fino al 5% del fatturato</strong> in caso di violazione degli obblighi su siti web e app mobili.</p><p>L&#8217;utente che riscontra un&#8217;inaccessibilit&#224; pu&#242; presentare <strong>reclamo ad AgID</strong>. L&#8217;Agenzia avvia una <strong>prima valutazione formale</strong> e poi <strong>coinvolge il fornitore per l&#8217;approfondimento sostanziale</strong> &#8212; un meccanismo di risoluzione alternativa delle controversie reso obbligatorio dalla direttiva, prima di adire rimedi formali.</p><p>In caso di verifica o reclamo, il fornitore deve essere in grado di trasmettere ad AgID la <strong>documentazione tecnica di conformit&#224;</strong>, le <strong>schede di controllo</strong> (WCAG, EN 301 549), le <strong>evidenze di test e collaudi</strong>, le <strong>valutazioni interne</strong> e, se invocate, le <strong>giustificazioni per modifica sostanziale o onere sproporzionato</strong>. Tutta la documentazione deve essere in formato digitale, firmata con firma digitale e marcata temporalmente.</p><blockquote><p><strong>Nota operativa:</strong> il parallelismo con la normativa <em>data protection </em>(e in particolare con il GDPR) &#232; evidente: l&#8217;accessibilit&#224; entra pienamente nella <strong>logica dell&#8217;</strong><em><strong>accountability </strong></em><strong>documentata</strong>. Non &#232; sufficiente essere &#8220;conformi&#8221;, ma occorre poterlo dimostrare, con evidenze datate e sottoscritte dall&#8217;organizzazione.</p></blockquote><div><hr></div><div class="pullquote"><p>Per chi progetta o gestisce servizi digitali, l'approccio consigliato &#232; l'accessibilit&#224; by design: considerare i requisiti sin dalla fase di concept, non come adeguamento post-produzione. Le Linee Guida suggeriscono anche la figura di un Referente per l'accessibilit&#224; &#8212; sia interno che esterno &#8212; in analogia con quanto avviene per la compliance privacy.</p></div>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #11 | NIS2 in Italia, a che punto siamo?]]></title><description><![CDATA[Domani scade il termine per i soggetti rientranti nel perimetro NIS di confermare o aggiornare la propria registrazione sul Portale ACN attraverso la procedura precompilata messa a disposizione]]></description><link>https://sergioamatoavv.substack.com/p/episodio-11-nis2-in-italia-a-che</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-11-nis2-in-italia-a-che</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Fri, 27 Feb 2026 16:58:50 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!YPuF!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!YPuF!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!YPuF!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 424w, https://substackcdn.com/image/fetch/$s_!YPuF!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 848w, https://substackcdn.com/image/fetch/$s_!YPuF!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!YPuF!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!YPuF!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png" width="1456" height="971" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:971,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:1522716,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/189360865?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!YPuF!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 424w, https://substackcdn.com/image/fetch/$s_!YPuF!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 848w, https://substackcdn.com/image/fetch/$s_!YPuF!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!YPuF!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7f48aa29-0df4-4827-83f1-eb61671c9511_1536x1024.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>Con l&#8217;entrata in vigore del <strong><a href="https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138">D. Lgs. 4 settembre 2024, n. 138</a></strong> (attuativo della <strong>Direttiva </strong><em><strong>Network and Information Security</strong></em><strong> - NIS</strong>), l&#8217;Italia ha aggiornato il proprio quadro di <strong>regolazione della cybersicurezza</strong>, estendendo obblighi e responsabilit&#224; a una platea pi&#249; ampia di <strong>soggetti pubblici e privati </strong>e introducendo un regime sanzionatorio rigoroso.</p><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!vTCq!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!vTCq!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 424w, https://substackcdn.com/image/fetch/$s_!vTCq!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 848w, https://substackcdn.com/image/fetch/$s_!vTCq!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 1272w, https://substackcdn.com/image/fetch/$s_!vTCq!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!vTCq!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp" width="190" height="190" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:190,&quot;width&quot;:190,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:&quot;Logo Agenzia per la cybersicurezza nazionale&quot;,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="Logo Agenzia per la cybersicurezza nazionale" title="Logo Agenzia per la cybersicurezza nazionale" srcset="https://substackcdn.com/image/fetch/$s_!vTCq!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 424w, https://substackcdn.com/image/fetch/$s_!vTCq!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 848w, https://substackcdn.com/image/fetch/$s_!vTCq!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 1272w, https://substackcdn.com/image/fetch/$s_!vTCq!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9308ef3c-65a1-44f0-83b4-a7be249c9ebf_190x190.webp 1456w" sizes="100vw"></picture><div></div></div></a></figure></div><div><hr></div><h4>Quali le recenti novit&#224; e gli obblighi per le aziende?</h4><p></p><blockquote><p><strong>1. Aggiornamento dei dati o registrazione </strong><em><strong>ex novo</strong></em><strong>:</strong> entro <strong>domani</strong> <strong>28 febbraio 2026</strong> tutti i <strong>soggetti NIS obbligati </strong>devono completare la registrazione o l&#8217;aggiornamento delle proprie informazioni sulla piattaforma ACN tramite il servizio <em>&#8220;<a href="https://portale.acn.gov.it/login">Registrazione</a>&#8221; o <a href="https://www.acn.gov.it/portale/nis/registrazione">Aggiornamento delle informazioni</a>&#8221;.</em></p></blockquote><p>La scadenza del 28 febbraio 2026 ha natura diversa a seconda della posizione del soggetto: per chi &#232; <strong>gi&#224; registrato</strong> costituisce un <strong>adempimento annuale di conferma e aggiornamento dei dati</strong> per mezzo di una <strong>scheda precompilata</strong> basata sui dati dell&#8217;anno precedente, mentre per<strong> chi non &#232; ancora registrato</strong> rappresenta l&#8217;<strong>atto di ingresso nel perimetro NIS</strong>, dal quale &#8211; solo in caso di successiva inclusione nell&#8217;elenco notificata ad aprile &#8211; decorreranno gli obblighi strutturali previsti dal <a href="https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138">D. Lgs. 4 settembre 2024, n. 138</a>.</p><p>La <strong>mancata registrazione, comunicazione o aggiornamento</strong> entro i suddetti termini - come previsto dall&#8217;art. 38, comma 11, del d.lgs. 138/2024 - espone a sanzioni amministrative, e nello specifico: </p><ul><li><p>per i <strong>soggetti essenziali</strong>: fino a <strong>0,1 % del fatturato mondiale totale </strong>dell&#8217;esercizio precedente; </p></li><li><p>per i <strong>soggetti importanti</strong>: fino a <strong>0,07 % del fatturato mondiale totale </strong>dell&#8217;esercizio precedente; </p></li><li><p>per <strong>pubbliche amministrazioni e soggetti sotto controllo pubblico</strong>: da <strong>&#8364;10.000 a &#8364;50.000</strong> (con riduzioni se identificati come importanti).</p></li></ul><p>Per chi, invece, <strong>non rientra nel perimetro NIS</strong>, resta comunque buona prassi tenere la <strong>PEC istituzionale sempre monitorata</strong>, per ricevere comunicazioni ufficiali ed essere pronti in caso di possibili cambiamenti nel perimetro di applicazione della normativa, fermo restando il potere dell&#8217;Autorit&#224; di individuare e designare autonomamente i soggetti rientranti nell&#8217;ambito di applicazione della normativa in oggetto.</p><div><hr></div><blockquote><p><strong>2. Tassonomia degli incidenti:</strong> &#232; stata pubblicata in Gazzetta Ufficiale la determinazione dell&#8217;<strong>Agenzia per la Cybersicurezza Nazionale</strong> che definisce la <strong><a href="https://www.gazzettaufficiale.it/atto/stampa/serie_generale/originario">tassonomia degli incidenti informatici</a></strong> soggetti a obbligo di segnalazione e notifica ai sensi dell&#8217;art. 1, comma 1, della <a href="https://www.gazzettaufficiale.it/eli/id/2024/07/02/24G00108/SG">Legge 28 giugno 2024, n. 90</a> (&#8220;<em>Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici</em>&#8221;). E&#8217; bene notare che tale obbligo di segnalazione e notifica riguarda, in particolare, un perimetro di soggetti delineato direttamente dalla legge, che include <strong>amministrazioni e operatori pubblici locali </strong>con <strong>servizi essenziali e impatto territoriale significativo</strong> e anche <strong>societ&#224; &#8220;</strong><em><strong>in house</strong></em><strong>&#8221;</strong> che forniscono <strong>servizi informatici</strong> o <strong>servizi pubblici correlati</strong> per i soggetti ricompresi.</p></blockquote><p>La tassonomia &#232; allineata alle fattispecie di <strong>&#8220;incidenti significativi di base&#8221;</strong> gi&#224; individuate dalla <a href="https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed?utm_source=Concep%20Send&amp;utm_medium=email&amp;utm_campaign=CMS+Newsletter+%7c+ACN+pubblica+le+nuove+Determinazioni+su+%22obblighi+di+base%22+e+su+%22Portale+ACN+e+Servizi+NIS%22_12%2f31%2f2025">determinazione ACN n. 379907 del 19 dicembre 2025</a>, adottata in attuazione del <a href="https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138">D. Lgs. 4 settembre 2024, n. 138</a>. In questo contesto, l&#8217;elemento pratico pi&#249; rilevante per tali soggetti nel perimetro NIS, &#232; la logica di riduzione degli oneri: la determinazione afferma che, in caso di &#8220;prenotifica e notifica&#8221; effettuata ai sensi dell&#8217;articolo 25 del <a href="https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138">D. Lgs. 4 settembre 2024, n. 138</a>, pu&#242; considerarsi assolto anche l&#8217;obbligo previsto dalla legge 90/2024.  Per tali soggetti, &#232; dunque stata prevista la possibilit&#224; di effettuare <strong>un&#8217;unica comunicazione tramite il portale ACN</strong>.</p><div><hr></div><blockquote><p><strong>3. Adempimenti rilevanti - un recap complessivo</strong>: il <a href="https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138">D. Lgs. 4 settembre 2024, n. 138</a> prevede obblighi per gli organi di amministrazione e direttivi (articolo 23), la gestione dei rischi per la sicurezza informatica (articolo 24) e le notifiche di incidente (articolo 25). In fase di prima applicazione, per assicurare la conformit&#224; dei soggetti essenziali e importanti a tali obblighi, sono state stabilite le misure di sicurezza e le notifiche di incidente di base. </p></blockquote><p>Rispetto al passato, la normativa NIS amplia significativamente il perimetro di applicazione: non si limita pi&#249; solo ad alcune reti e servizi essenziali, ma copre <strong>tutta l&#8217;infrastruttura ICT</strong> dei soggetti obbligati, distinguendo tra <strong>soggetti essenziali</strong> e <strong>importanti</strong> in base ai criteri dimensionali previsti e alla criticit&#224; delle attivit&#224; svolte e del settore di riferimento, richiedendo alle organizzazioni un <strong>approccio multi-rischio </strong>e <strong>multi-livello</strong> alla sicurezza informatica e alla resilienza operativa.</p><p>Oltre ai gi&#224; citati obblighi di registrazione e/o aggiornamento annuale, &#232; bene tenere a mente che dal <strong>1&#176; gennaio 2026</strong> sono entrati in vigore gli <strong>obblighi di notifica degli incidenti significativi</strong>, mentre entro <strong>ottobre 2026</strong> tutti i soggetti NIS dovranno aver adottato le <strong>misure minime di sicurezza</strong> previste (sviluppo di policy ad hoc, piani di risposta agli incidenti, presidi tecnici coerenti con il livello di rischio individuato, supervisione della supply chain, ecc.). </p><div><hr></div><blockquote><p>Il 2026 segna il passaggio alla piena operativit&#224; del regime NIS: registrazione, notifica degli incidenti e adozione delle misure minime di sicurezza non sono adempimenti isolati, ma elementi di un sistema di governance tecnologica e di cybersecurity pi&#249; ampio che le organizzazioni - sia quelle direttamente impattate, che quelle indirettamente coinvolte nella catena di fornitura - sono chiamate ad implementare e garantire.</p></blockquote>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #10 | Marketing sotto osservazione: cosa cambia davvero dopo gli ultimi provvedimenti del Garante privacy]]></title><description><![CDATA[Dall'ultima newsletter del Garante privacy indicazioni preziose per ripensare i processi di marketing]]></description><link>https://sergioamatoavv.substack.com/p/episodio-10-marketing-sotto-osservazione</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-10-marketing-sotto-osservazione</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 12 Jan 2026 15:48:46 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!LclH!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>I recenti provvedimenti del Garante per la protezione dei dati personali in materia di marketing &#8211; in particolare quelli adottati nei confronti di <strong><a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10202135">Aimag</a></strong> e <strong><a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989">Verisure</a></strong> &#8211; offrono un quadro estremamente chiaro dell&#8217;attuale linea dell&#8217;Autorit&#224;. Non si tratta di casi isolati, ma di decisioni che consolidano un orientamento ormai maturo: il <strong>marketing </strong>viene valutato come un processo <em>end-to-end</em>, in cui ogni scelta, dalla<strong> progettazione dei form</strong> alla<strong> gestione dei diritti</strong>, deve essere <strong>coerente, verificabile e orientata alla tutela effettiva dell&#8217;interessato</strong>.</p><p>Il dato comune che emerge &#232; che il Garante non si accontenta pi&#249; di verificare la <strong>presenza formale di consensi o informative</strong>, ma analizza il <strong>flusso sostanziale</strong> dei meccanismi di <strong>raccolta e utilizzo dei dati</strong>, misurandoli sulle aspettative concrete dell&#8217;utente e sul principio di &#8220;responsabilizzazione&#8221; del titolare.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!KsZi!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!KsZi!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 424w, https://substackcdn.com/image/fetch/$s_!KsZi!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 848w, https://substackcdn.com/image/fetch/$s_!KsZi!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!KsZi!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!KsZi!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg" width="1456" height="816" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:816,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:&quot;Contenuto dell&#8217;articolo&quot;,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="Contenuto dell&#8217;articolo" title="Contenuto dell&#8217;articolo" srcset="https://substackcdn.com/image/fetch/$s_!KsZi!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 424w, https://substackcdn.com/image/fetch/$s_!KsZi!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 848w, https://substackcdn.com/image/fetch/$s_!KsZi!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!KsZi!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F10392300-f908-4798-ba94-3fd9489264b7_1488x834.jpeg 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><div><hr></div><h3><strong>1. Come si raccoglie un consenso valido: errori di design che diventano violazioni</strong></h3><p>Nel <strong><a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10202135">provvedimento Aimag</a></strong>, il Garante interviene in modo molto netto sulla <strong>modalit&#224; di raccolta del consenso al marketing</strong> tramite area riservata. La presenza di <strong>checkbox preselezionati su &#8220;SI&#8221; </strong>e di <strong>formule sovrapponibili </strong>per finalit&#224; promozionali e di <em>customer satisfaction </em>viene considerata <strong>incompatibile con i requisiti di libert&#224; e specificit&#224; del consenso</strong>. Il problema non &#232; solo giuridico, ma esperienziale: l&#8217;utente non &#232; messo in condizione di comprendere chiaramente cosa sta accettando e per quali finalit&#224;.</p><p>Nel <strong><a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989">caso Verisure</a></strong>, il tema assume una declinazione diversa ma convergente. Qui il consenso al marketing viene di fatto <strong>incorporato nella richiesta di preventivo</strong> o di <strong>ricontatto commerciale</strong>, creando una situazione in cui l&#8217;interessato non pu&#242; realmente scegliere se essere o meno contattato per finalit&#224; promozionali senza rinunciare al servizio richiesto. Il Garante ribadisce che un consenso cos&#236; costruito non pu&#242; essere considerato libero.</p><blockquote><p>Il messaggio per le aziende &#232; chiaro: la progettazione dei form e dei flussi di acquisizione di lead, prospect non &#232; un tema meramente tecnico. Checkbox, testi e percorsi devono essere pensati per consentire una scelta reale e separata, non per &#8220;ottimizzare&#8221; la raccolta dei consensi a scapito della chiarezza.</p></blockquote><div><hr></div><h3><strong>2. Base giuridica e trasparenza: evitare sovrapposizioni e ambiguit&#224;</strong></h3><p>Entrambi i provvedimenti mostrano una forte attenzione del Garante alla coerenza tra <strong>finalit&#224; dichiarate</strong> e <strong>basi giuridiche utilizzate</strong>.</p><p>Nel caso Aimag, l&#8217;Autorit&#224; censura il ricorso poco chiaro al <strong>legittimo interesse</strong>, richiamato in modo generico e non coerente con le modalit&#224; concrete del trattamento. L&#8217;assenza di una spiegazione puntuale del bilanciamento e delle aspettative dell&#8217;interessato rende la base giuridica di fatto indimostrabile.</p><p>Nel caso Verisure, il tema centrale &#232; la distinzione &#8211; spesso trascurata nella pratica &#8211; tra <strong>contatto finalizzato a dare seguito a una richiesta dell&#8217;utente</strong> e <strong>marketing successivo</strong>. Il Garante chiarisce che il primo pu&#242;, in alcuni casi, poggiare su <strong>misure precontrattuali</strong>, mentre il secondo richiede una <strong>base giuridica autonoma</strong>: normalmente il <strong>consenso</strong>. Sovrapporre i due piani, sia a livello informativo che operativo, espone le aziende a rilievi e possibili contestazioni (come nei due casi in esame).</p><blockquote><p>La lezione &#232; evidente: le informative non devono solo &#8220;coprire&#8221; il trattamento, ma raccontarlo in modo coerente. Dove la base giuridica &#232; confusa o contraddittoria, la violazione non &#232; solo nella formale, ma anche e soprattutto nella sostanza.</p></blockquote><div><hr></div><h4><strong>3. Conservazione dei dati e marketing: il limite delle giustificazioni &#8220;di default&#8221;</strong></h4><p>La <strong>conservazione dei dati per finalit&#224; di marketing </strong>&#232; uno dei punti pi&#249; critici affrontati in entrambi i provvedimenti.</p><p>Nel caso Aimag, il Garante ritiene non proporzionata una <strong>retention di cinque anni</strong> giustificata richiamando la <strong>durata media dei contratti </strong>o i <strong>termini di prescrizione</strong>. L&#8217;Autorit&#224; chiarisce che <strong>esigenze difensive o contrattuali </strong>non possono essere automaticamente traslate - e anzi sono<strong> nettamente distinte</strong> - da <strong>attivit&#224; di marketing e promozionali</strong>.</p><p>Nel provvedimento Verisure il tema della retention assume un ruolo centrale, perch&#233; viene utilizzato dal Garante come vero e proprio criterio di qualificazione del trattamento. L&#8217;Autorit&#224; smonta in modo molto chiaro l&#8217;assunto secondo cui il <em>teleselling </em>svolto dalla Societ&#224; costituirebbe una naturale <strong>prosecuzione della richiesta di contatto dell&#8217;interessato</strong>, evidenziando come un termine di conservazione dei dati pari a <strong>12 (dodici) mesi</strong> faccia venir meno qualsiasi reale <strong>continuit&#224; cronologica con l&#8217;attivit&#224; di </strong><em><strong>telebooking</strong></em>.</p><p>Secondo il Garante, un arco temporale cos&#236; ampio non &#232; compatibile con la logica di un contatto funzionale alla richiesta dell&#8217;utente, ma rivela piuttosto l&#8217;esistenza di un <strong>autonomo trattamento per finalit&#224; di marketing</strong>. La durata della conservazione diventa cos&#236; un indicatore sostanziale della finalit&#224; perseguita: se i dati restano utilizzabili per mesi, il trattamento non pu&#242; pi&#249; essere ricondotto a una <strong>mera risposta alla richiesta dell&#8217;interessato</strong>, ma si colloca a pieno titolo nell&#8217;ambito del <strong>marketing diretto</strong>. D&#8217;altra parte, la scelta di una <em>retention</em> cos&#236; estesa finisca per eludere la necessit&#224; di acquisire un consenso autonomo al marketing, aggravando ulteriormente il quadro delle violazioni.</p><p>Il Garante ribadisce inoltre la censura verso l&#8217;uso di <strong>formulazioni generiche</strong> nelle informative, come il riferimento alla conservazione &#8220;per il periodo strettamente necessario&#8221;, ritenendole inidonee a soddisfare gli <strong>obblighi di trasparenza</strong>. Tali espressioni, rimesse alla discrezionalit&#224; del titolare, non consentono all&#8217;interessato di comprendere quando i propri dati verranno effettivamente cancellati e non integrano un criterio di calcolo certo, come richiesto dal Regolamento.</p><blockquote><p>Il principio che emerge &#232; che la <em>retention </em>marketing deve essere pensata e motivata come tale, sulla base del ciclo di vita del contatto, delle aspettative dell&#8217;utente e della reale utilit&#224; del dato. Utilizzare modelli standard o formule generiche espone a rilievi difficilmente difendibili.</p></blockquote><div><hr></div><h3><strong>4. Diritti degli interessati: il Garante guarda all&#8217;effettiva attuazione</strong></h3><p>Nel provvedimento Verisure, il Garante dedica particolare attenzione alla <strong>gestione dei diritti</strong>, soprattutto al <strong>diritto di opposizione</strong> e <strong>cancellazione</strong>. L&#8217;Autorit&#224; chiarisce che una risposta formale all&#8217;interessato non &#232; sufficiente se, sul piano operativo, la richiesta non viene effettivamente <strong>eseguita su tutti i sistemi e lungo tutta la catena del trattamento</strong>.</p><p>La prosecuzione dei contatti promozionali, anche a seguito di richieste di opposizione gi&#224; accolte, viene letta come un sintomo di <strong>carenze organizzative</strong> e di governance, non come un semplice errore occasionale. In questo contesto, il<strong> titolare resta pienamente responsabile </strong>anche per le<strong> attivit&#224; svolte da partner commerciali, agenti o fornitori</strong>.</p><blockquote><p>Per le aziende questo implica una riflessione profonda sull&#8217;architettura dei sistemi di marketing e CRM: i diritti previsti dal GDPR (accesso, cancellazione, opposizione, portabilit&#224;) devono essere gestiti in modo centralizzato, tempestivo e verificabile.</p></blockquote><div><hr></div><h3><strong>5. Il rischio reputazionale che si aggiunge alla sanzione pecuniaria</strong></h3><p>Un ultimo elemento, comune a entrambi i provvedimenti, &#232; la combinazione tra <strong>sanzione pecuniaria</strong> e <strong>pubblicazione della decisione sul sito web dell&#8217;Autorit&#224;</strong>. Non si tratta di un profilo accessorio: alla rilevanza economica della multa si affianca un&#8217;<strong>esposizione reputazionale permanente</strong>, resa ancora pi&#249; incisiva dalla facile <strong>accessibilit&#224; dei provvedimenti da parte di clienti, partner e concorrenti</strong>.</p><blockquote><p>Il messaggio che il Garante sembra voler trasmettere &#232; chiaro: le violazioni in materia di marketing incidono direttamente sulla fiducia degli interessati e, proprio per questo, meritano una risposta che vada oltre la mera sanzione economica.</p></blockquote><div><hr></div><h3><strong>In sintesi</strong></h3><p>In conclusione, i provvedimenti del Garante confermano che il marketing &#232; diventato uno dei principali terreni su cui si misura la reale <strong>maturit&#224; privacy di un&#8217;organizzazione</strong>. Consensi, <em>retention</em> e gestione dei diritti non sono pi&#249; elementi accessori, ma componenti strutturali della<strong> strategia commerciale</strong> e della <strong>visione aziendale che si vuole trasmettere verso l&#8217;esterno</strong>.</p><p>Per evitare rimproveri, sanzioni e impatti reputazionali, le aziende devono ripensare il marketing in chiave di <em><strong>accountability</strong></em><strong> concreta</strong>, dimostrando non solo di rispettare la norma nella forma, ma di aver costruito <strong>processi coerenti, trasparenti e orientati alla tutela effettiva degli interessati</strong>. &#200; su questo terreno che, oggi, si misura la conformit&#224; la fiducia di un business.</p><div class="pullquote"><p>&#200; nel marketing che emergono, pi&#249; di altrove, le fragilit&#224; e le virt&#249; di un sistema di protezione dei dati e di compliance aziendale. In questo senso, il ruolo del DPO e delle funzioni privacy non deve essere quello di validare documenti a posteriori, ma di intervenire a monte nella progettazione dei processi di marketing, dove si gioca la conformit&#224; e, sempre pi&#249; spesso, la tenuta reputazionale di ogni organizzazione.</p></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://calendar.app.google/d8iXeHeHzoxK9Tz88&quot;,&quot;text&quot;:&quot;Fissiamo un momento di confronto insieme&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://calendar.app.google/d8iXeHeHzoxK9Tz88"><span>Fissiamo un momento di confronto insieme</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/?utm_source=substack&amp;utm_medium=email&amp;utm_content=share&amp;action=share&quot;,&quot;text&quot;:&quot;Condividi DPO News&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/?utm_source=substack&amp;utm_medium=email&amp;utm_content=share&amp;action=share"><span>Condividi DPO News</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p></p>]]></content:encoded></item><item><title><![CDATA[DPO News Podcast | Episodio #2]]></title><description><![CDATA[Dal tool all&#8217;agente: il ponte che le aziende stanno iniziando a progettare]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-podcast-episodio-2</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-podcast-episodio-2</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 15 Dec 2025 14:22:57 GMT</pubDate><enclosure url="https://api.substack.com/feed/podcast/181686183/2feb9df8066f58ddc3ab3f43163fc2a2.mp3" length="0" type="audio/mpeg"/><content:encoded><![CDATA[<p></p><div class="pullquote"><p>Bentornati al <strong>Podcast DPO News</strong>, uno spazio di mezz&#8217;ora in cui proviamo a mettere ordine nel caos della regolazione digitale (e non solo).</p></div><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!nShz!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!nShz!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 424w, https://substackcdn.com/image/fetch/$s_!nShz!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 848w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!nShz!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png" width="728" height="728" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:1024,&quot;width&quot;:1024,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:1205959,&quot;alt&quot;:&quot;&quot;,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/179841156?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="" title="" srcset="https://substackcdn.com/image/fetch/$s_!nShz!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 424w, https://substackcdn.com/image/fetch/$s_!nShz!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 848w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><div><hr></div><p>Anthropic ha appena presentato <strong>Anthropic Interviewer</strong>, un agente AI progettato non per generare output, ma per <strong>fare domande</strong> a persone reali su come vivono e utilizzano l&#8217;intelligenza artificiale nel lavoro quotidiano. Il risultato &#232; interessante: entusiasmo diffuso e benefici concreti, ma anche timori profondi legati a controllo, fiducia e identit&#224; professionale.<br>&#128073; <a href="https://www.anthropic.com/news/anthropic-interviewer">https://www.anthropic.com/news/anthropic-interviewer</a></p><p>Su un piano pi&#249; prospettico, il report <strong>AI 2027</strong> descrive uno scenario ravvicinato in cui l&#8217;AI evolve rapidamente in <strong>agenti autonomi</strong>, capaci di perseguire obiettivi, prendere decisioni e operare su larga scala, con impatti rilevanti su modelli di business, governance e sicurezza geopolitica.<br>&#128073; <a href="https://ai-2027.com/">https://ai-2027.com/</a></p><div><hr></div><p>Tra ci&#242; che l&#8217;AI &#232; oggi nelle organizzazioni e ci&#242; che potrebbe diventare nel giro di pochi anni esiste un vuoto progettuale che le aziende non possono permettersi di ignorare. Secondo alcuni, quel vuoto non si colma &#8220;solo&#8221; con la tecnologia, ma con <strong>visione e design consapevole</strong>.</p><p>In questa puntata di <em>DPO News Podcast </em>ne parlo con <strong>Dario Torrisi</strong>, service &amp; strategic designer e venture builder, per esplorare come <strong>design dei servizi, costruzione di nuovi business e compliance digitale</strong> stiano convergendo. </p><p>Quando l&#8217;AI smette di essere un semplice tool e inizia ad agire come un agente, diventano ancora pi&#249; centrali le interfacce, la trasparenza, i confini operativi e la capacit&#224; di rendere visibili decisioni, limiti e responsabilit&#224;.</p><p>Per le aziende, la vera sfida non &#232; adottare l&#8217;AI pi&#249; velocemente degli altri, ma <strong>progettare sistemi affidabili, comprensibili e governabili</strong>, in cui requisiti normativi, fiducia degli utenti e valore di business siano integrati fin dall&#8217;inizio.</p><p>Perch&#233; l&#8217;AI del futuro non si governa a valle, ma si progetta gi&#224; adesso.</p><div class="pullquote"><p>&#127911; Buon ascolto.</p></div>]]></content:encoded></item><item><title><![CDATA[DPO News Podcast | Episodio #1]]></title><description><![CDATA[Guarda ora | Il nostro caff&#232; di mezz&#8217;ora]]></description><link>https://sergioamatoavv.substack.com/p/episodio-1-podcast-dpo-news</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-1-podcast-dpo-news</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 01 Dec 2025 08:45:40 GMT</pubDate><enclosure url="https://api.substack.com/feed/podcast/179841156/60833879702eaf46adab05c984a63514.mp3" length="0" type="audio/mpeg"/><content:encoded><![CDATA[<div class="pullquote"><p>Benvenuti al <strong>Podcast DPO News</strong>, uno spazio di mezz&#8217;ora in cui proviamo a mettere ordine nel caos della regolazione digitale (e non solo).</p></div><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!nShz!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!nShz!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 424w, https://substackcdn.com/image/fetch/$s_!nShz!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 848w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!nShz!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png" width="728" height="728" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:1024,&quot;width&quot;:1024,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:1205959,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/179841156?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!nShz!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 424w, https://substackcdn.com/image/fetch/$s_!nShz!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 848w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1272w, https://substackcdn.com/image/fetch/$s_!nShz!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7ffbdcaa-2175-4877-9a40-6fc8cae8ca1f_1024x1024.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>Ogni settimana raccontiamo in modo semplice e pratico cosa sta cambiando tra privacy, AI, cybersecurity e nuove norme europee &#8212; con un occhio molto concreto alle ricadute per aziende e professionisti.</p><p>In alcune puntate saremo in compagnia di colleghi, imprese e ospiti che stanno vivendo queste sfide dall&#8217;interno: storie, casi reali, errori da evitare e idee che funzionano davvero.</p><div><hr></div><p>Oggi, per la prima puntata, ho invitato un amico di lunga data e collega, @<strong>Matteo Squeo</strong>, avvocato esperto in sostenibilit&#224;, governance ed ESG.</p><p>Negli scorsi giorni eravamo entrambi a Bruxelles e abbiamo seguito da vicino la presentazione del <strong>Digital Omnibus</strong>, il nuovo pacchetto con cui la Commissione Europea prova a rimettere mano &#8212; di nuovo &#8212; al quadro normativo digitale e di sostenibilit&#224;.</p><blockquote><p>La domanda che ci siamo fatti &#232; semplice, ma centrale per chi fa impresa: <strong>si tratta davvero di semplificazione o si tratta di una forma di deregolamentazione &#8220;mascherata&#8221;?</strong></p></blockquote><p>In questo episodio proviamo a rispondere senza giri di parole, partendo da ci&#242; che abbiamo osservato sul campo:</p><ul><li><p>una <strong>frammentazione crescente tra Stati membri</strong> che frena competitivit&#224; e investimenti;</p></li><li><p><strong>normative accelerate</strong>, spesso approvate con grande slancio politico, ma con atti di implementazione lenti o incompleti;</p></li><li><p><strong>mancanza di prevedibilit&#224;</strong> per aziende e operatori, che devono muoversi tra linee guida aggiornate di continuo;</p></li><li><p>la tentazione di &#8220;semplificare&#8221; a valle quello che &#232; stato <strong>sovra-regolato a monte</strong>.</p></li></ul><p>Io porto la prospettiva <strong>privacy, AI e governance digitale</strong>. Matteo porta quella <strong>sostenibilit&#224; e trasparenza ESG</strong>. Il risultato &#232; un confronto molto pratico: come cambia davvero la vita alle imprese?</p><p>Qualche spunto che troverete nell&#8217;episodio:</p><ul><li><p>cosa succede a normativa privacy e AI, gestione della cybersecurity e ricerca scientifica;</p></li><li><p>perch&#233; privacy e sostenibilit&#224; stanno vivendo la stessa &#8220;montagna russa&#8221; normativa;</p></li><li><p>quali rischi reali stanno emergendo (e quali opportunit&#224;);</p></li><li><p>quando la compliance smette di essere un costo e diventa un investimento strategico.</p><p></p></li></ul><div class="pullquote"><p><em>&#127911;<strong>Mettetevi comodi: iniziamo!</strong></em></p></div>]]></content:encoded></item><item><title><![CDATA[🤖Episodio #9 | Whistleblowing: dal Garante nuove indicazioni operative sulla gestione dei canali per imprese e gruppi]]></title><description><![CDATA[In questa nuova puntata trovi i punti essenziali delle ultime novit&#224; in materia di whistleblowing, spiegati in modo pratico, con l&#8217;obiettivo di aiutare le aziende a capire cosa cambia davvero.]]></description><link>https://sergioamatoavv.substack.com/p/episodio-9-whistleblowing-dal-garante</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-9-whistleblowing-dal-garante</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Fri, 28 Nov 2025 11:39:00 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!LclH!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Il Garante privacy ha espresso recentemente un nuovo <strong><a href="https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10184673">parere favorevole</a></strong> - seppur condizionato - su due proposte di delibera dell&#8217;ANAC relative al <em><strong>whistleblowing</strong></em>. In particolare la prima riguarda l&#8217;approvazione delle Linee guida dedicate ai <strong>canali interni di segnalazione di </strong><em><strong>whistleblowing</strong></em>. L&#8217;obiettivo &#232; rendere la gestione delle segnalazioni, sia interne che esterne, pi&#249; uniforme ed efficace sia per i <strong>datori di lavoro pubblici che privati</strong>, e pi&#249; in generale per<strong> tutti i soggetti obbligati</strong>.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!pLoD!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!pLoD!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 424w, https://substackcdn.com/image/fetch/$s_!pLoD!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 848w, https://substackcdn.com/image/fetch/$s_!pLoD!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!pLoD!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!pLoD!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg" width="728" height="437" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:874,&quot;width&quot;:1456,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:null,&quot;alt&quot;:&quot;Contenuto dell&#8217;articolo&quot;,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="Contenuto dell&#8217;articolo" title="Contenuto dell&#8217;articolo" srcset="https://substackcdn.com/image/fetch/$s_!pLoD!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 424w, https://substackcdn.com/image/fetch/$s_!pLoD!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 848w, https://substackcdn.com/image/fetch/$s_!pLoD!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!pLoD!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F38a7b15d-9c66-406e-a9cd-208e703c5ce3_1488x893.jpeg 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><div><hr></div><h4><strong>1. Email? S&#236;, ma non basta: servono misure tecniche aggiuntive</strong></h4><p>Il Garante &#232; chiaro: <strong>la posta elettronica, anche via PEC, non &#232; di per s&#233; adeguata</strong> a garantire la riservatezza del segnalante. Il motivo &#232; semplice: genera log, tracce e metadati che possono rendere identificabile chi segnala. </p><p>Questo non significa che l&#8217;email sia vietata, ma che pu&#242; essere utilizzata <strong>solo</strong> se l&#8217;azienda &#232; in grado di applicare una serie di contromisure ben precise.</p><p><strong>Cosa implica, nella pratica?</strong></p><p>La casella dedicata alle segnalazioni (es. whistleblowing@&#8230;) deve essere <strong>isolata dal resto dell&#8217;infrastruttura IT</strong>, non deve finire in sistemi di ticketing o monitoraggio automatico, e pu&#242; essere accessibile soltanto al gestore del canale. Vanno inoltre ridotti al minimo i log tecnici, disattivate registrazioni non necessarie e configurati firewall, proxy e sistemi di sicurezza in modo da non raccogliere informazioni che possano far risalire all&#8217;identit&#224; del segnalante. Per le segnalazioni gestite con strumenti tradizionali, rimane valido il principio della <strong>&#8220;doppia busta&#8221;</strong>: separare identit&#224; e contenuto, mantenendo la massima riservatezza.</p><p><strong>In sintesi</strong>: se la tua azienda non &#232; in grado di implementare queste misure, meglio utilizzare una piattaforma dedicata.</p><div><hr></div><h4><strong>2. Piattaforme di whistleblowing: meglio se cifrate end-to-end e con non-tracciabilit&#224; di rete</strong></h4><p>Le nuove indicazioni premiano l&#8217;utilizzo di <strong>piattaforme informatiche specializzate</strong>, che permettono un livello di protezione pi&#249; elevato e coerente con i requisiti del D.lgs. 24/2023 e del GDPR.</p><p><strong>Cosa deve assicurare una piattaforma di whistleblowing adeguata?</strong></p><ul><li><p>cifratura dei dati a riposo e in transito;</p></li><li><p>possibilit&#224; per il segnalante di comunicare senza essere tracciato (no IP o <em>user session logging </em>riconducibile);</p></li><li><p>separazione chiara dei ruoli e accesso consentito solo al personale strettamente autorizzato;</p></li><li><p>cancellazione automatica dei dati allo scadere dei cinque anni, come previsto dalla normativa.</p></li></ul><p><strong>In sintesi</strong>: l&#8217;azienda che implementa il proprio canale deve verificare quanto sopra in fase di <em>onboarding </em>del fornitore, tramite un&#8217;attenta analisi della <strong>documentazione tecnica</strong> condivisa da quest&#8217;ultimo, e riflettere queste garanzie all&#8217;interno del <strong>contratto di servizi</strong> e nell&#8217;<strong>atto di nomina a responsabile del trattamento </strong>conforme ai requisiti di cui all&#8217;art. 28 GDPR.</p><div><hr></div><h4><strong>3. Valutazione d&#8217;impatto obbligatoria</strong></h4><p>Il Garante lo ribadisce: <strong>la valutazione di impatto &#232; necessaria</strong>. Non basta dichiarare che il canale &#232; &#8221;sicuro&#8221; o affidarsi alla <em>compliance</em> dichiarata dal fornitore della piattaforma. Va dimostrato, per mezzo di una valutazione d&#8217;impatto (DPIA) conforme ai requisiti dell&#8217;art. 35 del GDPR, che le misure tecniche e organizzative adottate siano idonee a proteggere i dati delle persone nel corso del processo di acquisizione e gestione della segnalazione.</p><p><strong>Cosa deve includere la DPIA?</strong></p><ul><li><p>mappatura dei flussi;</p></li><li><p>mitigazione dei rischi per la riservatezza dell&#8217;identit&#224; del segnalante;</p></li><li><p>informazioni tecniche sulla configurazione degli apparati di rete (firewall, proxy, mail server);</p></li><li><p>verifica delle misure garantite del fornitore, se la gestione &#232; esternalizzata;</p></li><li><p>valutazione circa i principi applicabili al trattamento, le basi giuridiche richiamate, la proporzionalit&#224; e adeguatezza della soluzione adottata.</p></li></ul><p><strong>In sintesi</strong>: non serve una DPIA &#8220;enciclopedica&#8221;, ma serve che sia <strong>specifica</strong> per il canale e per i flussi reali implementati dall&#8217;azienda. Spesso &#232; imprescindibile un coordinamento con il fornitore della piattaforma, specie per gli aspetti di sicurezza e di natura tecnica.</p><div><hr></div><h4><strong>4. Condivisione del canale tra pi&#249; societ&#224; del gruppo? Attenzione al c.d. &#8220;ruolo privacy&#8221;</strong></h4><p>Il Garante corregge un punto cruciale: <strong>la capogruppo, quando gestisce il canale per le altre societ&#224;</strong>, di norma svolge il ruolo di<strong> responsabile del trattamento</strong>, e non di contitolare - come erroneamente rappresentato all&#8217;interno dello schema di Linee guida ANAC.</p><p><strong>Quali sono gli impatti pratici?</strong></p><ul><li><p>va stipulato un<strong> atto di nomina a responsabile del trattamento </strong>conforme ai requisiti di cui all&#8217;art. 28 GDPR <strong>tra societ&#224; del gruppo</strong>;</p></li><li><p>ogni societ&#224; deve comunque nominare <strong>il proprio gestore interno</strong> della segnalazione;</p></li><li><p>la piattaforma deve garantire che ciascuna societ&#224; possa vedere <strong>solo le segnalazioni di propria competenza</strong> attraverso un <strong>processo di segregazione mirato e documentato</strong>.</p></li></ul><p><strong>In sintesi:</strong> la capogruppo che gestisce il canale per le societ&#224; controllate opera come responsabile del trattamento (al pari di un <em>service provider</em>). Serve quindi una n<strong>omina </strong><em><strong>intercompany </strong></em>ex art. 28 GDPR, un <strong>gestore interno</strong> per ciascuna societ&#224; e una piattaforma che garantisca una <strong>separazione delle segnalazioni</strong> tra le diverse entit&#224; del gruppo.</p><div><hr></div><h4><strong>5. Segnalazione non rilevante? La riservatezza va garantita comunque</strong></h4><p>Anche se una segnalazione non ricade nel perimetro <em>whistleblowing</em> (es. lamentela HR, richiesta personale, segnalazione anonima non pertinente), <strong>la riservatezza del segnalante va comunque protetta</strong>.</p><p><strong>Cosa significa all&#8217;atto pratico?</strong></p><ul><li><p>niente inoltri impropri;</p></li><li><p>niente protocollazioni aperte;</p></li><li><p>gestione riservata anche quando non si tratta di una &#8220;segnalazione rilevante&#8221;.</p></li></ul><p><strong>In sintesi:</strong> anche le segnalazioni non &#8220;rilevanti&#8221; devono essere <strong>gestite con riservatezza</strong>: niente inoltri indiscriminati, niente protocolli visibili e trattamento comunque protetto dell&#8217;identit&#224; del segnalante.</p><div><hr></div><h4><strong>6. Tempi di conservazione: massimo 5 anni dall&#8217;esito</strong></h4><p>Il Garante conferma la regola relativa alla gestione e conservazione delle segnalazioni ricevute: i documenti relativi alla segnalazione devono essere conservati per <strong>non oltre cinque anni</strong> dall&#8217;esito della procedura. Sono esclusi solo atti con finalit&#224; ulteriori (disciplinari, giudiziari, investigativi), ma anche questi non dovrebbero contenere l&#8217;identit&#224; del segnalante salvo casi espressamente previsti dalla legge.</p><p><strong>In sintesi:</strong> le aziende devono quindi <strong>allineare procedure, policy di </strong><em><strong>retention</strong></em><strong> e sistemi di cancellazione</strong>, assicurandosi che eventuali documenti ulteriori non contengano l&#8217;identit&#224; del segnalante, salvo eccezioni di legge.</p><div><hr></div><h4><strong>Perch&#233; &#232; importante?</strong></h4><p>Perch&#233; qui il rischio non arriva da un unico fronte. Quando un&#8217;azienda gestisce in modo non conforme un canale di <em>whistleblowing</em> non rischia solo un &#8220;richiamo&#8221; da un&#8217;autorit&#224;, ma <strong>una serie di problemi che si sommano</strong>.</p><p>Da una parte c&#8217;&#232; <strong>ANAC</strong>, che vigila proprio sul funzionamento dei canali di segnalazione: se il canale non &#232; attivo, non &#232; protetto, non &#232; riservato o &#8211; peggio &#8211; se chi segnala subisce anche solo un accenno di ritorsione, la sanzione viene comminata proprio ai sensi del D.lgs. 24/2023.</p><p>Dall&#8217;altra parte c&#8217;&#232; il <strong>Garante Privacy</strong>, che interviene su tutto ci&#242; che riguarda dati personali e riservatezza. Se il segnalante &#232; tracciabile, se non ci sono misure adeguate, se la DPIA manca o se la piattaforma non &#232; configurata correttamente, scatta il profilo attinente alla privacy e alla violazione del GDPR e del Codice in materia di protezione dei dati personali.</p><p>Infine, oltre alle autorit&#224;, c&#8217;&#232; il rischio pi&#249; sottovalutato: <strong>il contenzioso interno</strong>. Un dipendente che ritiene violata la propria riservatezza o che subisce ritorsioni pu&#242; rivolgersi al giudice del lavoro. Qui non si parla solo di sanzioni, ma di <strong>danni reputazionali e perdita di fiducia</strong>.</p><blockquote><p>Un sistema di whistleblowing progettato con cura diventa un vero<strong> strumento di governo aziendale</strong>, capace di<strong> prevenire rischi</strong>,<strong> intercettare criticit&#224; </strong>e <strong>proteggere tanto l&#8217;azienda</strong> quanto le <strong>persone che vi lavorano</strong>. Un <strong>valore strategico</strong> che va ben oltre la semplice conformit&#224;.</p></blockquote><div><hr></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/?utm_source=substack&amp;utm_medium=email&amp;utm_content=share&amp;action=share&quot;,&quot;text&quot;:&quot;Condividi DPO News&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/?utm_source=substack&amp;utm_medium=email&amp;utm_content=share&amp;action=share"><span>Condividi DPO News</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/episodio-9-whistleblowing-dal-garante/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/episodio-9-whistleblowing-dal-garante/comments"><span>Lascia un commento</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://calendly.com/sa-studiolap/30min?month=2025-11&quot;,&quot;text&quot;:&quot;Prendiamo un caff&#232; digitale&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://calendly.com/sa-studiolap/30min?month=2025-11"><span>Prendiamo un caff&#232; digitale</span></a></p><div class="subscription-widget-wrap-editor" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/subscribe?&quot;,&quot;text&quot;:&quot;Iscriviti&quot;,&quot;language&quot;:&quot;it&quot;}" data-component-name="SubscribeWidgetToDOM"><div class="subscription-widget show-subscribe"><div class="preamble"><p class="cta-caption">Grazie per aver letto! Iscriviti gratuitamente per ricevere nuovi Post e supportare il mio lavoro.</p></div><form class="subscription-widget-subscribe"><input type="email" class="email-input" name="email" placeholder="Digita la tua email&#8230;" tabindex="-1"><input type="submit" class="button primary" value="Iscriviti"><div class="fake-input-wrapper"><div class="fake-input"></div><div class="fake-button"></div></div></form></div></div>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #8 | Digital Omnibus: cosa cambia davvero per le aziende]]></title><description><![CDATA[La Commissione presenta due proposte per semplificare AI Act e quadro digitale europeo]]></description><link>https://sergioamatoavv.substack.com/p/episodio-8-digital-omnibus-cosa-cambia</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/episodio-8-digital-omnibus-cosa-cambia</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 24 Nov 2025 14:43:00 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!LclH!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!vm34!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!vm34!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 424w, https://substackcdn.com/image/fetch/$s_!vm34!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 848w, https://substackcdn.com/image/fetch/$s_!vm34!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!vm34!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!vm34!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg" width="480" height="320" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/f5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:320,&quot;width&quot;:480,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:&quot;Contenuto dell&#8217;articolo&quot;,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="Contenuto dell&#8217;articolo" title="Contenuto dell&#8217;articolo" srcset="https://substackcdn.com/image/fetch/$s_!vm34!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 424w, https://substackcdn.com/image/fetch/$s_!vm34!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 848w, https://substackcdn.com/image/fetch/$s_!vm34!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!vm34!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Ff5993d93-36eb-4659-9bdd-15baabc01ffd_480x320.jpeg 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p><strong>Bruxelles, 19 novembre</strong>: la Commissione europea presenta<strong> ufficialmente il Digital Omnibus</strong>, un pacchetto di semplificazione che interviene su una parte estesa del quadro normativo digitale dell&#8217;Unione Europea. Non si tratta di un singolo atto, ma di <strong>due proposte legislative coordinate</strong> che passeranno adesso al <strong>processo legislativo ordinario</strong> (Parlamento europeo e Consiglio dell&#8217;Unione Europea), dove potranno essere modificate anche in maniera significativa.</p><p>Le due iniziative condividono una<strong> logica comune </strong>- la <strong>semplificazione</strong> - ma perseguono questo obiettivo su <strong>piani diversi e complementari</strong>. La direzione politica della Commissione &#232; infatti chiara: semplificare senza per&#242; ridurre (almeno questo il tentativo) il livello di tutela dei diritti dei cittadini europei, rafforzando al contempo la <strong>competitivit&#224; del mercato unico</strong>.</p><p>L&#8217;iniziativa si inserisce in una pi&#249; <strong>ampia strategia della Commissione</strong> orientata alla <strong>competitivit&#224;</strong>. Non a caso lo stesso 19 novembre la Commissione ha presentato anche la <strong><a href="https://commission.europa.eu/document/download/84cfc60e-f264-4f31-9f79-9ec83dce064d_en?filename=JUST_template_comingsoon_standard_14.pdf">2030 Consumer Agenda</a></strong>, che mira a ridurre le complessit&#224; regolatorie e ad allineare le norme del mercato unico a un contesto sempre pi&#249; digitale e transfrontaliero.</p><p>Da Bruxelles, il clima &#232; divisivo: se da un lato <strong><a href="https://www.linkedin.com/posts/max-schrems_eu-must-uphold-hard-won-protections-for-digital-activity-7394689646082895872-xmWn?utm_source=share&amp;utm_medium=member_desktop&amp;rcm=ACoAACRc_PsBjA2MlJd5hXOmXf4om7KXmiD3EvE">Schrems/Noyb.eu</a></strong> parlano di <strong>&#8220;</strong><em><strong>deregulation mascherata</strong></em><strong>&#8221;</strong>, dall&#8217;altro vari accademici - tra cui <strong><a href="https://substack.com/profile/275744240-dr-mark-r-leiser/note/c-176747275?utm_source=substack&amp;utm_content=first-note-modal">Mark Leiser</a></strong> - leggono il pacchetto come <strong>una manutenzione tecnica necessaria del digitale europeo</strong>, con l&#8217;obiettivo di ridurre sovrapposizioni e aumentare coerenza normativa.</p><p>Indipendentemente dalle interpretazioni, il dato oggettivo &#232; chiaro: il Digital Omnibus avvia una <strong>revisione strutturale</strong> del diritto digitale europeo. E per le imprese, al di l&#224; del dibattito, &#232; utile capire <strong>quali sono le novit&#224; </strong>e che<strong> impatti concreti portano con s&#233;</strong>.</p><div><hr></div><h3><strong>Cosa comprende il Digital Omnibus</strong></h3><p>Il <strong>Digital Omnibus</strong> non &#232; un unico atto normativo, ma un pacchetto composto da <strong>due proposte legislative distinte</strong>, presentate simultaneamente dalla Commissione europea per rendere pi&#249; coerente e sostenibile l&#8217;intero quadro digitale dell&#8217;Unione. Le due iniziative agiscono su piani diversi ma complementari: da un lato introducono <strong>correttivi mirati all&#8217;AI Act </strong>per facilitarne l&#8217;attuazione; dall&#8217;altro razionalizzano diversi elementi del <strong>quadro regolatorio digitale vigente</strong>, con l&#8217;intento di semplificare procedure, eliminare duplicazioni e aggiornare disposizioni che oggi risultano - almeno in parte - frammentate. Nel loro complesso, queste due proposte rappresentano l&#8217;avvio di una strategia volta a <strong>ridurre la complessit&#224; regolatoria digitale europea</strong> e a rendere maggiormente prevedibile l&#8217;applicazione delle norme in un <strong>contesto economico sempre pi&#249; integrato e transfrontaliero</strong>.</p><h4><strong>1) Digital Omnibus on AI Regulation Proposal</strong></h4><p>Con la <strong><a href="https://ec.europa.eu/newsroom/dae/redirection/document/121744">proposta COM(2025) 836</a></strong> del pacchetto Digital Omnibus, la Commissione interviene con una serie di <strong>misure correttive e di semplificazioni tecniche e operative</strong>, volte a garantire un&#8217;applicazione pi&#249; <strong>fluida e proporzionata</strong> del <strong>regolamento in materia di intelligenza artificiale</strong>: meno incertezze interpretative, maggiore prevedibilit&#224; nelle scadenze, e un allineamento pi&#249; chiaro tra standard tecnici, obblighi di conformit&#224; e capacit&#224; operative delle aziende.</p><p>Negli ultimi mesi era infatti emerso in modo evidente che l&#8217;impianto dell&#8217;AI Act, pur solido, rischiava di generare <strong>oneri e tempistiche difficilmente gestibili</strong> per molte imprese - europee in primis, soprattutto nei settori con sistemi ad alto rischio, nelle filiere complesse e nelle realt&#224; che sviluppano modelli generativi.</p><h4><strong>2) Digital Omnibus Regulation Proposal</strong></h4><p>La <strong><a href="https://ec.europa.eu/newsroom/dae/redirection/document/121742">proposta COM(2025) 837</a></strong> del pacchetto Digital Omnibus ha un ambito di applicazione molto pi&#249; esteso rispetto a quella dedicata all&#8217;AI Act (Reg. UE 2024/1689). Si tratta di un intervento di natura <strong>sistemica</strong>, che mira a riorganizzare e rendere pi&#249; coerenti <strong>diverse normative del panorama digitale europeo</strong>, oggi distribuite in testi separati e talvolta caratterizzate da sovrapposizioni o disallineamenti.</p><p>L&#8217;armonizzazione prevista dalla proposta si traduce, innanzitutto, nel ricondurre discipline oggi distribuite in testi diversi all&#8217;interno di un unico quadro normativo pi&#249; coerente. Un esempio &#232; l&#8217;integrazione della disciplina <strong>ePrivacy</strong> (Direttiva 2002/58/CE) nelle disposizioni del <strong>GDPR</strong> (Reg. UE 2016/679) dedicate al tracciamento, cos&#236; come la riunificazione delle norme del <strong>Data Governance Act </strong>(Reg. UE 2022/868), il <strong>Regolamento sul libero flusso dei dati non personali </strong>(Reg. UE 2018/1807) e la <strong>Open Data Directive</strong> (Dir. 2019/1024) all&#8217;interno del <strong>Data Act </strong>(Reg. UE 2023/2854), che diventa il riferimento principale per il data sharing e per i nuovi ecosistemi di dati.</p><p>Accanto a questi accorpamenti, la proposta prevede anche <strong>abrogazioni puntuali</strong>, quando una disciplina risulta ormai superata da strumenti pi&#249; recenti. &#200; il caso del <strong>Regolamento Platform-to-Business (P2B)</strong> del 2019: negli ultimi anni gran parte delle materie che disciplinava - in particolare la trasparenza nei rapporti tra piattaforme online e utenti commerciali - &#232; gi&#224; stata assorbita dal <strong>Digital Services Act (DSA)</strong> e dal <strong>Digital Markets Act (DMA)</strong>, che oggi costituiscono il riferimento principale per obblighi, divieti e responsabilit&#224; delle piattaforme online.</p><div><hr></div><h3><strong>Le novit&#224; pi&#249; rilevanti per le aziende</strong></h3><h4><strong>a) Dati personali e non personali: verso una definizione dei criteri</strong></h4><p>La proposta contenuta nel Digital Omnibus chiarisce che la natura personale di un&#8217;informazione <strong>non dipende da una possibilit&#224; astratta di identificazione</strong>, ma dai <strong>mezzi ragionevolmente disponibili all&#8217;entit&#224; che tratta i dati</strong>. A ben vedere, si tratta di un&#8217;impostazione che ricalca il solco tracciato da alcuni recenti orientamenti della Corte di giustizia (si veda, ad esempio, la <strong><a href="https://curia.europa.eu/juris/document/document.jsf?text=&amp;docid=303863&amp;pageIndex=0&amp;doclang=IT&amp;mode=req&amp;dir=&amp;occ=first&amp;part=1&amp;cid=16681755">sentenza C-413/23 P &#8211; EDPS v SRB</a></strong>), che in tale contesto ha valorizzato un approccio concreto e contestuale all&#8217;identificabilit&#224;, aprendo al concetto di &#8220;<strong>assenza di una ragionevole possibilit&#224; di reidentificazione&#8221;</strong> da parte del soggetto che riceve o utilizza i dati.</p><p><strong>Risvolto concreto per le aziende</strong>: sul piano operativo, si apre una valutazione pi&#249; flessibile in alcuni contesti, come la <strong>ricerca scientifica e applicata</strong>, i <strong>modelli di condivisione dei dati</strong> o scenari in cui un&#8217;organizzazione riceve dataset pseudonimizzati senza avere mezzi realistici per reidentificarli. Lo stesso approccio pu&#242; incidere sulle valutazioni relative ai <strong>trasferimenti di dati verso Paesi non coperti da decisioni di adeguatezza</strong>, quando il destinatario non risulta ragionevolmente in grado di associare i dati a persone identificate o identificabili.</p><div><hr></div><h4><strong>b) Sviluppo di sistemi di AI: &#8220;legittimo interesse&#8221; delle aziende, uso dei dati e nuove tempistiche di attuazione</strong></h4><p>La proposta di Digital Omnibus chiarisce, innanzitutto, che le attivit&#224; di sviluppo, addestramento, testing e miglioramento dei sistemi di AI possono, in determinati contesti previsti dalla proposta del nuovo articolo 88c del GDPR, fondarsi sul <strong>legittimo interesse</strong> del titolare. Non si tratta di una nuova base giuridica, ma di una specificazione del modo in cui l&#8217;art. 6(1)(f) del GDPR pu&#242; essere utilizzato quando sono rispettate misure di tutela adeguate. L&#8217;obiettivo &#232; evitare che ogni trattamento a fini di training richieda il consenso esplicito, pur mantenendo un presidio sostanziale sulle tutele degli interessati. In continuit&#224; con questa impostazione, il trattamento di <strong>categorie particolari di dati</strong> per finalit&#224; di sviluppo o miglioramento dell&#8217;AI viene ammesso solo in <strong>forma residuale e con cautele elevate</strong>, come tecniche avanzate di protezione, segregazione dei dataset e limiti rigorosi agli accessi e ai riusi rispetto alle finalit&#224; originarie.</p><p>Per altro verso, un ruolo centrale nel pacchetto dedicato alla revisione dell&#8217;AI Act, &#232; assegnato agli <strong>standard armonizzati</strong>, che diventano la via preferenziale per dimostrare la conformit&#224; tecnica dei sistemi. La Commissione, attraverso l&#8217;AI Office e gli organismi europei di normazione, dovr&#224; definire standard per i sistemi ad alto rischio -riguardanti gestione del rischio, qualit&#224; dei dati, documentazione tecnica e tracciabilit&#224; - e standard specifici per i sistemi di AI general purpose, inclusi i profili di <em>content labelling </em>e <em>watermarking</em>. Le stesse linee guida dovranno chiarire le responsabilit&#224; lungo la catena del valore, cos&#236; da evitare che gli oneri regolatori si concentrino impropriamente su un solo anello (fornitori di modelli di base, integratori o deployer).</p><p>Sul versante delle <strong>tempistiche di attuazione</strong>, la proposta introduce <strong>margini pi&#249; ampi</strong> per l&#8217;adeguamento dei sistemi di AI <strong>ad alto rischio</strong>, in particolare nei settori pi&#249; sensibili come <strong>occupazione, credito, sanit&#224;, biometria e </strong><em><strong>law enforcement</strong></em>. Alcuni requisiti potrebbero entrare in piena applicazione solo nel<strong> 2027</strong> (rispetto alla scadenza iniziale prevista per agosto 2026), per consentire alle imprese di sviluppare e implementare soluzioni tecnologiche conformi in tempi non eccessivamente compressi. A ci&#242; si affiancano misure specifiche per <strong>PMI e </strong><em><strong>small mid-caps</strong></em>, che potranno fare ricorso in modo esteso a <strong>schemi semplificati</strong> di valutazione di conformit&#224;, linee guida e modelli europei, oltre a un <strong>ridimensionamento della frequenza e della granularit&#224; di alcuni obblighi documentali</strong> in funzione del rischio effettivo dei sistemi sviluppati o implementati. Ne &#232; un esempio la proposta di modifica dell&#8217;art. 11 dell&#8217;AI Act, proprio in tema di documentazione tecnica.</p><p><strong>Risvolto concreto per le aziende</strong>: i team AI potranno contare su un quadro giuridico pi&#249; prevedibile, soprattutto per fasi di training e testing, nonch&#233; di retraining dei modelli di AI, fermo restando il rispetto delle garanzie poste dal GDPR in tema di minimizzazione, trasparenza e tutela dei diritti. Per le imprese significa poter pianificare lo sviluppo dell&#8217;AI con maggiore continuit&#224;, contando su percorsi di conformit&#224; pi&#249; lineari, integrati e proporzionati al rischio dei sistemi impiegati.</p><div><hr></div><h4><strong>c) Decisioni automatizzate: definizione armonizzata</strong></h4><p>Il Digital Omnibus interviene anche sul tema delle <strong>decisioni automatizzate </strong>di cui all&#8217;art. 22 del GDPR, rimuovendo il <strong>divieto generale</strong> di cui al primo paragrafo dell&#8217;articolo in questione.</p><p>Il testo specifica che una decisione basata solo su trattamento automatizzato pu&#242; essere &#8220;necessaria&#8221; ai fini dell&#8217;esecuzione o della conclusione di un contratto <strong>anche se, in teoria, potrebbe essere presa da un operatore umano</strong>, purch&#233; l&#8217;automazione rappresenti la soluzione pi&#249; proporzionata e meno invasiva per raggiungere il risultato atteso.</p><p>Viene infatti chiarito il significato del<strong> requisito di &#8220;necessit&#224;&#8221; </strong>quando una decisione automatizzata viene adottata nell&#8217;<strong>esecuzione di un contratto</strong>. La proposta specifica che la necessit&#224; pu&#242; ricorrere anche quando la stessa decisione potrebbe, in astratto, essere presa da un operatore umano, purch&#233; l&#8217;automazione rappresenti la soluzione pi&#249; proporzionata e meno invasiva, a parit&#224; di risultato atteso. In questo modo si supera l&#8217;interpretazione pi&#249; rigida secondo cui l&#8217;automazione sarebbe &#8220;necessaria&#8221; soltanto se non esistesse un&#8217;alternativa manuale.</p><p>La proposta introduce inoltre una definizione pi&#249; chiara di <strong>&#8220;decisione interamente automatizzata&#8221;</strong>, cos&#236; da evitare approcci divergenti tra Stati membri e rendere pi&#249; stabile l&#8217;applicazione del GDPR nei casi in cui coesistono componenti automatiche e verifiche umane.</p><p><strong>Risvolto concreto per le aziende</strong>: per le aziende ci&#242; si traduce in una maggiore certezza giuridica nell&#8217;implementazione di workflow automatizzati - ad esempio nei sistemi di scoring, nella valutazione del rischio o nei processi di onboarding - e nella possibilit&#224; di progettare soluzioni decisionali ibride con criteri pi&#249; uniformi e prevedibili.</p><div><hr></div><h4><strong>d) Gestione dei data breach: verso un unico canale europeo</strong></h4><p>Il Digital Omnibus introduce una modifica rilevante nella <strong>gestione degli incidenti di sicurezza e dei data breach</strong>, intervenendo sulla <strong>NIS2</strong> (Direttiva UE 2022/2555) con l&#8217;inserimento di un nuovo articolo 23a. La norma attribuisce a ENISA il compito di progettare e mantenere un <strong>portale digitale unico europeo</strong> attraverso il quale inoltrare le notifiche di incidente. Una comunicazione trasmessa tramite questo canale diventa valida contemporaneamente per tutti i regimi applicabili: NIS2, GDPR per i data breach, DORA, CER ed eIDAS, incluse le attivit&#224; legate ai trust services. L&#8217;infrastruttura sar&#224; interoperabile con le <strong>European Business Wallets</strong>, lo strumento europeo di identit&#224; e attestazioni digitali per imprese e operatori, destinato a fungere da meccanismo comune di autenticazione nei rapporti transfrontalieri con la PA e tra soggetti privati.</p><p>Il nuovo sistema si basa su alcuni principi chiave: la notifica del data breach all&#8217;autorit&#224; sar&#224; richiesta solo in caso di <strong>rischio elevato</strong> per i diritti e le libert&#224; degli interessati; la finestra temporale per la comunicazione viene estesa a <strong>96 ore</strong>; e viene introdotto un modello &#8220;<strong>report once, share many</strong>&#8221;, che consente di effettuare un&#8217;unica notifica valida per pi&#249; obblighi regolatori. Questo approccio mira a ridurre la frammentazione attuale, in cui organizzazioni soggette contemporaneamente a GDPR, NIS2 o DORA si trovano spesso a dover gestire flussi duplicati di segnalazioni verso autorit&#224; diverse.</p><p><strong>Risvolto concreto per le aziende</strong>: per le aziende, l&#8217;impatto sar&#224; duplice: da un lato una significativa riduzione delle duplicazioni di reporting e una gestione pi&#249; efficiente degli incidenti; dall&#8217;altro la necessit&#224; di adeguare i workflow interni, rivedere i processi di escalation e allineare i sistemi tecnici e le procedure interne al funzionamento del single entry point europeo. Il nuovo modello richieder&#224; quindi un adattamento organizzativo, ma promette di razionalizzare nel medio periodo uno degli ambiti pi&#249; complessi della conformit&#224; digitale europea.</p><div><hr></div><h4><strong>e) Tracking technologies: regime unico sotto il GDPR</strong></h4><p>Il Digital Omnibus interviene in modo strutturale sulla disciplina del <strong>tracciamento online</strong>, spostando definitivamente sotto il perimetro del GDPR tutto ci&#242; che oggi ricade nella normativa ePrivacy: cookie, <em>fingerprinting</em>, tecniche di <em>cross-device tracking</em> e sistemi di rilevazione integrati nei veicoli. La logica &#232; quella di eliminare la sovrapposizione tra fonti normative e riportare in un unico testo gli obblighi legati all&#8217;acquisizione del consenso, alle eccezioni e alle modalit&#224; con cui gli utenti possono esprimere opposizione.</p><p>Il contenuto dell&#8217;ePrivacy viene trasferito nel GDPR attraverso l&#8217;introduzione del nuovo articolo 88a, mentre il nuovo articolo 88b disciplina i <strong>segnali di consenso e opposizione in formato </strong><em><strong>machine-readable</strong></em>, destinati a essere integrati nei browser e nei dispositivi. Questi segnali avranno valore giuridico vincolante e dovranno essere automaticamente accettati dai siti, segnando il passaggio da un sistema frammentato basato sui banner a un modello pi&#249; standardizzato, in cui la <strong>scelta dell&#8217;utente</strong> viene registrata a <strong>livello di sistema operativo o browser</strong>. L&#8217;obiettivo dichiarato &#232; quello di superare l&#8217;attuale proliferazione di interfacce di scelta, ridurre la cosiddetta <em><strong>cookie fatigue </strong></em>e rendere <strong>pi&#249; trasparenti e verificabili le preferenze dell&#8217;utente</strong>.</p><p>La proposta chiarisce inoltre il perimetro delle <strong>eccezioni</strong>: restano ammesse le operazioni <strong>strettamente necessarie alla trasmissione della comunicazione</strong>, all&#8217;<strong>erogazione del servizio </strong>richiesto, alla <strong>sicurezza</strong> e all&#8217;<em><strong>audience measurement</strong></em><strong> in forma aggregata</strong>. Contestualmente viene introdotto un periodo di <em><strong>cooling-off </strong></em><strong>di sei mesi</strong> successivo al rifiuto, durante il quale non sar&#224; possibile riproporre richieste di consenso analoghe, a meno che non intervengano elementi nuovi o modifiche sostanziali al trattamento.</p><p><strong>Risvolto concreto per le aziende</strong>: per le aziende digitali il cambiamento &#232; significativo: i meccanismi di gestione del consenso dovranno essere ripensati alla luce di segnali tecnici standardizzati a livello europeo, con un impatto diretto sulle CMP, sui flussi interni e sull&#8217;esperienza utente. Il risultato atteso &#232; una riduzione dei banner e una maggiore automazione nella gestione delle preferenze. Per gli editori &#232; inoltre previsto un regime dedicato, che tiene conto delle specificit&#224; del settore e del ruolo dei media service provider.</p><div><hr></div><h4><strong>f) Oneri di trasparenza e valutazione d&#8217;impatto: cosa cambia</strong></h4><p>Il Digital Omnibus interviene anche sul sistema degli obblighi di trasparenza e sulle valutazioni d&#8217;impatto privacy, con modifiche che hanno un impatto diretto sia sulle imprese multinazionali sia sulle organizzazioni che operano su scala transfrontaliera. Una novit&#224; importante riguarda l&#8217;<strong>armonizzazione europea delle liste dei trattamenti che richiedono una valutazione d&#8217;impatto (DPIA)</strong> ai sensi dell&#8217;art. 35 del GDPR e <strong>di quelli che ne sono esclusi</strong>, accompagnata dall&#8217;introduzione di <strong>template e metodologie standard</strong> da utilizzare in tutta l&#8217;Unione. Questo intervento punta a superare una delle criticit&#224; pi&#249; evidenti degli ultimi anni: la moltiplicazione di interpretazioni divergenti sulla necessit&#224; di porre in essere o meno una valutazione d&#8217;impatto documentata prima che si inizi un trattamento.</p><p>A queste misure si affianca un intervento sull&#8217;art. 13 GDPR. La proposta chiarisce che gli <strong>obblighi informativi </strong>possono essere alleggeriti nei contesti in cui il trattamento avviene all&#8217;interno di una <strong>relazione chiara e circoscritta con l&#8217;interessato</strong>, in assenza di attivit&#224; ad alto rischio o di informazioni rilevanti mancanti. Quando il trattamento &#232; poco &#8220;intensivo&#8221; e il titolare pu&#242; ragionevolmente presumere che l&#8217;interessato sia gi&#224; a conoscenza delle informazioni principali, alcune delle prescrizioni dell&#8217;art. 13 possono non applicarsi; restano invece pienamente operative in caso di:</p><ul><li><p>trasmissione a destinatari ulteriori;</p></li><li><p>trasferimenti verso Paesi terzi;</p></li><li><p>decisioni automatizzate ad alto rischio; o</p></li><li><p>trattamenti che comportano un rischio significativo per i diritti e le libert&#224; degli interessati.</p></li></ul><p><strong>Risvolto concreto per le aziende</strong>: per le imprese - in particolare per i gruppi multinazionali che operano in pi&#249; Stati membri - l&#8217;adozione di criteri uniformi per le DPIA riduce in modo significativo le incertezze interpretative e le duplicazioni documentali, mentre l&#8217;approccio pi&#249; proporzionato alla trasparenza consente di evitare obblighi ridondanti nei trattamenti ordinari e a basso rischio. L&#8217;impatto &#232; per&#242; significativo anche per startup e PMI, che beneficiano di un alleggerimento concreto degli oneri informativi quando il rapporto con l&#8217;interessato &#232; circoscritto, il trattamento &#232; limitato e il rischio, conseguentemente, risulta contenuto.</p><div><hr></div><h4><strong>e) Focus sulla ricerca scientifica</strong></h4><p>La proposta del Digital Omnibus interviene anche sulla disciplina della <strong>ricerca scientifica</strong>, introducendo chiarimenti rilevanti per universit&#224;, enti pubblici, ospedali, imprese e soggetti che sviluppano tecnologie <em>data-driven </em>e sistemi di intelligenza artificiale. In primo luogo viene aggiornata la <strong>definizione di &#8220;ricerca scientifica&#8221;</strong> contenuta nella proposta di modifica all&#8217;art. 4 GDPR, <strong>ampliandone la portata</strong> e ricomprendendo non solo le attivit&#224; accademiche tradizionali, ma anche quelle che contribuiscono allo <strong>sviluppo tecnologico</strong>, alla dimostrazione e all&#8217;applicazione innovativa della conoscenza. La definizione chiarisce inoltre che la ricerca pu&#242; essere svolta anche in <strong>contesti non accademici </strong>e che la <strong>finalit&#224; commerciale non ne esclude la qualificazione come ricerca scientifica</strong>, purch&#233; siano rispettati gli standard etici previsti per il settore.</p><p>In parallelo, la modifica all&#8217;art. 5 GDPR specifica che l&#8217;<strong>ulteriore trattamento dei dati per finalit&#224; di ricerca scientifica</strong> pu&#242; essere considerato <strong>compatibile con la finalit&#224; iniziale</strong>, indipendentemente dalle condizioni previste dall&#8217;art. 6(4). Questo chiarimento rafforza la certezza giuridica per i progetti in cui dati raccolti per finalit&#224; primarie - ad esempio assistenza sanitaria, erogazione di un servizio o gestione amministrativa - devono essere successivamente riutilizzati per attivit&#224; di ricerca. Il riuso &#232; ammesso nell&#8217;ambito delle garanzie dell&#8217;art. 89 GDPR, e consente una gestione pi&#249; lineare dei flussi informativi tra ospedali, centri di ricerca, universit&#224; e imprese.</p><p><strong>Risvolto concreto per le aziende</strong>: nel complesso, gli interventi sugli artt. 4 e 5 del GDPR rendono pi&#249; lineare la valutazione della compatibilit&#224; dei trattamenti per finalit&#224; di ricerca e forniscono un perimetro pi&#249; definito per il riuso dei dati in contesti scientifici e industriali. Per le organizzazioni che conducono progetti di ricerca applicata o sviluppano sistemi di AI nel contesto della ricerca scientifica, ci&#242; significa poter operare con un quadro regolatorio pi&#249; prevedibile, in un contesto storicamente caratterizzato da incertezza interpretativa.</p><div><hr></div><h3><strong>Cosa aspettarsi nei prossimi mesi</strong></h3><p>Con la presentazione del Digital Omnibus, le due proposte legislative avviano ora il loro percorso nell&#8217;ambito del <strong>procedimento legislativo ordinario</strong>. Durante questa fase, <strong>Parlamento europeo e Consiglio</strong> potranno intervenire in modo significativo sui testi, con la possibilit&#224; di:</p><ul><li><p>introdurre emendamenti;</p></li><li><p>modificare o alleggerire alcune parti;</p></li><li><p>irrigidire determinati obblighi; oppure</p></li><li><p>riscrivere intere sezioni qualora lo ritengano necessario.</p></li></ul><p>Il risultato finale potr&#224; quindi differire anche in misura rilevante rispetto alle bozze attualmente pubblicate.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!fntU!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!fntU!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 424w, https://substackcdn.com/image/fetch/$s_!fntU!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 848w, https://substackcdn.com/image/fetch/$s_!fntU!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!fntU!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!fntU!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg" width="728" height="970.6666666666666" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:1500,&quot;width&quot;:1125,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:null,&quot;alt&quot;:&quot;Contenuto dell&#8217;articolo&quot;,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="Contenuto dell&#8217;articolo" title="Contenuto dell&#8217;articolo" srcset="https://substackcdn.com/image/fetch/$s_!fntU!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 424w, https://substackcdn.com/image/fetch/$s_!fntU!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 848w, https://substackcdn.com/image/fetch/$s_!fntU!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!fntU!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F45cff7ca-c6e2-4c97-8e5e-8cb2bafeee84_1125x1500.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>Sul piano economico, la Commissione stima che il pacchetto possa generare <strong>risparmi amministrativi fino a circa 1 miliardo di euro l&#8217;anno</strong>, con un <strong>effetto cumulato potenziale di circa 5 miliardi di euro entro il 2029</strong>, in funzione dell&#8217;esito del processo legislativo e delle modalit&#224; attuative negli Stati membri.</p><p>Si tratta di valori previsionali che sintetizzano l&#8217;obiettivo dichiarato del Digital Omnibus: <strong>ridurre la complessit&#224; amministrativa </strong>e <strong>migliorare l&#8217;efficienza complessiva </strong>del sistema regolatorio europeo.</p><div><hr></div><h3><strong>Alcune riflessioni finali</strong></h3><p>Il Digital Omnibus si propone di intervenire su pi&#249; livelli del quadro digitale europeo con un obiettivo comune: <strong>allineare le norme esistenti, chiarirne l&#8217;applicazione e concentrare in un insieme pi&#249; coerente discipline</strong> oggi distribuite in testi normativi diversi, nel tentativo di ridurre la frammentazione che negli anni ha contribuito ad aumentare la complessit&#224; regolatoria per aziende e istituzioni europee.</p><p>In questa prospettiva, il Digital Omnibus rappresenta un passaggio significativo all&#8217;interno della strategia europea dedicata allo <em><strong><a href="https://digital-strategy.ec.europa.eu/en">shaping Europe&#8217;s digital future</a></strong></em>: un lavoro di riallineamento e integrazione delle regole che mira a renderne <strong>pi&#249; lineare e interoperabile</strong> l&#8217;applicazione pratica, consentendo alle imprese di operare con maggiore prevedibilit&#224; in un contesto sempre pi&#249; interconnesso. Si tratta infatti di una proposta mirata alla <strong>semplificazione dell&#8217;ecosistema normativo europeo</strong>, con l&#8217;intento di creare le condizioni pi&#249; favorevoli allo <strong>sviluppo di servizi e tecnologie digitali nel mercato unico</strong>.</p><blockquote><p>Per le aziende il messaggio &#232; chiaro: la direzione non &#232; &#8220;meno regole&#8221; <em>tout court</em>, ma <strong>regole pi&#249; leggibili e integrate</strong>, che permettono di innovare riducendo la complessit&#224; e gli oneri amministrativi. Una sfida che apre a <strong>nuove possibilit&#224;</strong>, purch&#233; affrontata con consapevolezza, capacit&#224; di adattamento e una visione strategica.</p></blockquote><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!CL6W!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!CL6W!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 424w, https://substackcdn.com/image/fetch/$s_!CL6W!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 848w, https://substackcdn.com/image/fetch/$s_!CL6W!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!CL6W!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!CL6W!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg" width="728" height="222.49114703618167" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/b445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:397,&quot;width&quot;:1299,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:36140,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/179799650?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!CL6W!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 424w, https://substackcdn.com/image/fetch/$s_!CL6W!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 848w, https://substackcdn.com/image/fetch/$s_!CL6W!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!CL6W!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb445a8ea-c0b5-4405-a583-85d96982f522_1299x397.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/episodio-8-digital-omnibus-cosa-cambia?utm_source=substack&utm_medium=email&utm_content=share&action=share&quot;,&quot;text&quot;:&quot;Condividi&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/episodio-8-digital-omnibus-cosa-cambia?utm_source=substack&utm_medium=email&utm_content=share&action=share"><span>Condividi</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/episodio-8-digital-omnibus-cosa-cambia/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/episodio-8-digital-omnibus-cosa-cambia/comments"><span>Lascia un commento</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://calendly.com/sa-studiolap/30min&quot;,&quot;text&quot;:&quot;Prendiamo un caff&#232; digitale&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://calendly.com/sa-studiolap/30min"><span>Prendiamo un caff&#232; digitale</span></a></p><p></p><p></p>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #7 | LinkedIn e AI generativa: chi addestra chi?]]></title><description><![CDATA[Da oggi la piattaforma LinkedIn addestrer&#224; i propri algoritmi "intelligenti" con i dati degli utenti che non si sono opposti. Ecco cosa cambia e come esercitare il diritto di opposizione.]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-7-linkedin-e-ai-generativa</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-7-linkedin-e-ai-generativa</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 03 Nov 2025 10:11:43 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!LclH!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Da oggi, luned&#236; 3 novembre, entrano in vigore le modifiche apportate dalla <strong>piattaforma LinkedIn</strong> alla <strong><a href="https://it.linkedin.com/legal/privacy/eu">privacy policy rivolta agli utenti europei</a></strong>. LinkedIn ha infatti annunciato che intende utilizzare i dati di tutti <strong>gli utenti europei maggiorenni</strong> del suo servizio per addestrare i propri sistemi di <strong>intelligenza artificiale generativa</strong> sulla base del<strong> legittimo interesse</strong>.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!cU6V!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!cU6V!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 424w, https://substackcdn.com/image/fetch/$s_!cU6V!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 848w, https://substackcdn.com/image/fetch/$s_!cU6V!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 1272w, https://substackcdn.com/image/fetch/$s_!cU6V!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!cU6V!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png" width="728" height="728" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:false,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:1000,&quot;width&quot;:1000,&quot;resizeWidth&quot;:728,&quot;bytes&quot;:null,&quot;alt&quot;:&quot;Contenuto dell&#8217;articolo&quot;,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:&quot;center&quot;,&quot;offset&quot;:false}" class="sizing-normal" alt="Contenuto dell&#8217;articolo" title="Contenuto dell&#8217;articolo" srcset="https://substackcdn.com/image/fetch/$s_!cU6V!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 424w, https://substackcdn.com/image/fetch/$s_!cU6V!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 848w, https://substackcdn.com/image/fetch/$s_!cU6V!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 1272w, https://substackcdn.com/image/fetch/$s_!cU6V!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8769f20d-5109-402e-8e9f-463980f9e682_1000x1000.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a><figcaption class="image-caption">Immagine generata con l&#8217;ausilio parziale di strumenti di intelligenza artificiale, con adattamento, revisione e validazione umana</figcaption></figure></div><h3><strong>Dati utilizzati</strong></h3><p>LinkedIn potr&#224; raccogliere e utilizzare per l&#8217;addestramento del suo sistema di IA generativa tutti i contenuti pubblici, tra cui:</p><ul><li><p><strong>Dati del profilo</strong>: nome, foto, posizione lavorativa attuale, esperienza professionale, formazione, localit&#224;, competenze, certificazioni, licenze, esperienze di volontariato, pubblicazioni, brevetti, conferme di competenze e referenze</p></li><li><p><strong>Dati relativi alle offerte di lavoro</strong>: risposte a domande per la selezione e <em>curriculum vitae</em></p></li><li><p><strong>Dati di gruppo</strong>: attivit&#224; e messaggi di gruppo</p></li><li><p><strong>Contenuti</strong>: post, articoli, risposte a sondaggi, contributi e commenti (in tutti i formati) degli utenti</p></li><li><p><strong>Feedback</strong>: dati relativi a <em>feedback</em> e miglioramenti, che possono includere richieste di supporto da parte di utenti, reazioni con pollice in su/gi&#249; ai suggerimenti generati dall&#8217;IA, nonch&#233; segnalazioni di problemi relativi ai contenuti di IA generativa</p></li><li><p><strong>Dati di interazione con le funzionalit&#224; dell&#8217;IA generativa</strong>: contenuti che gli utenti immettono nelle funzionalit&#224; di IA generativa (ad esempio testo delle ricerche, richieste e domande)</p></li></ul><h3><strong>Dati protetti</strong></h3><p>Esistono categorie di dati che rimangono escluse dall&#8217;utilizzo per scopi di addestramento IA, garantendo in ogni caso una <strong>tutela &#8220;base&#8221; della privacy degli utenti</strong>. LinkedIn ha infatti dichiarato che, per addestrare i propri modelli di IA generativa, non intende utilizzare:</p><ul><li><p><strong>Messaggi privati </strong>e conversazioni dirette degli utenti</p></li><li><p><strong>Credenziali di accesso</strong> delle utenze</p></li><li><p>Dati relativi a <strong>metodi di pagamento </strong>e <strong>carte di credito</strong></p></li><li><p><strong>Dati sulla retribuzione</strong> forniti dagli utenti e i <strong>dati relativi alle candidature</strong> attribuibili a un utente specifico</p></li></ul><div><hr></div><h3><strong>I servizi basati su IA che LinkedIn mette a disposizione degli utenti</strong></h3><p>La raccolta di queste informazioni consente a LinkedIn di alimentare alcune <strong>funzionalit&#224; di intelligenza artificiale generativa</strong>, finalizzate a migliorare l&#8217;esperienza professionale sulla piattaforma. Tra queste rientrano:</p><ul><li><p><strong>Funzionalit&#224; di supporto all&#8217;utente</strong>: gli utenti possono fornire dati personali come <em>input</em> in strumenti di IA generativa (es. <em>Suggerimenti di scrittura</em> o <em>Suggerimenti di scrittura per il profilo</em>). L&#8217;IA elabora questi dati per proporre testi o contenuti che l&#8217;utente pu&#242; rivedere, modificare e approvare prima della pubblicazione</p></li><li><p><strong>Suggerimenti di lavoro e strumenti di </strong><em><strong>recruiting</strong></em>: LinkedIn pu&#242; trattare informazioni come qualifica, anni di esperienza, curriculum o risposte a candidature per generare contenuti personalizzati e migliorare funzionalit&#224; come la ricerca e i suggerimenti di offerte di lavoro, strumenti di selezione per i <em>recruiter</em> (es. <em>Hiring Assistant</em>) o post e profili consigliati</p></li><li><p><strong>Interazioni e miglioramento dei modelli</strong>: quando l&#8217;utente interagisce con una funzionalit&#224; di IA (input, output, preferenze linguistiche, feedback), tali dati possono essere raccolti per <strong>analisi e ottimizzazione del servizio</strong></p></li></ul><div><hr></div><h3><strong>La facolt&#224; di opt-out: come opporsi</strong></h3><p>L&#8217;impostazione <strong>&#8220;Dati per migliorare l&#8217;IA generativa&#8221;</strong> risulta <strong>attiva per impostazione predefinita</strong>, poich&#233; LinkedIn fonda tale trattamento sulla <strong>base giuridica del legittimo interesse</strong>. Di conseguenza, i dati personali degli utenti vengono automaticamente utilizzati per l&#8217;addestramento e il miglioramento dei modelli di intelligenza artificiale, <strong>salvo che l&#8217;utente eserciti il proprio diritto di opposizione</strong>.</p><p>Esercitando tale diritto, l&#8217;utente pu&#242; <strong>impedire che i propri dati personali presenti su LinkedIn vengano utilizzati per addestrare o perfezionare sistemi di IA generativa</strong>.</p><p>Per farlo, LinkedIn offre due modalit&#224; di opposizione:</p><ol><li><p><strong><a href="https://www.linkedin.com/uas/login?session_redirect=https%3A%2F%2Fwww.linkedin.com%2Fmypreferences%2Fd%2Fsettings%2Fdata-for-ai-improvement">Toogle switch</a></strong>: il link, una volta effettuato l&#8217;accesso, <strong>reindirizza l&#8217;utente alla sezione delle impostazioni sulla privacy</strong> di LinkedIn, dove &#232; possibile <strong>disattivare l&#8217;opzione tramite l&#8217;apposito pulsante</strong></p></li><li><p><strong><a href="https://www.linkedin.com/help/linkedin/ask/TS-DPRO">Modulo online</a></strong>: il link rimanda alla pagina dedicata predisposta da LinkedIn per l&#8217;<strong>esercizio del diritto di opposizione</strong>. All&#8217;interno del modulo online, nel menu a tendina posto sotto la voce <em>&#8220;Selezionare il tipo di richiesta di opposizione o restrizione&#8221;</em>, &#232; necessario selezionare l&#8217;opzione &#8220;<em><strong>Opposizione al trattamento per l&#8217;addestramento dei modelli di IA finalizzati alla creazione di contenuti</strong></em>&#8221;. La richiesta pu&#242; essere inviata senza l&#8217;obbligo di fornire alcuna motivazione aggiuntiva</p></li></ol><p>Per maggior informazioni e per approfondire l&#8217;IA generativa applicata (d)a LinkedIn, suggerisco un&#8217;occhiata alle <strong><a href="https://www.linkedin.com/help/linkedin/answer/a5538339?hcppcid=search">FAQ</a></strong> in materia.</p><div><hr></div><blockquote><p>In un ecosistema digitale sempre pi&#249; guidato dall&#8217;intelligenza artificiale, la trasparenza sull&#8217;uso dei dati resta il presupposto essenziale per garantire fiducia, responsabilit&#224; e controllo dell&#8217;utente. Le nuove tecnologie possono infatti semplificare il modo in cui comunichiamo e lavoriamo, ma non devono mai farci dimenticare che l&#8217;innovazione &#232; sostenibile solo se rimane sotto il nostro controllo.</p></blockquote><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/dpo-news-6-nuovi-obblighi-in-materia/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:&quot;button-wrapper&quot;}" data-component-name="ButtonCreateButton"><a class="button primary button-wrapper" href="https://sergioamatoavv.substack.com/p/dpo-news-6-nuovi-obblighi-in-materia/comments"><span>Lascia un commento</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/chi-sono&quot;,&quot;text&quot;:&quot;Chi sono&quot;,&quot;action&quot;:null,&quot;class&quot;:&quot;button-wrapper&quot;}" data-component-name="ButtonCreateButton"><a class="button primary button-wrapper" href="https://sergioamatoavv.substack.com/p/chi-sono"><span>Chi sono</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto&quot;,&quot;text&quot;:&quot;Prendiamo un caff&#232; digitale&quot;,&quot;action&quot;:null,&quot;class&quot;:&quot;button-wrapper&quot;}" data-component-name="ButtonCreateButton"><a class="button primary button-wrapper" href="https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto"><span>Prendiamo un caff&#232; digitale</span></a></p>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #6 | Nuovi obblighi in materia di cybersecurity: l'ACN impone la nomina del referente CSIRT a partire dal 20 novembre 2025]]></title><description><![CDATA[Tra un mese scatta l&#8217;obbligo di designare il referente CSIRT per le organizzazioni nel perimetro NIS: la figura potr&#224; essere anche un professionista esterno dotato di adeguate competenze]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-6-nuovi-obblighi-in-materia</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-6-nuovi-obblighi-in-materia</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 20 Oct 2025 15:49:58 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!LclH!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Il <strong>referente del </strong><em><strong>Computer Security Incident Response Team</strong></em><strong> (CSIRT</strong>) &#232; la nuova figura operativa introdotta dall&#8217;Agenzia per la Cybersicurezza Nazionale (ACN) per tutte le organizzazione soggette alla normativa NIS, in attuazione del D.Lgs. 138/2024 e della <strong><a href="https://www.acn.gov.it/portale/documents/d/guest/detacn_piattaformanis_250916-v5_signed">Determinazione n. 333017 del 7 ottobre 2025</a></strong>.</p><p>Tra un mese, a partire dal <strong>20 novembre</strong> ed entro il <strong>31 dicembre 2025</strong>, ogni organizzazione soggetta alla normativa NIS dovr&#224; infatti designare il proprio <strong>referente CSIRT</strong>, figura <strong>distinta dal Punto di Contatto gi&#224; nominato</strong> in fase di registrazione, attraverso l&#8217;apposita procedura telematica sul <strong><a href="https://portale.acn.gov.it/login">Portale ACN</a></strong>.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!GU5A!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!GU5A!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 424w, https://substackcdn.com/image/fetch/$s_!GU5A!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 848w, https://substackcdn.com/image/fetch/$s_!GU5A!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 1272w, https://substackcdn.com/image/fetch/$s_!GU5A!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!GU5A!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp" width="952" height="734" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:734,&quot;width&quot;:952,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!GU5A!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 424w, https://substackcdn.com/image/fetch/$s_!GU5A!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 848w, https://substackcdn.com/image/fetch/$s_!GU5A!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 1272w, https://substackcdn.com/image/fetch/$s_!GU5A!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F60234ba5-ac0a-42a4-a746-7bad710cd3d8_952x734.webp 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><h3>&#128100; Chi &#232; e cosa fa</h3><p>Il referente CSIRT &#232; una <strong>persona fisica designata dal Punto di Contatto NIS</strong>, incaricata di rappresentare l&#8217;organizzazione nei rapporti con il <strong>CSIRT Italia</strong>, l&#8217;organo tecnico nazionale che coordina la risposta agli incidenti informatici.<br>Svolge in particolare:</p><ul><li><p>la <strong>notifica</strong> degli incidenti significativi e rilevanti di cui agli artt. 25 e 26 del decreto NIS;</p></li><li><p>il <strong>coordinamento operativo</strong> con il CSIRT Italia per la gestione e il follow-up degli incidenti.</p></li></ul><h3>&#129309; Sostituti e requisiti</h3><p>Per garantire la tempestivit&#224; delle comunicazioni, possono essere nominati <strong>uno o pi&#249; sostituti</strong> del referente CSIRT, che lo supportano e possono agire in sua vece.<br>Sia il referente sia i sostituti devono possedere almeno:</p><ul><li><p><strong>competenze di base</strong> in sicurezza informatica e incident management;</p></li><li><p><strong>conoscenza approfondita</strong> dei sistemi informativi e delle reti dell&#8217;organizzazione per cui operano.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!UGxr!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!UGxr!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 424w, https://substackcdn.com/image/fetch/$s_!UGxr!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 848w, https://substackcdn.com/image/fetch/$s_!UGxr!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 1272w, https://substackcdn.com/image/fetch/$s_!UGxr!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!UGxr!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp" width="640" height="360" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:360,&quot;width&quot;:640,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!UGxr!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 424w, https://substackcdn.com/image/fetch/$s_!UGxr!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 848w, https://substackcdn.com/image/fetch/$s_!UGxr!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 1272w, https://substackcdn.com/image/fetch/$s_!UGxr!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F145ee2a0-99b6-4990-9f09-482a57f1d9a0_640x360.webp 1456w" sizes="100vw"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div></li></ul><h3>&#9881;&#65039; Implicazioni pratiche</h3><p>La nuova figura mira a rafforzare la <strong>capacit&#224; di risposta agli incidenti</strong> nelle varie organizzazioni e a <strong>semplificare la gestione degli adempimenti NIS</strong>, creando un canale di comunicazione stabile tra ogni soggetto NIS e il <strong>CSIRT Italia</strong>.</p><p>Quest&#8217;ultima diventer&#224; il punto di riferimento per tutte le notifiche di incidenti significativi e rilevanti, assicurando tracciabilit&#224;, uniformit&#224; e maggiore coordinamento tecnico tra gli operatori, l&#8217;ACN e le Autorit&#224; competenti. Si tratta, in sostanza, di un presidio operativo che contribuisce a &#8220;professionalizzare&#8221; e rendere pi&#249; prevedibile la <strong>gestione delle crisi cyber</strong>.</p><p>Per le <strong>PMI</strong>, spesso prive di strutture informatiche interne, la possibilit&#224; di nominare un referente (anche esterno) rappresenta una semplificazione concreta: consente di centralizzare gli adempimenti e gestire in modo pi&#249; efficace i rapporti con l&#8217;ACN e il CSIRT Italia. </p><p>Sotto il profilo organizzativo, le organizzazioni dovranno avviare un&#8217;attivit&#224; di <strong>revisione interna delle policy</strong> e dei flussi di incident management, assicurando il coordinamento tra <strong>referente CSIRT e punto di contatto NIS</strong>, nonch&#233; con il <strong>DPO</strong>, il <strong>CISO</strong>, l&#8217;<strong>IT manager</strong> e il <strong>management aziendale</strong>.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!Uyoo!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!Uyoo!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 424w, https://substackcdn.com/image/fetch/$s_!Uyoo!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 848w, https://substackcdn.com/image/fetch/$s_!Uyoo!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 1272w, https://substackcdn.com/image/fetch/$s_!Uyoo!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!Uyoo!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp" width="527" height="364" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/de2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:364,&quot;width&quot;:527,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!Uyoo!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 424w, https://substackcdn.com/image/fetch/$s_!Uyoo!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 848w, https://substackcdn.com/image/fetch/$s_!Uyoo!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 1272w, https://substackcdn.com/image/fetch/$s_!Uyoo!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fde2e664e-99f2-49a9-bbfe-e8876ba0133c_527x364.webp 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><h3>&#129504; Perch&#233; &#232; rilevante</h3><p>L&#8217;introduzione del referente CSIRT semplifica la gestione degli adempimenti per le organizzazioni<strong> soggette alla normativa NIS</strong>, ma impone un <strong>coordinamento interno e un allineamento procedurale e operativo</strong> ed anche una maggiore attenzione ai profili contrattuali nel caso di <strong>referenti esterni</strong>: serve disciplinare con precisione <strong>responsabilit&#224;, riservatezza, accesso ai sistemi e tempi di risposta</strong>, assicurando un flusso comunicativo stabile con il punto di contatto interno.</p><div><hr></div><p>Ottobre chiude un mese di passaggi cruciali per la regolazione digitale.<br>La rubrica &#8220;DPO News&#8221; continuer&#224; a seguirne gli sviluppi, con l&#8217;obiettivo di restare un punto di orientamento affidabile in un panorama in continua evoluzione.</p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/dpo-news-6-nuovi-obblighi-in-materia/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/dpo-news-6-nuovi-obblighi-in-materia/comments"><span>Lascia un commento</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/chi-sono&quot;,&quot;text&quot;:&quot;Chi sono&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/chi-sono"><span>Chi sono</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto&quot;,&quot;text&quot;:&quot;Prendiamo un caff&#232; digitale&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto"><span>Prendiamo un caff&#232; digitale</span></a></p><p></p>]]></content:encoded></item><item><title><![CDATA[Tra Garante e Granita: appunti di fine stagione]]></title><description><![CDATA[DPO News sotto l'ombrellone: tra linee guida, ferie e una valigia per l&#8217;Australia &#9992;&#65039;]]></description><link>https://sergioamatoavv.substack.com/p/tra-garante-e-granita-appunti-di</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/tra-garante-e-granita-appunti-di</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Fri, 01 Aug 2025 09:00:15 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/$s_!QSN7!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Carissimi lettori di DPO News,</p><p>prima di chiudere i laptop e mettere via il badge aziendale, un ultimo aggiornamento &#8211; ma niente paura, questa volta <strong>niente pipponi </strong>su nuove linee guida o maxi sanzioni!</p><p>S&#236;, lo so, in queste settimane si &#232; parlato di tutto: <strong><a href="http://The General-Purpose AI (GPAI) Code of Practice">codice di condotta sui modelli di AI Generativi dell&#8217;AI Office</a></strong>, <strong><a href="https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10143278">nuove indicazioni del Garante in materia di c.d. double opt-in</a></strong>, <a href="https://www.edpb.europa.eu/our-work-tools/plenary-meetings_en">il </a><strong><a href="https://www.edpb.europa.eu/our-work-tools/plenary-meetings_en">solito fermento attorno all&#8217;EDPB</a></strong>&#8230; tutto molto interessante, ma onestamente, non so quante energie vi e ci rimangono per digerire ancora le tante news che si susseguono nel <strong>variegato panorama del diritto del digitale</strong> :)</p><p>&#128161; E quindi?</p><p>Vi accompagno con una newsletter dal <strong>tono pi&#249; vacanziero</strong>, per raccontarvi anche un po&#8217; il lato umano dell&#8217;avvocato della privacy e DPO &#8211; s&#236;, anche noi andiamo in ferie (o almeno ci proviamo!).</p><p>Quest&#8217;anno mi divider&#242; tra la mia base estiva nelle location di <strong>Montalbano</strong> (nel ragusano), qualche <strong>passeggiata vista mare</strong> e <strong>incursioni gastronomiche sicule</strong>, con qualche <strong>tappa pugliese/salentina</strong> nel mezzo per non farci mancare nulla.</p><p>&#128248; Vi carico anche una foto dalla mia postazione &#8220;<strong>smart working con vista</strong>&#8221; per ricordarvi che il GDPR non va in ferie&#8230;</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!QSN7!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!QSN7!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 424w, https://substackcdn.com/image/fetch/$s_!QSN7!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 848w, https://substackcdn.com/image/fetch/$s_!QSN7!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!QSN7!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!QSN7!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg" width="1456" height="3233" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:3233,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:532848,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/169765733?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!QSN7!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 424w, https://substackcdn.com/image/fetch/$s_!QSN7!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 848w, https://substackcdn.com/image/fetch/$s_!QSN7!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!QSN7!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8013638a-fcf4-4df2-87b8-76e251db4817_1816x4032.jpeg 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>Verso fine agosto prender&#242; il volo per un viaggio con direzione <strong>Australia </strong>per andare a trovare una coppia di amici con base nei dintorni di Sydney e girare un p&#242; (sperando di non beccare animali troppo  &#8220;esotici&#8221; a farci compagnia&#8230;..). </p><p>L&#8217;occasione &#232; ghiotta per sondare contestualmente il terreno rispetto ad alcune recenti novit&#224; normative locali che hanno introdotto proprio nella &#8220;<strong>terra dei canguri</strong>&#8221; l&#8217;obbligo di <strong>denuncia per i pagamenti effettuati a seguito di attacchi ransomware o estorsioni informatiche</strong> - introdotto nell'ambito del Cyber Security Act 2024 con le <a href="https://www.legislation.gov.au/F2025L00278/latest/text">Cyber Security (Ransomware Payment Reporting) Rules 2025.</a> Un precedente che in effetti potrebbe risultare interessante anche per l&#8217;Italia&#8230;</p><p>Dalla seconda settimana di settembre torner&#242; ufficialmente operativo e pronto per nuove avventure! :)</p><p>Rester&#242; comunque reperibile per le urgenze, i soliti dubbi dell&#8217;ultimo minuto e anche per chi vorr&#224; organizzare le attivit&#224; d&#8217;autunno con anticipo &#8211; perch&#233; s&#236;, settembre arriver&#224; pi&#249; veloce di quanto pensiamo!</p><p>&#128233; Quindi scrivetemi/chiamatemi pure, alla peggio mi troverete con un arancino (rigorosamente al maschile!) in mano.</p><p>Buone vacanze a tutti! &#127754;&#127865;</p>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #5 | Le recenti novità del Parlamento Europeo sulla timeline di applicazione dell'AI Act ]]></title><description><![CDATA[AI Act: tutto quello che devi sapere sull&#8217;attuazione del Regolamento (UE) 2024/1689 sull&#8217;intelligenza artificiale (&#8220;AI Act&#8221;)]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-5-le-recenti-novita-del</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-5-le-recenti-novita-del</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Thu, 12 Jun 2025 12:31:33 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Il Parlamento europeo, tramite l&#8217;European Parliamentary Research Service (&#8220;EPRS&#8221;), ha pubblicato nella giornata di ieri un utile documento di sintesi sulla <strong>timeline di attuazione dell&#8217;<a href="https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52021PC0206">AI Act</a></strong>, il regolamento che discipliner&#224; l&#8217;impiego dei sistemi di intelligenza artificiale nell&#8217;Unione Europea secondo un approccio basato sul rischio.</p><p>Il <a href="http://chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/772906/EPRS_ATA(2025)772906_EN.pdf">documento</a> offre spunti interessanti per organizzazioni, istituzioni e imprese, nonch&#233; per noi professionisti a &#8220;contatto&#8221; con il digitale. In questo episodio della rubrica &#8220;DPO News&#8221; analizziamo i <strong>passaggi pi&#249; rilevanti</strong> e gli <strong>aspetti operativi</strong> da gestire nell&#8217;<strong>implementare</strong> o <strong>adottare sistemi basati su intelligenza artificiale</strong>.</p><div><hr></div><h3>&#11093;Un passo indietro: cos&#8217;&#232; l&#8217;AI Act e perch&#233; ci riguarda da vicino?</h3><p>Approvato definitivamente a met&#224; 2024 e pubblicato nella Gazzetta Ufficiale dell&#8217;UE il <strong>12 luglio 2024</strong>, l&#8217;<strong>AI Act </strong>(che introduce obblighi differenziati in funzione del rischio e specifici requisiti per i sistemi utilizzati) &#232; la prima normativa orizzontale al mondo sull&#8217;intelligenza artificiale.</p><p>Nasce per:</p><ul><li><p>migliorare il funzionamento del mercato unico europeo;</p></li><li><p>garantire uno sviluppo dell&#8217;IA centrato sull&#8217;uomo e affidabile;</p></li><li><p>tutelare i diritti fondamentali;</p></li><li><p>promuovere l&#8217;innovazione responsabile.</p></li></ul><p>Il regolamento si applica tanto agli sviluppatori quanto agli utilizzatori di sistemi di IA, con attenzione crescente verso i <strong>modelli di IA generativa</strong> e <strong>general-purpose</strong> (GPAI), come ChatGPT o Claude.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!xAMz!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!xAMz!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 424w, https://substackcdn.com/image/fetch/$s_!xAMz!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 848w, https://substackcdn.com/image/fetch/$s_!xAMz!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 1272w, https://substackcdn.com/image/fetch/$s_!xAMz!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!xAMz!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png" width="1035" height="714" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:714,&quot;width&quot;:1035,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:244851,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/165773566?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd6a00992-bd01-4660-a620-019576842c25_1920x1080.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!xAMz!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 424w, https://substackcdn.com/image/fetch/$s_!xAMz!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 848w, https://substackcdn.com/image/fetch/$s_!xAMz!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 1272w, https://substackcdn.com/image/fetch/$s_!xAMz!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7b8de981-08be-4d2b-88cf-82c73042d4ca_1035x714.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><div><hr></div><h3>&#11093; Una roadmap a pi&#249; velocit&#224;: le scadenze ufficiali</h3><p>Il regolamento &#232; <strong>entrato in vigore nel 2024</strong>, facendo scattare i primi obblighi in tema di <strong>alfabetizzazione digitale</strong> e <strong>pratiche vietate</strong> a decorrere del <strong>2 febbraio 2025</strong>, prevede adesso un&#8217;ulteriore <strong>fase di attuazione graduale</strong>. Secondo la timeline ufficiale:</p><ul><li><p><strong>2 agosto 2026</strong>: &#232; la <strong>data generale di applicazione</strong>, a partire dalla quale si applicheranno tutte le disposizioni principali, incluse quelle <strong>sanzionatorie e di enforcement</strong> (Cap. 9).</p></li><li><p>Alcuni obblighi, in particolare quelli legati ai <strong>modelli GPAI</strong> e agli <strong>standard armonizzati</strong>, saranno attivati prima o dopo, con strumenti di soft law in corso di definizione (codici di condotta, linee guida, standard tecnici).</p></li><li><p>L&#8217;<strong>attuazione completa</strong> dell&#8217;AI Act &#232; prevista <strong>entro il 2027</strong>.</p></li></ul><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!1WPf!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!1WPf!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 424w, https://substackcdn.com/image/fetch/$s_!1WPf!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 848w, https://substackcdn.com/image/fetch/$s_!1WPf!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 1272w, https://substackcdn.com/image/fetch/$s_!1WPf!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!1WPf!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png" width="1076" height="753" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/d4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:753,&quot;width&quot;:1076,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:956576,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/165773566?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F8400bf95-dcf3-4d18-b109-61f66281ce2c_1920x1080.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!1WPf!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 424w, https://substackcdn.com/image/fetch/$s_!1WPf!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 848w, https://substackcdn.com/image/fetch/$s_!1WPf!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 1272w, https://substackcdn.com/image/fetch/$s_!1WPf!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd4ff9023-dccf-46b6-b280-79ee5a6da740_1076x753.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>L&#8217;AI Act prevede infatti anche strumenti di <strong>soft law</strong> a supporto dell&#8217;applicazione:</p><ul><li><p><strong>Art. 56</strong> &#8211; <em>Codice di condotta GPAI</em>: per promuovere l&#8217;autoregolamentazione dei fornitori di modelli general-purpose.</p></li><li><p><strong>Art. 95</strong> &#8211; <em>Codici di condotta settoriali</em>: per facilitare la compliance nei diversi settori.</p></li><li><p><strong>Art. 96</strong> &#8211; <em>Linee guida della Commissione</em>: documenti interpretativi per chiarire l&#8217;applicazione pratica del regolamento.</p></li></ul><div><hr></div><h3>&#11093; Il ruolo degli standard armonizzati (Art. 40 AI Act)</h3><p>Gli <strong>standard armonizzati</strong> sono strumenti tecnici, sviluppati da organismi europei di normazione su richiesta della Commissione europea, che <strong>offrono una presunzione di conformit&#224;</strong> a chi li adotta.</p><p>&#10145;&#65039; <strong>Cosa vuol dire in concreto?</strong><br>Che se un sistema di IA ad alto rischio &#232; progettato, sviluppato e valutato <strong>in conformit&#224; agli standard armonizzati pubblicati nella Gazzetta Ufficiale</strong>, allora si presume conforme all&#8217;AI Act. Questo riduce i rischi legali, facilita gli audit e &#8220;alleggerisce&#8221; l&#8217;onere probatorio in caso di verifica delle Autorit&#224;.</p><div><hr></div><h3>&#11093; Il JRC: chi &#232; e cosa dice</h3><p>Il documento dell&#8217;EPRS cita l&#8217;analisi del <strong>JRC &#8211; Joint Research Centre</strong>, ossia il <strong>Centro Comune di Ricerca della Commissione Europea</strong>, organo scientifico interno alla Commissione che supporta le politiche pubbliche con evidenze scientifiche.</p><p>Il JRC ha sottolineato che &#232; <strong>essenziale che gli standard armonizzati siano pubblicati prima dell&#8217;agosto 2026</strong>, cio&#232; <strong>prima che entrino in vigore gli obblighi per i sistemi ad alto rischio</strong> (es. strumenti HR per selezione CV, credit scoring, ambiti sanitari o educativi).</p><p>&#128721; Tuttavia, ci sono ritardi: gli standard sono stati richiesti a <strong>CEN</strong> e <strong>CENELEC</strong> (i principali enti europei di normazione tecnica) a maggio 2023 con scadenza aprile 2025, ma i lavori proseguiranno <strong>oltre il 2026</strong>. Si discute di <strong>soluzioni temporanee</strong>, tra cui specifiche tecniche provvisorie o interpretazioni ufficiali, per evitare un vuoto normativo.</p><div><hr></div><h3>&#11093; Cosa fare oggi?</h3><p>La prima attivit&#224; da svolgere &#232; certamente un <strong>censimento </strong>e una <strong>mappatura dei sistemi di AI</strong> all&#8217;interno delle aziende.</p><p>Questa prima fondamentale operazione non pu&#242; trascendere da un&#8217;analisi, caso per caso, dei sistemi di intelligenza artificiale da adottare o integrare all&#8217;interno di ciascuna organizzazione.</p><p>Da questo primo assessment, che pu&#242; essere svolto tramite apposite checklist o con il parziale ausilio di alcuni tool come <a href="https://artificialintelligenceact.eu/it/assessment/controllo-della-conformita-dell-ue-alla-legge-ai/?wsf_hash=%5B%7B%22id%22%3A1%2C%22hash%22%3A%22a028b7de973651dce8cca67e25cb934e%22%2C%22token%22%3A%223de018406138457bd79b990c9e17c83e%22%7D%5D">questo</a>, dovranno essere ricostruiti:</p><ul><li><p>il <strong>ruolo di ciascuna organizzazione</strong>, tanto sotto il <strong>profilo definitorio dettato dall&#8217;AI Act </strong>(provider, deployer, importatore, etc.), quanto sotto quello <strong>data protection</strong> (titolare, responsabile, contitolare, etc.);</p></li><li><p>la <strong>finalit&#224; e le modalit&#224; di utilizzo </strong>del modello di AI, per valutare il <strong>livello di rischio</strong> associato e le <strong>operazioni conseguenti </strong>(addestramento del modello, attivit&#224; di retrieval augmented generation, operazioni di fine-tuning, retraining, etc.), con tutte le conseguenze del caso;</p></li><li><p>la <strong>base di liceit&#224;</strong> a fondamento delle attivit&#224; di arricchimento, addestramento e/o fine-tuning, retraining dei modelli di AI che, ove individuata nel <strong>legittimo interesse</strong> ai sensi dell&#8217;articolo 6, paragrafo 1, lett. f) del GDPR, dovrebbe prevedere un test tripartito (c.d. Legitimate Interest Assessment) come evidenza documentale.</p></li></ul><p>Per gestire queste attivit&#224;, un primo spunto pratico &#232; contenuto all&#8217;interno dell&#8217;<strong><a href="https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en">Opinion 28/2024 dell&#8217;European Data Protection Board on certain data protection aspects related to the processing of personal data in the context of AI models</a></strong> che detta istruzioni utili su come gestire gli aspetti di conformit&#224; rispetto all&#8217;AI Act e di trattamento dei dati sottostante i modelli di AI - specie ove questi mirino ad essere considerati come <strong>anonimi</strong>.</p><p>Tra questi, al paragrafo 58 dell&#8217;Opinion, viene definito un iter, come di seguito articolato:</p><ol><li><p><strong>DPIA o motivazione dell&#8217;assenza</strong><br>Il titolare dovrebbe stendere una <strong>DPIA</strong> oppure una valutazione ragionata che giustifichi la non necessit&#224; di effettuarla, in linea con l&#8217;art.&#8239;35 GDPR.</p></li><li><p><strong>Contributo del DPO</strong><br>Deve esserci evidenza di un coinvolgimento effettivo del DPO (ove nominato), come previsto dagli articoli 38&#8211;39 GDPR.</p></li><li><p><strong>Misure in fase di progettazione dell&#8217;IA</strong><br>Le misure tecniche e organizzative adottate <strong>ex ante</strong> per evitare la reidentificazione (es. pseudonimizzazione, riduzione granularit&#224; dei dati), basate su un <em>threat model</em> e analisi dei rischi. Devono essere tracciabili le <strong>fonti dei dataset di training</strong> (URL, descrizione, misure attuate anche da fornitori terzi).</p></li><li><p><strong>Misure lungo tutto il ciclo di vita del modello</strong><br>Occorre documentare i controlli e i meccanismi implementati per <strong>evitare che il modello apprenda o restituisca dati personali</strong>, lungo tutte le fasi del suo sviluppo e utilizzo.</p></li><li><p><strong>Test di resistenza alla c.d. re-identificazione</strong><br>Serve dimostrare:</p><ul><li><p>l&#8217;analisi teorica del rischio di re-identificazione;</p></li><li><p>i <strong>test effettuati</strong> (da chi, quando, come);</p></li><li><p>le metriche utilizzate (es. rischio di <em>membership inference</em>, <em>regurgitation</em>, ecc.);</p></li><li><p>il <strong>rapporto tra dimensione dei dati e numero di parametri</strong> del modello (indicatore critico nei foundation model).</p></li></ul></li><li><p><strong>Informazioni agli interessati</strong><br>La documentazione fornita a chi utilizza il modello (o ai soggetti interessati) deve esplicitare:</p><ul><li><p>le <strong>misure per ridurre il rischio di identificazione</strong>;</p></li><li><p>i <strong>rischi residui</strong>, se presenti.</p></li></ul><div><hr></div></li></ol><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!m1Sb!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" width="1299" height="397" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/a4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:397,&quot;width&quot;:1299,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/dpo-news-5-le-recenti-novita-del/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/dpo-news-5-le-recenti-novita-del/comments"><span>Lascia un commento</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/chi-sono&quot;,&quot;text&quot;:&quot;Chi sono&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/chi-sono"><span>Chi sono</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto&quot;,&quot;text&quot;:&quot;Prendiamo un caff&#232; digitale&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto"><span>Prendiamo un caff&#232; digitale</span></a></p>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #4 | Controlli a distanza dell'attività lavorativa e metadati: il caso Regione Lombardia]]></title><description><![CDATA[Il Garante Privacy ha concluso un&#8217;importante istruttoria nei confronti della Regione Lombardia, accertando plurime violazioni nel trattamento dei dati dei dipendenti.]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-4-controlli-a-distanza-dellattivita</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-4-controlli-a-distanza-dellattivita</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Tue, 03 Jun 2025 07:30:36 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Il <a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221">provvedimento sanzionatorio rivolto alla Regione Lombardia</a> del 29 aprile 2025 giunge al termine di un ciclo ispettivo dell&#8217;Autorit&#224; per verificare l&#8217;osservanza della normativa privacy da parte della Regione Lombardia nell&#8217;ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del lavoro agile. Numerose le violazioni riscontrate, con particolare riferimento alla raccolta e conservazione dei <strong>metadati e log di navigazione</strong>, ritenute come <strong>sproporzionate rispetto alle finalit&#224; dichiarate</strong> (sicurezza e assistenza tecnica), con un rischio di <strong>controllo indiretto e generalizzato dei dipendenti</strong>, in assenza di adeguate e tempestive garanzie procedurali.</p><p>In particolare,  gli aspetti che seguono sono stati oggetto di ispezione da parte dell&#8217;Autorit&#224;:</p><p><strong>&#11093;metadati di posta elettronica</strong>,</p><p><strong>&#11093;log di navigazione in Internet</strong>,</p><p><strong>&#11093;dati conservati nei sistemi di </strong><em><strong>ticketing</strong></em>,</p><p><strong>&#11093;perimetro delle nomine a responsabile del trattamento.</strong></p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!0RfL!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!0RfL!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 424w, https://substackcdn.com/image/fetch/$s_!0RfL!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 848w, https://substackcdn.com/image/fetch/$s_!0RfL!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!0RfL!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!0RfL!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg" width="1456" height="971" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:971,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:4894998,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/164819098?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!0RfL!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 424w, https://substackcdn.com/image/fetch/$s_!0RfL!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 848w, https://substackcdn.com/image/fetch/$s_!0RfL!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!0RfL!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2dd7477d-7d23-4115-a61b-432e0f300c67_6720x4480.jpeg 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><div><hr></div><p><strong>Le principali criticit&#224; rilevate</strong></p><ol><li><p><strong>Controlli a distanza per mezzo dei metadati relativi alle caselle email</strong>: la Regione conservava per <strong>90 (novanta) giorni i metadati delle email</strong> raccolti su Microsoft 365. A tal riguardo, in sede di istruttoria, il Garante ha rilevato la presenza, in relazione ai trattamenti in questione, di un accordo collettivo con le competenti parti sindacali per quanto concerne sia il personale dirigenziale che non dirigenziale. In tale contesto, l&#8217;Autorit&#224; ha ribadito l&#8217;approccio restrittivo con cui deve applicarsi la deroga prevista dall&#8217;art. 4, comma 2, della l. n. 300/1970 (Statuto dei Lavoratori), potendosi ricomprendere solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa. Al contrario, nel caso di <strong>sistemi che agiscano con modalit&#224; non percepibili dal lavoratore</strong> e in modo del tutto <strong>indipendente rispetto alla normale attivit&#224; dello stesso</strong> oppure in presenza di <strong>sistemi che non sono solo funzionali alla prestazione</strong> ma consentono anche <strong>ulteriori elaborazioni da parte del datore di lavoro per il perseguimento di proprie finalit&#224;</strong> e specie nei casi in cui <strong>tali funzionalit&#224; non possano essere disabilitate dal dipendente</strong>, si rischia di sfociare in un <strong>indiretto controllo a distanza dell&#8217;attivit&#224; lavorativa</strong>, ricadendo nel comma 1 dell&#8217;art. 4 dello Statuto dei Lavoratori e richiedendo pertanto l&#8217;attivazione dei relativi presidi (accordo sindacale o istanza autorizzativa all&#8217;Ispettorato del Lavoro territorialmente competente). </p><p></p><p>Pertanto:</p><p><strong>&#11093;</strong>l&#8217;attivit&#224; di raccolta e conservazione dei soli metadati necessari ad assicurare il <strong>funzionamento delle infrastrutture del sistema della posta elettronica </strong>e il <strong>soddisfacimento delle pi&#249; essenziali garanzie di sicurezza informatica</strong>, all&#8217;esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, potr&#224; essere effettuata, di norma e come gi&#224; sancito all&#8217;interno del Documento di indirizzo &#8220;<a href="https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277">Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati</a>&#8221;, per un periodo limitato a pochi giorni, comunque non superiore ai <strong>21 (ventuno) giorni</strong>, salvo che il titolare, comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l&#8217;estensione in ragione delle specificit&#224; della propria realt&#224; tecnica e organizzativa. In tal caso, di norma <strong>non sar&#224; necessario attivare le garanzie previste dallo Statuto dei Lavoratori</strong>, essendo improbabile che da tale attivit&#224; possa scaturire un controllo anche indiretto dell&#8217;attivit&#224; lavorativa;</p><p></p><p><strong>&#11093;</strong>la<strong> generalizzata raccolta e la conservazione dei metadati di posta elettronica</strong>, per un lasso di tempo pi&#249; esteso, in presenza di esigenze comunque riconducibili alla <strong>sicurezza e alla tutela del patrimonio anche informativo del datore di lavoro</strong>, potendo comportare un <strong>indiretto controllo a distanza dell&#8217;attivit&#224; dei lavoratori</strong>, richiede invece l&#8217;<strong>esperimento delle garanzie previste dall&#8217;art. 4, comma 1, del predetto Statuto dei Lavoratori</strong>. Nel caso in esame, nonostante la Regione avesse adottato tali presidi (e nello specifico, l&#8217;accordo con le rappresentanze sindacali, nonch&#233; ulteriori misure di mitigazione e minimizzazione, come l&#8217;accesso ai report risalenti di 7 giorni &#8220;attraverso un report in formato CSV&#8221;) &#232; stata valutata come sanzionabile in quanto, le misure adottate, non risultavano comunque idonee con riferimento all&#8217;arco temporale anteriore alla stipula dei predetti accordi collettivi.</p><div><hr></div></li></ol><ol start="2"><li><p><strong>Controlli a distanza per mezzo dei log di navigazione</strong>: la Regione ha conservato per una tempistica pari a <strong>12 (dodici) mesi i log di navigazione</strong>. In particolare, la Regione raccoglieva e conservava i log di navigazione in Internet - consistenti in informazioni inerenti ai <strong>siti web visitati</strong> dai dipendenti, inclusi quelli relativi ai <strong>tentativi falliti di accesso ai siti</strong> censiti in una apposita black list - entrando in possesso di informazioni non attinenti all&#8217;attivit&#224; lavorativa e relative alla <strong>sfera privata dei dipendenti</strong>. Ci&#242;, seppur in presenza di un accordo sindacale, come richiesto dall&#8217;art. 4, comma 1, dello Statuto dei Lavoratori, non &#232; risultato conforme ai principi di minimizzazione, limitazione della finalit&#224; e della conservazione, in particolare per l&#8217;arco temporale pregresso alla sottoscrizione dei suddetti accordi.</p><div><hr></div></li><li><p><strong>Tempistiche di conservazione dei dati sul sistema di </strong><em><strong>ticketing</strong></em>: l&#8217;Autorit&#224; ha rilevato come la conservazione dei dati relativi alle richieste di assistenza tecnica di cui al dismesso sistema &#8220;OTRS&#8221; risulta essersi protratta per un <strong>periodo temporale particolarmente esteso</strong>. In particolare, dalla documentazione acquisita in sede ispettiva &#232; emerso come <strong>le richieste di assistenza tecnica del personale dipendente</strong> di cui la Regione conservava ancora traccia <strong>risalivano al 2016</strong> - nonostante le politiche adottate dalla Regione prevedessero un periodo massimo complessivo di 78 mesi. Non rinvenendosi adeguate ragioni che potessero giustificare una conservazione tanto prolungata dei dati in questione, il Garante ha concluso nella direzione per cui  il trattamento dei dati relativi alle richieste di assistenza tecnica di cui al dismesso sistema &#8220;OTRS&#8221; &#232; stato effettuato in <strong>contrasto con i principi di limitazione della conservazione</strong> e di <strong>protezione dei dati personali fin dalla progettazione e per impostazione predefinita</strong>, in violazione degli artt. 5, par. 1, lett. e), e 25 del GDPR.</p><div><hr></div></li><li><p><strong>Difetto di DPIA</strong>: mancata <strong>valutazione d&#8217;impatto (DPIA) </strong>ex art. 35 GDPR sui trattamenti svolti, considerati come ad <strong>alto rischio</strong> da parte del Garante, tenuto conto della riferibilit&#224; a <strong>categorie vulnerabili di soggetti</strong>, quali sono considerati i dipendenti nel contesto lavorativo, e della possibile attivit&#224; di <strong>monitoraggio sistematico</strong> sottostante.</p><div><hr></div></li><li><p><strong>Responsabili del trattamento</strong>: il Garante ha riscontrato anche un&#8217;inadeguata <strong>formalizzazione del perimetro contrattuale con i fornitori</strong>, in particolare per i dati gestiti nel sistema di <em>ticketing </em>OTRS, successivamente dismesso dalla Regione, che non risultava disciplinato all&#8217;interno degli atti di nomina ex art. 28 del GDPR con i fornitori.</p><div><hr></div></li></ol><p><strong>Le sanzioni irrogate: multa pecuniaria e misure correttive</strong><br>Il Garante, oltre alla sanzione amministrativa pecuniaria pari a 50 mila euro, ha ingiunto una serie di misure correttive alla Regione, tra cui:</p><ul><li><p>l&#8217;<strong>anonimizzazione dei log relativi ai tentativi di accesso falliti</strong> ai siti web censiti nella black-list; </p></li><li><p>la <strong>cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili</strong>; </p></li><li><p>la riduzione da 365 a <strong>90 (novanta) giorni del termine di conservazione dei log di navigazione in Internet</strong>, con possibilit&#224; di conservazione per un periodo ulteriore previa <strong>anonimizzazione</strong> degli stessi, in modo da non consentire l&#8217;identificabilit&#224; del dipendente, e ferma restando la cancellazione dei dati personali presenti nei log di navigazione web registrati nei sistemi da oltre 90 giorni;</p></li><li><p>in caso di <strong>anomalie di sicurezza</strong>, l&#8217;imposizione di <strong>verifiche graduali e progressive</strong>, a livello di singole strutture organizzative e non invece a livello individuale, limitando la possibilit&#224; di interventi granulari e puntuali sulla singola postazione di lavoro ai soli casi di previo e infruttuoso esperimento di <strong>verifiche a livello aggregato</strong>;</p></li><li><p>la <strong>cifratura del dato concernente i nomi dei dipendenti assegnatari della macchina</strong>, fornendo a tal riguardo specifiche istruzioni documentate al fornitore che, in qualit&#224; di responsabile del trattamento, tratta tali dati per conto e nell&#8217;interesse della Regione medesima.</p></li></ul><p>La Regione, in un&#8217;ottica proattiva, ha inoltre proposto l&#8217;adozione delle seguenti misure, accolte positivamente dallo stesso Garante:</p><ul><li><p>aggiornamento del <strong>decreto interno infotelematico</strong>;</p></li><li><p>predisposizione un <strong>addendum contrattuale</strong> con i fornitori del sistema di <em>ticketing </em>per regolare il perimetro del trattamento e degli strumenti adoperati;</p></li><li><p>introduzione di un sistema di <strong>conservazione dei </strong><em><strong>ticket</strong></em><strong> con anonimizzazione post 12 mesi</strong>.</p><div><hr></div></li></ul><p><strong>Spunti operativi</strong><br>Il provvedimento in oggetto rappresenta un riferimento concreto per i DPO, gli uffici <em>compliance</em> e i<em> privacy manager</em> di organizzazioni pubbliche e private, circa:</p><ul><li><p>la <strong>corretta mappatura dei trattamenti interni nel contesto lavorativo</strong>, e in particolare riferiti ai <strong>metadati delle caselle di posta elettronica </strong>e<strong> log di navigazione</strong>, nonch&#233; dei relativi <strong>limiti</strong>, sia di natura <strong>temporale</strong>, che in base alla <strong>finalit&#224; perseguita</strong>;</p></li><li><p>la corretta applicazione delle garanzie previste dall&#8217;art. 4 della L. 300/1970 in caso di trattamento di metadati e dati di navigazione riferiti ai dipendenti nel contesto lavorativo. Nel caso si opti per lo strumento dell'accordo sindacale, occorrer&#224; rappresentare preliminarmente alle RSU gli <strong>aspetti vincolanti derivanti dalle licenze con i </strong><em><strong>provider </strong></em><strong>dei sistemi di posta elettronica</strong> che in alcuni casi <strong>non consentono una personalizzazione delle tempistiche di </strong><em><strong>retention</strong></em><strong> dei metadati raccolti </strong>(es. Microsoft);</p></li><li><p>la tendenziale <strong>necessit&#224; di una DPIA</strong> anche per trattamenti apparentemente potenzialmente &#8220;meno invasivi&#8221;;</p></li><li><p>la <strong>formalizzazione contrattuale di tutti i dettagli del trattamento, sistemi e strumenti che i fornitori possano adoperare</strong> per conto del titolare nelle operazioni di trattamento dati di titolarit&#224; di quest&#8217;ultimo nell&#8217;ambito della gestione dei dati dei dipendenti nel contesto lavorativo (es. <strong>sistemi di </strong><em><strong>ticketing</strong></em>).</p></li></ul><p>L&#8217;Autorit&#224; ha richiamato l&#8217;importanza di adottare <strong>misure &#8220;by design e by default&#8221; </strong>ex art. 25 GDPR, specialmente per trattamenti che, pur finalizzati alla sicurezza, possono facilmente sconfinare in <strong>attivit&#224; di controllo sistematico</strong>.</p><div><hr></div><div class="captioned-image-container"><figure><a class="image-link image2" target="_blank" href="https://substackcdn.com/image/fetch/$s_!m1Sb!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/a4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:null,&quot;width&quot;:null,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw" loading="lazy"></picture><div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/dpo-news-4-controlli-a-distanza-dellattivita/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/dpo-news-4-controlli-a-distanza-dellattivita/comments"><span>Lascia un commento</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/chi-sono&quot;,&quot;text&quot;:&quot;Chi sono&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/chi-sono"><span>Chi sono</span></a></p><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto&quot;,&quot;text&quot;:&quot;Prendiamo un caff&#232; digitale&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto"><span>Prendiamo un caff&#232; digitale</span></a></p><p></p>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #3 | Meta, intelligenza artificiale e dati pubblici: oggi l'ultimo giorno per esercitare il diritto di opposizione]]></title><description><![CDATA[Da domani, 27 maggio 2025, diventeranno effettive le modifiche alla politica di Meta per migliorare la propria IA generativa]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-3-meta-intelligenza-artificiale</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-3-meta-intelligenza-artificiale</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Mon, 26 May 2025 12:32:45 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Negli ultimi mesi, Meta ha avviato una campagna informativa per notificare agli utenti di Facebook e Instagram la possibilit&#224; di <strong>opporsi all&#8217;uso dei propri contenuti pubblici</strong> (post, foto, commenti) per lo sviluppo e l&#8217;addestramento dei modelli di <strong>IA generativa</strong>.</p><p>Questa scelta si inserisce in un contesto normativo in forte fermento, in cui le piattaforme digitali si muovono con crescente cautela a fronte delle normative europee, in primis <strong>GDPR e AI Act</strong>, e della sensibilit&#224; sempre pi&#249; crescente da parte di utenti e aziende in materia di trasparenza, controllo e <em>accountability</em>.</p><h3>Cosa prevede Meta?</h3><p>Meta chiarisce che utilizzer&#224; alcune <a href="https://privacycenter.instagram.com/policy/?subpage=3.subpage.3-PublicContentWhatContent">informazioni pubbliche</a> come i <strong>commenti e post pubblici degli account di persone di almeno 18 (diciotto) anni </strong>e le <strong>interazioni con le funzioni di IA in Meta</strong>, provenienti dai propri Prodotti (Facebook, Instagram, etc.) per migliorare le funzionalit&#224; dell&#8217;IA generativa interna (es. Meta AI, strumenti creativi, chatbot). Nello specifico, si tratta di:</p><p>&#11093;Nome e informazioni sul profilo (utente di Facebook e Instagram)</p><p>&#11093; Immagine del profilo</p><p>&#11093; Attivit&#224; su gruppi pubblici, pagine Facebook e canali Meta</p><p>&#11093; Attivit&#224; su contenuti pubblici, come ad esempio: commenti, valutazioni o recensioni su Marketplace, o su un account Instagram pubblico</p><p>&#11093; Avatar</p><p><strong>Non saranno invece utilizzati i messaggi privati</strong>, salvo esplicito consenso espresso nella chat.</p><div><hr></div><h3>Tempistiche da conoscere: oggi &#232; l&#8217;ultima chiamata</h3><p><strong>Il termine per impedire l&#8217;uso retroattivo dei propri contenuti pubblici &#232; oggi, luned&#236; 26 maggio 2025</strong>. Dopo questa data, Meta potr&#224; utilizzare i post, foto e commenti pubblici reperibili <em>online</em> sulle proprie piattaforme (Facebook, Instagram).</p><p>L'opposizione inviata dopo il 26 maggio sar&#224; valida solo per i contenuti successivi.</p><div><hr></div><h3>Una questione (anche) aziendale</h3><p>Se da un lato questa possibilit&#224; riguarda gli utenti nella loro veste personale, dall&#8217;altro <strong>implica una riflessione importante per aziende, enti e istituzioni</strong> che utilizzano i canali Meta per la comunicazione digitale. Le pagine ufficiali, i profili business, i contenuti sponsorizzati, potrebbero rientrare infatti nella definizione di &#8220;informazioni pubbliche&#8221; ed essere dunque trattati per finalit&#224; di addestramento IA.</p><div><hr></div><h3>Cosa fare concretamente</h3><p>Gli utenti possono compilare il <strong>modulo di opposizione </strong>ed esercitare il proprio <strong>opt out</strong> tramite:</p><ul><li><p><a href="https://www.facebook.com/help/contact/712876720715583?deoia=1&amp;wtsid=rdr_07m3hbdbWrM0UpNec">Facebook (mobile)</a></p></li><li><p><a href="https://help.instagram.com/contact/767264225370182">Instagram (web)</a></p></li></ul><p>L&#8217;opposizione si applica anche ad altri account gestiti tramite lo stesso centro account, ma <strong>occorre ripetere l&#8217;operazione per account non collegati</strong>.</p><p>In caso di opposizione, Meta invia un&#8217;email di conferma e garantisce che i dati non saranno usati per il futuro <em>training </em>dei modelli.</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!8E1O!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!8E1O!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 424w, https://substackcdn.com/image/fetch/$s_!8E1O!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 848w, https://substackcdn.com/image/fetch/$s_!8E1O!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!8E1O!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!8E1O!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg" width="945" height="1244" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:1244,&quot;width&quot;:945,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:170635,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/jpeg&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/164471451?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F44f8776a-6884-4a12-8311-2ac0bede0a07_945x2048.jpeg&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!8E1O!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 424w, https://substackcdn.com/image/fetch/$s_!8E1O!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 848w, https://substackcdn.com/image/fetch/$s_!8E1O!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 1272w, https://substackcdn.com/image/fetch/$s_!8E1O!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F284d4494-a040-453a-ba68-85b2798bc327_945x1244.jpeg 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><div><hr></div><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!m1Sb!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" width="1299" height="397" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/a4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:397,&quot;width&quot;:1299,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/dpo-news-3-meta-intelligenza-artificiale/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/dpo-news-3-meta-intelligenza-artificiale/comments"><span>Lascia un commento</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><div class="digest-post-embed" data-attrs="{&quot;nodeId&quot;:&quot;7b18ed84-b159-4114-9986-453770a57384&quot;,&quot;caption&quot;:&quot;Originario di una terra - la Sicilia - che amo profondamente.&quot;,&quot;cta&quot;:&quot;Read full story&quot;,&quot;showBylines&quot;:true,&quot;showDescription&quot;:true,&quot;showImage&quot;:true,&quot;size&quot;:&quot;sm&quot;,&quot;isEditorNode&quot;:true,&quot;title&quot;:&quot;Chi sono&quot;,&quot;publishedBylines&quot;:[{&quot;id&quot;:326970590,&quot;name&quot;:&quot;DPO News&quot;,&quot;bio&quot;:&quot;In un mondo dove dati e tecnologie evolvono ogni giorno, questo spazio offre idee e aggiornamenti per chi vuole stare al passo e un passo avanti. Che tu gestisca dati, progetti digitali o attivit&#224; di compliance sei nel posto giusto.&quot;,&quot;photo_url&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg&quot;,&quot;is_guest&quot;:false,&quot;bestseller_tier&quot;:null}],&quot;post_date&quot;:&quot;2025-04-03T08:04:15.231Z&quot;,&quot;cover_image&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2bfd62a2-22ce-4ea5-a9a2-4e1a6f356ec2_1600x1600.jpeg&quot;,&quot;cover_image_alt&quot;:null,&quot;canonical_url&quot;:&quot;https://sergioamatoavv.substack.com/p/chi-sono&quot;,&quot;section_name&quot;:null,&quot;video_upload_id&quot;:null,&quot;id&quot;:160481928,&quot;type&quot;:&quot;page&quot;,&quot;reaction_count&quot;:0,&quot;comment_count&quot;:0,&quot;publication_id&quot;:null,&quot;publication_name&quot;:&quot;DPO News&quot;,&quot;publication_logo_url&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa417d8a7-ef24-4613-bd0e-22da8c7e6a79_1280x1280.png&quot;,&quot;belowTheFold&quot;:true,&quot;youtube_url&quot;:null,&quot;show_links&quot;:null,&quot;feed_url&quot;:null}"></div><div class="digest-post-embed" data-attrs="{&quot;nodeId&quot;:&quot;714a1922-aaff-4791-bf08-3a2797d878f4&quot;,&quot;caption&quot;:&quot;Prenota qui una call con me&quot;,&quot;cta&quot;:&quot;Read full story&quot;,&quot;showBylines&quot;:true,&quot;showDescription&quot;:true,&quot;showImage&quot;:true,&quot;size&quot;:&quot;sm&quot;,&quot;isEditorNode&quot;:true,&quot;title&quot;:&quot;Prendiamo un caff&#232; digitale &quot;,&quot;publishedBylines&quot;:[{&quot;id&quot;:326970590,&quot;name&quot;:&quot;DPO News&quot;,&quot;bio&quot;:&quot;In un mondo dove dati e tecnologie evolvono ogni giorno, questo spazio offre idee e aggiornamenti per chi vuole stare al passo e un passo avanti. Che tu gestisca dati, progetti digitali o attivit&#224; di compliance sei nel posto giusto.&quot;,&quot;photo_url&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg&quot;,&quot;is_guest&quot;:false,&quot;bestseller_tier&quot;:null}],&quot;post_date&quot;:&quot;2025-04-03T07:50:59.003Z&quot;,&quot;cover_image&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd214b75f-4514-45f0-a129-2e58afa566a9_1024x608.png&quot;,&quot;cover_image_alt&quot;:null,&quot;canonical_url&quot;:&quot;https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto&quot;,&quot;section_name&quot;:null,&quot;video_upload_id&quot;:null,&quot;id&quot;:160461837,&quot;type&quot;:&quot;page&quot;,&quot;reaction_count&quot;:0,&quot;comment_count&quot;:0,&quot;publication_id&quot;:null,&quot;publication_name&quot;:&quot;DPO News&quot;,&quot;publication_logo_url&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa417d8a7-ef24-4613-bd0e-22da8c7e6a79_1280x1280.png&quot;,&quot;belowTheFold&quot;:true,&quot;youtube_url&quot;:null,&quot;show_links&quot;:null,&quot;feed_url&quot;:null}"></div><div class="subscription-widget-wrap-editor" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/subscribe?&quot;,&quot;text&quot;:&quot;Iscriviti&quot;,&quot;language&quot;:&quot;it&quot;}" data-component-name="SubscribeWidgetToDOM"><div class="subscription-widget show-subscribe"><div class="preamble"><p class="cta-caption">Grazie per aver letto! Iscriviti gratuitamente per ricevere nuovi Post e supportare il mio lavoro.</p></div><form class="subscription-widget-subscribe"><input type="email" class="email-input" name="email" placeholder="Digita la tua email&#8230;" tabindex="-1"><input type="submit" class="button primary" value="Iscriviti"><div class="fake-input-wrapper"><div class="fake-input"></div><div class="fake-button"></div></div></form></div></div>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #2 | La proposta di semplificazione del GDPR]]></title><description><![CDATA[Pubblicata la bozza di proposta di riforma del GDPR: quali sono i punti cruciali della semplificazione proposta dalla Commissione Europea?]]></description><link>https://sergioamatoavv.substack.com/p/dpo-news-2</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/dpo-news-2</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Thu, 22 May 2025 07:30:46 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>La Commissione Europea ha presentato una proposta di regolamento per estendere alcune misure di semplificazione normativa &#8211; attualmente previste per le PMI &#8211; anche alle <em>small mid-cap enterprises</em> (&#8220;<strong>SMC</strong>&#8221;), ovvero imprese fino a tre volte la dimensione di una PMI. L&#8217;iniziativa &#232; parte del <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2023:535:FIN">pacchetto &#8220;SME Relief&#8221; </a>e risponde alle raccomandazioni contenute nei <a href="https://commission.europa.eu/topics/eu-competitiveness/draghi-report_en#paragraph_47059">report di Mario Draghi sulla competitivit&#224; europea</a>, e sull&#8217;esigenza di semplificare alcune normative europee, ivi incluso il <strong>Regolamento (UE) 679/2016 </strong>(&#8220;<strong>GDPR</strong>&#8221;).</p><p>Ecco le principali novit&#224; introdotte nella <strong><a href="https://commission.europa.eu/document/7fd9c846-b894-4f9f-b164-3b926d1b264b_en">proposta di modifica al GDPR</a></strong><a href="https://commission.europa.eu/document/7fd9c846-b894-4f9f-b164-3b926d1b264b_en"> avanzata il 21 maggio 2025 dalla Commissione Europea</a>:</p><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!J3iP!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!J3iP!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 424w, https://substackcdn.com/image/fetch/$s_!J3iP!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 848w, https://substackcdn.com/image/fetch/$s_!J3iP!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 1272w, https://substackcdn.com/image/fetch/$s_!J3iP!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!J3iP!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png" width="842" height="724" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/b62404ea-bedb-4f82-a886-185be7f714f5_842x724.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:724,&quot;width&quot;:842,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:false,&quot;topImage&quot;:true,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!J3iP!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 424w, https://substackcdn.com/image/fetch/$s_!J3iP!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 848w, https://substackcdn.com/image/fetch/$s_!J3iP!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 1272w, https://substackcdn.com/image/fetch/$s_!J3iP!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fb62404ea-bedb-4f82-a886-185be7f714f5_842x724.png 1456w" sizes="100vw" fetchpriority="high"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p>&#11093;Vengono aggiunte <strong>due nuove definizioni</strong>:</p><ul><li><p>"microimprese, piccole e medie imprese";</p></li><li><p>"imprese a media capitalizzazione di piccole dimensioni&#8221;.</p><p></p></li></ul><p>&#11093; <strong>Registro delle attivit&#224; di trattamento</strong>:<br>Si propone di abolire l'obbligo di predisposizione e tenuta del registro delle attivit&#224; di trattamento per le organizzazioni che impiegano meno di <strong>750 dipendenti</strong>, salvo che il trattamento effettuato sia suscettibile di presentare un rischio elevato ai sensi dell&#8217;articolo 35 del GDPR. In questo modo si innalza la <strong>soglia di esenzione di tenuta del registro, da 250 dipendenti a 750</strong>. <br><br>&#11093; <strong>Codici di condotta</strong>:<br>Viene aggiunto un riferimento proprio alle SMC. La norma diventerebbe quindi: "Gli Stati membri, le autorit&#224; di controllo, il comitato e la Commissione incoraggiano l'elaborazione di <strong>codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento</strong>, in funzione delle specificit&#224; dei vari settori di trattamento e delle <strong>esigenze specifiche delle micro, piccole e medie imprese, &#119951;&#119952;&#119951;&#119940;&#119945;&#233; &#119941;&#119942;&#119949;&#119949;&#119942; &#119946;&#119950;&#119953;&#119955;&#119942;&#119956;&#119942; &#119938; &#119950;&#119942;&#119941;&#119946;&#119938; &#119940;&#119938;&#119953;&#119946;&#119957;&#119938;&#119949;&#119946;&#119963;&#119963;&#119938;&#119963;&#119946;&#119952;&#119951;&#119942; &#119941;&#119946; &#119953;&#119946;&#119940;&#119940;&#119952;&#119949;&#119942; &#119941;&#119946;&#119950;&#119942;&#119951;&#119956;&#119946;&#119952;&#119951;&#119946;</strong>".<br><br>&#11093; <strong>Certificazioni</strong>:<br>Operazione identica a quella effettuata sull'Art. 40.1 del GDPR in merito ai Codici di condotta. La norma diventerebbe quindi: "Gli Stati membri, le autorit&#224; di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di <strong>meccanismi di certificazione della protezione dei dati </strong>nonch&#233; di sigilli e marchi di protezione dei dati <strong>allo scopo di dimostrare la conformit&#224; al presente regolamento</strong> dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. <strong>Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese, &#119951;&#119952;&#119951;&#119940;&#119945;&#233; &#119941;&#119942;&#119949;&#119949;&#119942; &#119946;&#119950;&#119953;&#119955;&#119942;&#119956;&#119942; &#119938; &#119950;&#119942;&#119941;&#119946;&#119938; &#119940;&#119938;&#119953;&#119946;&#119957;&#119938;&#119949;&#119946;&#119963;&#119963;&#119938;&#119963;&#119946;&#119952;&#119951;&#119942; &#119941;&#119946; &#119953;&#119946;&#119940;&#119940;&#119952;&#119949;&#119942; &#119941;&#119946;&#119950;&#119942;&#119951;&#119956;&#119946;&#119952;&#119951;&#119946;</strong>".</p><div><hr></div><p>Questa proposta di semplificazione, ancora soggetta ad iter di approvazione legislativa e dunque suscettibile di modifiche e/integrazioni, si colloca nel solco del <strong>principio di proporzionalit&#224; previsto dal GDPR</strong>, introducendo una <strong>distinzione operativa tra grandi aziende e SMC </strong>nel rispetto degli obblighi di <em>accountability</em>. Per le<strong> organizzazioni che contano tra i 250 e i 749 dipendenti</strong>, si aprono dunque <strong>nuove possibilit&#224; di ottimizzazione della </strong><em><strong>compliance</strong></em>.</p><p><br>La proposta segue la <strong>procedura legislativa ordinaria</strong> ed entrer&#224; in vigore <strong>il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell&#8217;UE</strong>.</p><p>Tuttavia:</p><ul><li><p>alcune misure specifiche (es. modifiche settoriali ai regolamenti 2016/1036, 2016/1037 e 2017/1129) prevedono <strong>un&#8217;applicazione differita</strong>, in raccordo con l&#8217;entrata in vigore del regolamento (UE) 2024/2809 sul listino delle borse europee e con le strategie ESG.</p></li><li><p>in concreto, l&#8217;applicazione effettiva delle semplificazioni GDPR per le SMC &#232; attesa per il <strong>2026</strong>, salvo anticipazioni dovute a iter accelerati.</p><div><hr></div></li></ul><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!m1Sb!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png" width="1299" height="397" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/a4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:null,&quot;height&quot;:397,&quot;width&quot;:1299,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:559060,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image/png&quot;,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:&quot;https://sergioamatoavv.substack.com/i/164096271?img=https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png&quot;,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!m1Sb!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 424w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 848w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1272w, https://substackcdn.com/image/fetch/$s_!m1Sb!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa4c3e6db-6ea2-4747-a3cb-2100025cfb16_1299x397.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><p class="button-wrapper" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/p/dpo-news-2/comments&quot;,&quot;text&quot;:&quot;Lascia un commento&quot;,&quot;action&quot;:null,&quot;class&quot;:null}" data-component-name="ButtonCreateButton"><a class="button primary" href="https://sergioamatoavv.substack.com/p/dpo-news-2/comments"><span>Lascia un commento</span></a></p><div class="directMessage button" data-attrs="{&quot;userId&quot;:326970590,&quot;userName&quot;:&quot;DPO News&quot;,&quot;canDm&quot;:null,&quot;dmUpgradeOptions&quot;:null,&quot;isEditorNode&quot;:true}" data-component-name="DirectMessageToDOM"></div><div class="digest-post-embed" data-attrs="{&quot;nodeId&quot;:&quot;ab06070e-e6cb-447e-813e-19f8924b20c8&quot;,&quot;caption&quot;:&quot;Originario di una terra - la Sicilia - che amo profondamente.&quot;,&quot;cta&quot;:&quot;Read full story&quot;,&quot;showBylines&quot;:true,&quot;showDescription&quot;:true,&quot;showImage&quot;:true,&quot;size&quot;:&quot;sm&quot;,&quot;isEditorNode&quot;:true,&quot;title&quot;:&quot;Chi sono&quot;,&quot;publishedBylines&quot;:[{&quot;id&quot;:326970590,&quot;name&quot;:&quot;DPO News&quot;,&quot;bio&quot;:&quot;In un mondo dove dati e tecnologie evolvono ogni giorno, questo spazio offre idee e aggiornamenti per chi vuole stare al passo e un passo avanti. Che tu gestisca dati, progetti digitali o attivit&#224; di compliance sei nel posto giusto.&quot;,&quot;photo_url&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg&quot;,&quot;is_guest&quot;:false,&quot;bestseller_tier&quot;:null}],&quot;post_date&quot;:&quot;2025-04-03T08:04:15.231Z&quot;,&quot;cover_image&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2bfd62a2-22ce-4ea5-a9a2-4e1a6f356ec2_1600x1600.jpeg&quot;,&quot;cover_image_alt&quot;:null,&quot;canonical_url&quot;:&quot;https://sergioamatoavv.substack.com/p/chi-sono&quot;,&quot;section_name&quot;:null,&quot;video_upload_id&quot;:null,&quot;id&quot;:160481928,&quot;type&quot;:&quot;page&quot;,&quot;reaction_count&quot;:0,&quot;comment_count&quot;:0,&quot;publication_id&quot;:null,&quot;publication_name&quot;:&quot;DPO News&quot;,&quot;publication_logo_url&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa417d8a7-ef24-4613-bd0e-22da8c7e6a79_1280x1280.png&quot;,&quot;belowTheFold&quot;:true,&quot;youtube_url&quot;:null,&quot;show_links&quot;:null,&quot;feed_url&quot;:null}"></div><div class="digest-post-embed" data-attrs="{&quot;nodeId&quot;:&quot;3f5d04d4-fc33-4fd6-9def-7e070416bc94&quot;,&quot;caption&quot;:&quot;Prenota qui una call con me&quot;,&quot;cta&quot;:&quot;Read full story&quot;,&quot;showBylines&quot;:true,&quot;showDescription&quot;:true,&quot;showImage&quot;:true,&quot;size&quot;:&quot;sm&quot;,&quot;isEditorNode&quot;:true,&quot;title&quot;:&quot;Prendiamo un caff&#232; digitale &quot;,&quot;publishedBylines&quot;:[{&quot;id&quot;:326970590,&quot;name&quot;:&quot;DPO News&quot;,&quot;bio&quot;:&quot;In un mondo dove dati e tecnologie evolvono ogni giorno, questo spazio offre idee e aggiornamenti per chi vuole stare al passo e un passo avanti. Che tu gestisca dati, progetti digitali o attivit&#224; di compliance sei nel posto giusto.&quot;,&quot;photo_url&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg&quot;,&quot;is_guest&quot;:false,&quot;bestseller_tier&quot;:null}],&quot;post_date&quot;:&quot;2025-04-03T07:50:59.003Z&quot;,&quot;cover_image&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd214b75f-4514-45f0-a129-2e58afa566a9_1024x608.png&quot;,&quot;cover_image_alt&quot;:null,&quot;canonical_url&quot;:&quot;https://sergioamatoavv.substack.com/p/sentiamoci-per-un-breve-confronto&quot;,&quot;section_name&quot;:null,&quot;video_upload_id&quot;:null,&quot;id&quot;:160461837,&quot;type&quot;:&quot;page&quot;,&quot;reaction_count&quot;:0,&quot;comment_count&quot;:0,&quot;publication_id&quot;:null,&quot;publication_name&quot;:&quot;DPO News&quot;,&quot;publication_logo_url&quot;:&quot;https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fa417d8a7-ef24-4613-bd0e-22da8c7e6a79_1280x1280.png&quot;,&quot;belowTheFold&quot;:true,&quot;youtube_url&quot;:null,&quot;show_links&quot;:null,&quot;feed_url&quot;:null}"></div>]]></content:encoded></item><item><title><![CDATA[🤖 Episodio #1 | Nasce l'Ecosistema Dati Sanitari(EDS)]]></title><description><![CDATA[Nasce l'Ecosistema dei Dati Sanitari (EDS): il sistema nazionale centralizzato di gestione dei dati sanitari]]></description><link>https://sergioamatoavv.substack.com/p/nasce-lecosistema-dati-sanitari-eds</link><guid isPermaLink="false">https://sergioamatoavv.substack.com/p/nasce-lecosistema-dati-sanitari-eds</guid><dc:creator><![CDATA[DPO News]]></dc:creator><pubDate>Wed, 02 Apr 2025 22:56:31 GMT</pubDate><enclosure url="https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9b200aa2-a608-4e9d-8a0d-aa1088138845_1080x2340.jpeg" length="0" type="image/jpeg"/><content:encoded><![CDATA[<p>Con il Decreto del Ministero della Salute del 31 dicembre 2024, pubblicato nella Gazzetta Ufficiale n. 53 del 5 marzo 2025, &#232; stata disposta l&#8217;istituzione dell'Ecosistema dati sanitari (EDS), un&#8217;infrastruttura nazionale finalizzata al coordinamento dei dati sanitari a livello centrale.</p><p><strong>Struttura e governance del sistema</strong></p><p>&#11093; Titolare del trattamento: Ministero della Salute</p><p>&#11093; Responsabile operativo: Agenzia Nazionale per i Servizi Sanitari Regionali (AGENAS)</p><h3><strong>Alimentazione del sistema</strong></h3><p>L&#8217;EDS sar&#224; alimentato da dati provenienti da: </p><p>&#11093; Strutture sanitarie e sociosanitarie</p><p>&#11093; Enti del Servizio Sanitario Nazionale Sistema Tessera Sanitaria (TS)</p><p>&#11093; Anagrafe Nazionale Assistiti (ANA)</p><h3><strong>Servizi attivati tramite EDS</strong></h3><p>Tra i servizi principali, &#232; prevista l&#8217;attivazione del dossier farmaceutico, che integrer&#224; le informazioni relative a prescrizioni ed erogazioni di farmaci contenute nei documenti del Fascicolo Sanitario Elettronico (FSE), nonch&#233; dai dati resi disponibili da TS e ANA.</p><h3><strong>Tempistiche</strong></h3><p>L&#8217;attuazione concreta del sistema &#232; fissata entro il 31 marzo 2026, subordinatamente al completamento delle attivit&#224; previste nell&#8217;ambito del progetto FSE 2.0.</p><div><hr></div><h3></h3><div class="captioned-image-container"><figure><a class="image-link image2 is-viewable-img" target="_blank" href="https://substackcdn.com/image/fetch/$s_!jVAM!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png" data-component-name="Image2ToDOM"><div class="image2-inset"><picture><source type="image/webp" srcset="https://substackcdn.com/image/fetch/$s_!jVAM!,w_424,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 424w, https://substackcdn.com/image/fetch/$s_!jVAM!,w_848,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 848w, https://substackcdn.com/image/fetch/$s_!jVAM!,w_1272,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 1272w, https://substackcdn.com/image/fetch/$s_!jVAM!,w_1456,c_limit,f_webp,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 1456w" sizes="100vw"><img src="https://substackcdn.com/image/fetch/$s_!jVAM!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png" width="1024" height="608" data-attrs="{&quot;src&quot;:&quot;https://substack-post-media.s3.amazonaws.com/public/images/7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png&quot;,&quot;srcNoWatermark&quot;:null,&quot;fullscreen&quot;:null,&quot;imageSize&quot;:&quot;normal&quot;,&quot;height&quot;:608,&quot;width&quot;:1024,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:null,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:null,&quot;href&quot;:null,&quot;belowTheFold&quot;:true,&quot;topImage&quot;:false,&quot;internalRedirect&quot;:null,&quot;isProcessing&quot;:false,&quot;align&quot;:null,&quot;offset&quot;:false}" class="sizing-normal" alt="" srcset="https://substackcdn.com/image/fetch/$s_!jVAM!,w_424,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 424w, https://substackcdn.com/image/fetch/$s_!jVAM!,w_848,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 848w, https://substackcdn.com/image/fetch/$s_!jVAM!,w_1272,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 1272w, https://substackcdn.com/image/fetch/$s_!jVAM!,w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7e9d1c02-8c09-4227-afe2-831601d8c478_1024x608.png 1456w" sizes="100vw" loading="lazy"></picture><div class="image-link-expand"><div class="pencraft pc-display-flex pc-gap-8 pc-reset"><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container restack-image"><svg role="img" width="20" height="20" viewBox="0 0 20 20" fill="none" stroke-width="1.5" stroke="var(--color-fg-primary)" stroke-linecap="round" stroke-linejoin="round" xmlns="http://www.w3.org/2000/svg"><g><title></title><path d="M2.53001 7.81595C3.49179 4.73911 6.43281 2.5 9.91173 2.5C13.1684 2.5 15.9537 4.46214 17.0852 7.23684L17.6179 8.67647M17.6179 8.67647L18.5002 4.26471M17.6179 8.67647L13.6473 6.91176M17.4995 12.1841C16.5378 15.2609 13.5967 17.5 10.1178 17.5C6.86118 17.5 4.07589 15.5379 2.94432 12.7632L2.41165 11.3235M2.41165 11.3235L1.5293 15.7353M2.41165 11.3235L6.38224 13.0882"></path></g></svg></button><button tabindex="0" type="button" class="pencraft pc-reset pencraft icon-container view-image"><svg xmlns="http://www.w3.org/2000/svg" width="20" height="20" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="lucide lucide-maximize2 lucide-maximize-2"><polyline points="15 3 21 3 21 9"></polyline><polyline points="9 21 3 21 3 15"></polyline><line x1="21" x2="14" y1="3" y2="10"></line><line x1="3" x2="10" y1="21" y2="14"></line></svg></button></div></div></div></a></figure></div><h2><strong>Ruoli e responsabilit&#224; dei soggetti coinvolti</strong></h2><p>L&#8217;art. 17 dell&#8217; EDS, disciplina l&#8217;accesso ai dati anonimizzati da parte di: </p><ul><li><p>Personale del Ministero della Salute</p></li><li><p>AGENAS</p></li><li><p>Regioni e Province autonome</p></li><li><p>Enti pubblici e privati con finalit&#224; istituzionali di ricerca medica, biomedica ed epidemiologica</p></li></ul><p>Tali soggetti potranno presentare ad AGENAS apposite richieste, corredate da un progetto di ricerca conforme ai requisiti metodologici, etici e deontologici, con riferimento alle Prescrizioni del Garante Privacy per il trattamento dei dati a fini di ricerca scientifica (cfr. Autorizzazione Generale n. 9/2016), nonch&#233; alle recenti prescrizioni relative al trattamento di categorie particolari di dati di cui al Provvedimento 13 febbraio 2025 del Garante privacy, in osservanza delle recenti novit&#224; introdotte dalla novellata riforma dell&#8217;art. 110 e seguenti del Codice Privacy proprio in materia di ricerca scientifica</p><p>Si rileva, a tal proposito, una presunta imprecisione nel testo normativo, che fa riferimento all&#8217;Allegato A5 del Codice Privacy, impropriamente associato al contesto sanitario.</p><h2><strong>Modalit&#224; di accesso ai dati</strong></h2><ul><li><p>I dati estratti tramite EDS, resi accessibili ad Agenas, saranno anonimizzati secondo le tecniche indicate nell&#8217;Allegato B del decreto</p></li><li><p>I dati anonimizzati non saranno conservati all&#8217;interno dell&#8217;ecosistema</p></li><li><p>&#200; previsto un successivo decreto attuativo per l&#8217;abilitazione di servizi che consentano il trattamento di dati personali a fini di ricerca, nel rispetto delle garanzie di cui all&#8217;art. 89 GDPR</p></li><li><p>Per un&#8217;analisi pi&#249; di dettaglio sui contenuti, servizi e tipologie di dati trattati per mezzo dell&#8217;EDS, l&#8217;Allegato A contiene una sintesi completa.</p></li></ul><div><hr></div><div class="subscription-widget-wrap-editor" data-attrs="{&quot;url&quot;:&quot;https://sergioamatoavv.substack.com/subscribe?&quot;,&quot;text&quot;:&quot;Subscribe&quot;,&quot;language&quot;:&quot;en&quot;}" data-component-name="SubscribeWidgetToDOM"><div class="subscription-widget show-subscribe"><div class="preamble"><p class="cta-caption">Thanks for reading DPO News! Subscribe for free to receive new posts and support my work.</p></div><form class="subscription-widget-subscribe"><input type="email" class="email-input" name="email" placeholder="Type your email&#8230;" tabindex="-1"><input type="submit" class="button primary" value="Subscribe"><div class="fake-input-wrapper"><div class="fake-input"></div><div class="fake-button"></div></div></form></div></div><p></p>]]></content:encoded></item></channel></rss>