06

Immagine creata con IAAI-generated image

Il piano ispettivo del Garante privacy per il 2026: le aree nel mirino e le lezioni del caso Emirates

Con la deliberazione n. 797 del 30 dicembre 2025 il Garante ha programmato l’attività ispettiva per il primo semestre 2026: intelligenza artificiale nelle scuole, data breach sulle banche dati pubbliche, whistleblowing, dossier sanitario, telemarketing energetico, anonimizzazione dei big data delle Telco. E la recente sanzione a Emirates dimostra che anche una base giuridica legittima non salva il titolare da retention sproporzionate e informative opache. Cosa devono sapere titolari e DPO?

L’attività di programmazione ispettiva dell’Autorità Garante per la protezione dei dati personali costituisce, da sempre, una mappa preziosa per titolari e responsabili del trattamento: indica dove si concentrerà l’attenzione dell’Autorità e, in controluce, quali trattamenti essa consideri a maggior rischio per i diritti e le libertà degli interessati. Riteniamo questa sia la sede opportuna per esaminare il piano relativo al primo semestre 2026, adottato con la deliberazione n. 797 del 30 dicembre 2025 (doc. web n. 10214259, relatore Agostino Ghiglia), concernente l’attività ispettiva «curata dall’Ufficio del Garante, anche per mezzo della Guardia di Finanza, limitatamente al periodo gennaio/luglio 2026», fondata, tra l’altro, sugli articoli 157 e 158 del Codice e sull’articolo 58 del GDPR, «concernente, in particolare, i poteri di indagine».

Le aree oggetto di accertamento

Il dispositivo della deliberazione individua le seguenti aree di intervento:

la “prosecuzione, nell’ambito dei lavori della task force interdipartimentale, delle attività di verifica relative ai data breach che hanno interessato banche dati pubbliche di particolare rilievo e delicatezza”, con la finalità dichiarata “di arginare il fenomeno degli accessi abusivi e della rivendita di informazioni riservate”;

la prosecuzione delle verifiche sugli “applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni whistleblowing”;

le “verifiche sull’utilizzo di strumenti di intelligenza artificiale utilizzati in ambito scolastico”;

la prosecuzione delle verifiche sul c.d. dossier sanitario;

l’“illecito trattamento di dati a fini di telemarketing con particolare riferimento al settore energetico”;

i “trattamenti di dati personali effettuati nell’ambito del Sistema informativo doganale, secondo le previsioni di cui all’art. 154, comma 2, lett. C) del Codice”;

le “policy e [le] tecniche di anonimizzazione dei dati implementati dalle Telco per la condivisione dei big data alla luce della sentenza della CGUE del 4 settembre 2025”;

gli approfondimenti tecnici sui data breach notificati, “con particolare riguardo ai casi più estesi e delicati in ambito sia pubblico che privato”;

le ulteriori attività ispettive d’ufficio, per urgenza, segnalazioni o reclami.

Quanto al volume, la deliberazione precisa che «l’attività ispettiva programmata con la deliberazione in data odierna riguarderà, relativamente ai punti da a) fino a i) almeno 40 accertamenti ispettivi, effettuati anche a mezzo della Guardia di Finanza».

Le novità rispetto al piano precedente

Il confronto con la deliberazione n. 451 del 4 agosto 2025, relativa al semestre luglio-dicembre 2025, restituisce indicazioni di indubbio interesse. In primo luogo, fanno il loro ingresso nel piano tre aree nuove: l’intelligenza artificiale in ambito scolastico, il Sistema informativo doganale e l’anonimizzazione dei big data delle Telco, quest’ultima in dichiarata dipendenza dalla sentenza della Corte di giustizia del 4 settembre 2025. In secondo luogo, escono dal piano i trattamenti assicurativi a fini di preventivazione, il trasporto pubblico locale, il riconoscimento biometrico dei clienti bancari e i registri di patologia in ambito statistico. In terzo luogo, la soglia quantitativa sale da almeno 35 ad almeno 40 accertamenti. Infine, il contrasto agli accessi abusivi alle banche dati pubbliche acquisisce una finalità esplicita, quella di «arginare il fenomeno degli accessi abusivi e della rivendita di informazioni riservate», assente nella deliberazione precedente.

Come può facilmente comprendersi, la direzione di marcia è chiara: al centro del semestre stanno l’ecosistema pubblico dei dati, l’Intelligenza Artificiale nei contesti che coinvolgono soggetti vulnerabili, i minori in primis, e la tenuta delle tecniche di anonimizzazione, tema, quest’ultimo, dalle implicazioni sistemiche tutt’altro che trascurabili.

Il caso Emirates: quando la base giuridica non basta

Che la compliance formale non esaurisca il giudizio di liceità lo dimostra, da ultimo, il provvedimento n. 347 del 14 maggio 2026 (doc. web n. 10259296), reso noto con la newsletter n. 548 del 17 giugno 2026, con il quale il Garante ha sanzionato Emirates in relazione alla raccolta, tramite il modulo MEDIF, dei dati dei passeggeri con disabilità o a mobilità ridotta.

L’esito istruttorio è, a ben vedere, chirurgico. L’Autorità «rileva l’illiceità del trattamento effettuato da Emirates […] ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) ed e), 12 e 13 del Regolamento»: liceità, correttezza e trasparenza, limitazione della conservazione, informativa. Non è stata invece ravvisata alcuna violazione quanto alla base giuridica del trattamento, ritenuta legittima. La sanzione è stata determinata nell’ordine «di pagare la somma di euro 180.000,00 (centottantamila), a titolo di sanzione amministrativa pecuniaria», accompagnata da misure correttive ex articolo 58, paragrafo 2, lettera d), del GDPR, norma che attribuisce all’Autorità il potere di «ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine».

Il punto dolente era, anzitutto, la conservazione: dal provvedimento emerge che «il MEDIF viene conservato a cura di Emirates insieme ai documenti di viaggio del passeggero e mantenuto per tutto il volo […] nonché per i 7 anni successivi»; come sintetizza la newsletter, «la compagnia conservava i dati sanitari raccolti mediante il modulo Medif per un periodo di sette anni, ritenuto dall’Autorità eccessivo e non proporzionato rispetto alla finalità perseguita». A ciò si aggiungeva un’informativa presente, ma non idonea, perché poco chiara su chi fosse tenuto alla compilazione e su quali campi fossero effettivamente obbligatori.

La medesima newsletter dà conto di ulteriori interventi: l’ammonimento a un Comune che aveva utilizzato i filmati della videosorveglianza urbana per contestare un’infrazione stradale, in violazione dei principi di liceità e limitazione della finalità (provvedimento del 14 maggio 2026, doc. web n. 10259305), e il provvedimento in materia di c.d. sharenting del 29 aprile 2026 (doc. web n. 10251841), ove si ribadisce che «per pubblicare sui social network immagini che ritraggono minori di 14 anni è necessario il consenso preventivo di entrambi i genitori».

Cosa devono fare titolari e DPO

Dal quadro esposto discendono, a nostro avviso, almeno quattro indicazioni operative.

In primo luogo, la data retention dei dati appartenenti a categorie particolari si conferma terreno sanzionatorio autonomo: la legittimità della base giuridica non salva il titolare da tempi di conservazione sproporzionati e non documentati. I termini vanno definiti finalità per finalità, e comprovati.

In secondo luogo, la trasparenza deve essere effettiva e non solo formale: un’informativa esistente ma poco chiara su destinatari e campi obbligatori integra violazione degli articoli 12 e 13 del GDPR.

In terzo luogo, le nuove priorità ispettive disegnano la mappa dei rischi del semestre: chi opera nell’IA in ambito scolastico, nel whistleblowing, nella gestione di banche dati pubbliche o nell’anonimizzazione di big data dovrebbe anticipare l’accertamento con audit interni, DPIA aggiornate e registri in ordine, tenuto conto che l’accertamento in loco, anche a mezzo della Guardia di Finanza, non richiede un previo reclamo.

Infine, per gli enti locali, il vincolo di finalità nella videosorveglianza urbana: gli utilizzi ulteriori dei filmati richiedono un’espressa base giuridica, e la tentazione di riconvertire la sicurezza urbana in accertamento sanzionatorio è, per l’appunto, soltanto una tentazione.

Conclusioni

Il piano ispettivo 2026 e la prassi sanzionatoria più recente compongono un messaggio univoco: l’Autorità sposta progressivamente l’attenzione dalla mera esistenza degli adempimenti alla loro qualità sostanziale, con un occhio di riguardo per i contesti che coinvolgono soggetti vulnerabili e per le tecnologie emergenti.

Alla luce di quanto esposto, ci si domanda se titolari e responsabili sapranno cogliere il senso di questa evoluzione, verificando in concreto tempi di conservazione, trasparenza delle informative e proporzionalità dei trattamenti, prima che sia l'accertamento ispettivo, non di rado condotto senza preavviso, a rilevarne le carenze.

Autore: Avv. Valentina Grazia Sapuppo