Protezione dei dati e GDPR
-

Registro dei trattamenti e PMI: la semplificazione dell’articolo 30, paragrafo 5, GDPR vista da EDPB ed EDPS
Estendere l’esenzione dall’obbligo di tenuta del registro dei trattamenti alle organizzazioni con meno di 750 dipendenti: è la proposta della Commissione su cui EDPB ed EDPS si sono espressi con la Joint Opinion 01/2025. Favore per l’alleggerimento, ma con un monito: il registro non è solo un adempimento, è uno strumento di compliance. Cosa devono…
-

EHDS: lo Spazio europeo dei dati sanitari tra uso primario, uso secondario e usi vietati
Il Regolamento (UE) 2025/327 istituisce lo Spazio europeo dei dati sanitari: il primo spazio comune europeo di dati settoriale, con applicazione scaglionata dal 26 marzo 2027. Cartelle cliniche interoperabili per la cura, organismi di accesso per la ricerca, e un catalogo di usi espressamente vietati. Le coordinate essenziali di un regolamento destinato a ridisegnare la…
-

Riconoscimento facciale nelle città italiane: la moratoria prorogata al 2027 e i paletti dell’AI Act
Dopo Trento, il Garante ha avviato accertamenti sulla metropolitana di Roma e sulle telecamere “intelligenti” di Torino. Nel frattempo, la moratoria italiana sull’uso del riconoscimento facciale in luoghi pubblici è stata prorogata al 31 dicembre 2027 e l’AI Act ha fissato divieti direttamente applicabili, dallo scraping di immagini facciali all’identificazione biometrica remota in tempo reale.…
-

Il template DPIA dell’EDPB: verso una valutazione d’impatto armonizzata in tutto lo Spazio economico europeo
Il 14 aprile 2026 l’EDPB ha adottato un template per le valutazioni d’impatto sulla protezione dei dati, posto in consultazione pubblica fino al 9 giugno 2026: campi predefiniti, un documento esplicativo e l’ambizione di diventare il modello unico, o il “meta-template”, delle autorità di tutto lo SEE. Cosa cambia, in concreto, per titolari e DPO?…
-

Digital Omnibus e GDPR: i dubbi di EDPB ed EDPS sulla nuova definizione di dato personale
Mentre il Digital Omnibus on AI è giunto al traguardo, il pacchetto gemello che incide su GDPR ed ePrivacy è ancora in cammino, e porta con sé la questione più delicata: la modifica della definizione di dato personale. Nella Joint Opinion 2/2026 del 10 febbraio 2026, EDPB ed EDPS aprono alla semplificazione ma tracciano una…
-

ISO/IEC 42005 e la valutazione d’impatto dei sistemi di IA: una bussola tra FRIA e DPIA
Pubblicata nel maggio 2025, lo Standard ISO/IEC 42005 offre alle organizzazioni una guida per la valutazione d’impatto dei sistemi di Intelligenza Artificiale su individui, gruppi e società. Uno strumento volontario che si colloca in un ecosistema affollato di valutazioni obbligatorie: la FRIA dell’articolo 27 AI Act e la DPIA dell’articolo 35 GDPR. Come si coordinano…
-

Digital twin sanitari: GDPR, AI Act ed EHDS alla prova del gemello digitale del paziente
I gemelli digitali in sanità promettono di simulare la progressione delle malattie e di personalizzare le cure. Ma il gemello digitale di un paziente è, prima di tutto, un trattamento di dati sanitari su larga scala: quando i dati sintetici restano dati personali? Chi è titolare in un’architettura federata? E cosa accade ai dati dei…
-

Le città italiane si aprono al digitale: dal Mission Label europeo alla lezione di Trento sulla sorveglianza intelligente
Tutte e nove le città italiane della missione europea «100 climate-neutral and smart cities by 2030» hanno ormai ottenuto il Mission Label. Ma l’apertura delle città al digitale ha incontrato anche il suo primo, severo, limite giuridico: la sanzione del Garante privacy al Comune di Trento per i progetti di sorveglianza “intelligente” Marvel e Protector.…
-

Città digitali e cittadini “meritevoli”: dalla cittadinanza a punti al divieto di social scoring dell’AI Act
Negli anni scorsi diversi comuni italiani hanno sperimentato progetti di “cittadinanza a punti” che ricordavano da vicino il tanto criticato modello di controllo sociale cinese: wallet del cittadino virtuoso, patenti digitali, carte a punteggio. Oggi quel dibattito ha una cornice normativa nuova: dal 2 febbraio 2025 il social scoring è una pratica di IA vietata…
-

Il piano ispettivo del Garante privacy per il 2026: le aree nel mirino e le lezioni del caso Emirates
Con la deliberazione n. 797 del 30 dicembre 2025 il Garante ha programmato l’attività ispettiva per il primo semestre 2026: intelligenza artificiale nelle scuole, data breach sulle banche dati pubbliche, whistleblowing, dossier sanitario, telemarketing energetico, anonimizzazione dei big data delle Telco. E la recente sanzione a Emirates dimostra che anche una base giuridica legittima non salva…