17
Ott, 2025

Legge 23 settembre 2025 n. 132 sulla Intelligenza Artificiale; confronto con AI Act e GDPR

La Legge 23 settembre 2025 n. 132 5 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”) rappresenta il primo intervento organico dell’Italia in materia di regolazione e promozione dell’intelligenza artificiale, in armonia con il Regolamento (UE) 2024/1689 (il cosiddetto AI Act europeo).

La legge non sostituisce il regolamento europeo, ma lo integra, stabilendo principi nazionali, indirizzi strategici, ambiti di applicazione e deleghe legislative al Governo.

In quest’articolo presentiamo un commento ragionato che colleghi la Legge italiana Legge 23 settembre 2025 n. 132 in materia di intelligenza artificiale con il Regolamento (UE) 2024/1689 (AI Act) e con il Regolamento (UE) 2016/679 (GDPR), mettendo in luce i fondamenti sistematici, le innovazioni normative e le scelte politiche sottese al testo italiano.

Leggi tutto

La sicurezza del sito web: le regole per realizzare un sito conforme

La sicurezza di un sito web è fondamentale per proteggere i dati e le informazioni degli utenti e dei gestori.

Sappiamo (dalla ISO 27001 e dal GDPR in primis) che la sicurezza va declinata nelle sue proprietà: Riservatezza, Integrità e Disponibilità. Dunque, non solo è importante garantire la riservatezza dei dati, ma anche la loro integrità (esattezza, correttezza) e la loro disponibilità in tempi idonei laddove attraverso il sito web si fornisce un servizio a clienti effettivi e potenziali. Inoltre, l’indisponibilità del sito web a causa di un attacco hacker (attacco DDOS, defacement del sito web) comporta un grave rischio reputazionale per il suo proprietario.

Leggi tutto

La Certificazione privacy: lo schema ISDP©10003

La certificazione ai sensi dell’art. 42 del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) è un processo che dimostra l’impegno di un’azienda a proteggere i dati personali gestiti (ad es. dei propri clienti e dipendenti), relativamente ad un processo, prodotto o servizio.

La certificazione GDPR non è obbligatoria, ma può essere un’ottima opportunità per le aziende che desiderano dimostrare il loro impegno verso la conformità alle normative sulla protezione dei dati personali e, quindi, aumentare la loro reputazione sul mercato, magari accedendo, in un prossimo futuro, a gare di appalto particolarmente significative.

Il processo di certificazione GDPR prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un organismo di certificazione accreditato. Questo Organismo esaminerà le procedure interne dell’azienda, le tecnologie utilizzate per proteggere i dati e la formazione del personale in materia di sicurezza dei dati. Se l’azienda supera la valutazione, verrà rilasciata una certificazione che dimostra che il prodotto, processo o servizio dell’organizzazione oggetto di certificazione è conforme ai requisiti del GDPR.

Leggi tutto

Luci ed ombre del contratto di trattamento dati con il Responsabile del trattamento

man and a woman on a business meeting
Photo by Artem Podrez on Pexels.com

Gli accordi fra Titolare del trattamento e Responsabile del Trattamento sono probabilmente uno dei punti più difficili da gestire nell’applicazione del GDPR, sia perché i requisiti del GDPR sono diversi dalla vecchia nomina del responsabile esterno del trattamento del Codice Privacy, sia perché le responsabilità, in capo sia al Titolare, sia al Responsabile sono più pesanti che in passato.

Spesso tale accordo è imposto dal Titolare al Responsabile che non gradisce e troppo spesso il Titolare evita contrasti con il Responsabile, magari fornitore già scelto da tempo, e desiste. In altri casi – come quelli dei colossi del web, fornitori di servizi cloud – il Titolare non ha nemmeno modo di discutere le clausole contrattuali dell’accordo per la protezione dati imposto dal Responsabile.

Leggi tutto

Valutazione del rischio per la sicurezza delle informazioni vs. valutazione del rischio privacy

In un precedente articolo abbiamo trattato della valutazione del rischio privacy per adempiere ai requisiti del GDPR (Regolamento UE 2016/679 sulla protezione dei dati personali), ma chi ha o deve implementare un sistema di gestione per la sicurezza delle informazioni come deve considerare la valutazione dei rischi sui trattamenti di dati personali? Tale valutazione è implicita nella valutazione dei rischi sulla sicurezza delle informazioni, ovvero è un “di cui” di essa? Oppure, come sostengono alcuni esperti di privacy, è tutta un’altra cosa e va considerata separatamente? Cerchiamo di chiarire questi aspetti.

Leggi tutto

Le nuove Linee Guida del GPDP sui cookie

Il Garante per la Protezione ei Dati Personali (GPDP) ha recentemente emanato un provvedimento (pubblicato in G.U. lo scorso 09/07) denominato “Linee guida cookie e altri strumenti di tracciamento”, facendo seguito alla consultazione pubblica iniziata lo scorso dicembre.

Il presente articolo segue analogo articolo che commentava la versione posta in consultazione delle medesime Linee Guida e che ora sono state ufficialmente approvate, seppur con qualche modifica.

 Tali Linee Guida di fatto aggiornano un provvedimento analogo (n. 229, dell’8 maggio 2014) adottato prima dell’entrata in vigore del Regolamento UE 679/2016.

Leggi tutto

La valutazione del rischio Privacy

Perché valutare il rischio per la protezione dati

Sebbene il Regolamento UE 679/2016 (ormai più noto con l’acronimo inglese, GDPR) indichi diverse volte la necessità di effettuare una valutazione dei rischi che incombono sui dati personali, in molte organizzazioni non c’è una chiara evidenza di un processo documentato di valutazione dei rischi che abbia portato ad intraprendere determinate azioni e misure di sicurezza.

Già all’art. 25 (Privacy-by-design & privacy-by-default), comma 1, il GDPR ci indica la necessità di effettuare una valutazione dei rischi:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Leggi tutto
Pagine: 1 2 3

Commenti alle nuove Linee Guida del Garante Privacy sui cookie

Il Garante per la Protezione dei Dati Personali ha recentemente pubblicato delle “Linee Guida sull’utilizzo dei cookie ed altri strumenti di tracciamento” in consultazione pubblica. Quindi, in base ai commenti ricevuti da diverse fonti, emanerà successivamente le Linee Guida definitive.

In questo articolo, pertanto, fornisco alcune considerazioni personali sulle Linee Guida stesse ed in generale sull’argomento “cookie ad altre tecnologie traccianti”, che normalmente sono presenti sui siti web – ma anche su app per dispositivi portatili -, ad integrazione ed aggiornamento di quanto riportato in un mio precedente articolo. Si consideri anche che, nel frattempo, alcune Autorità di Controllo Europee (ICO, CNIL,…) hanno pubblicato proprie linee guida e l’EDPB ha più recentemente pubblicato le Linee Guida sul Consenso, che riportano anche alcuni esempi sulla gestione dei cookie.

Leggi tutto

Misure di sicurezza di un’applicazione web per essere conformi al GDPR

Nella gestione della privacy di un’organizzazione talvolta ci si trova a valutare la conformità al GDPR (Regolamento UE 2016/679) di una applicazione web o web application fornita, spesso con modalità SaaS (Software As A Service) da un fornitore esterno.

Da un lato l’art. 28 del GDPR ci chiede di affidarci solo a responsabili del trattamento che garantiscano adeguate misure di sicurezza e la conformità al GDPR stesso, dall’altro l’art. 25 ci chiede che gli applicativi software che trattano dati personali siano “privacy by design” e “privacy by default”, ma cosa significa tutto ciò? Cosa dobbiamo realmente chiedere al fornitore di una web application? Anzi cosa dobbiamo pretendere per garantirci la conformità al GDPR?

Al di là degli obblighi del GDPR, molti imprenditori si pongono queste domande:

  1. Dove sono conservati i miei dati?
  2. Chi li può visionare?
  3. Saranno sempre nella mia disponibilità?
Leggi tutto

Come gestire il Responsabile del trattamento ai sensi del GDPR

Il Responsabile del trattamento, ai sensi dell’art. 28 del Regolamento UE 679/2016 (GDPR), è una figura molto ostica da gestire nell’ambito di un adeguamento della gestione della privacy di un’organizzazione italiana.

crop businessman signing contract in office

Moltissimi punti del GDPR definiscono prescrizioni applicabili ai titolari e/o ai responsabili del trattamento, ovvero alle figure che hanno determinate responsabilità nel trattare dati personali. Altri soggetti identificati dal GDPR (contitolari, “titolari autonomi” e soggetti autorizzati al trattamento) o sono riconducibili ad essi oppure hanno responsabilità di gran lunga inferiori.

Leggi tutto