Privacy: i principali temi della Relazione del Garante per la Protezione dei Dati Personali 2025

La Relazione del Garante privacy 2025: 807 provvedimenti, 37 milioni di sanzioni, accessi abusivi alle banche dati pubbliche. Occhio anche all’intelligenza artificiale!

13 Luglio 2026
Modifica zoom
100%

Il 2 luglio scorso, il Garante per la protezione dei dati personali ha presentato la Relazione sull’attività 2025, sesto anno di mandato del Collegio composto da Pasquale Stanzione, Ginevra Cerrina Feroni e Agostino Ghiglia. Non è difficile immaginarlo, ma la relazione lo conferma: l’anno analizzato (il 2025) è segnato dall’intelligenza artificiale e da una tenuta difficile della riservatezza: 807 provvedimenti collegiali, oltre 37 milioni di euro di sanzioni riscosse e un’attenzione sempre crescente al settore pubblico con tutte le sue fragilità.

>> Scarica la relazione del Garante per la Protezione dei Dati Personali 2025

Indice

La venuta dell’intelligenza artificiale ha cambiato le regole della Privacy

Se la domanda è se la privacy sia ancora possibile, la Relazione restituisce una risposta prudente. Il 2025 si è aperto con la decisione del Garante di limitare il trattamento dei dati degli utenti italiani da parte delle società che gestiscono DeepSeek, il sistema conversazionale cinese.

L’Autorità è poi intervenuta sui deepfake, con un avvertimento verso gli utilizzatori di piattaforme come Grok, ChatGPT e Clothoff, e con la limitazione provvisoria del trattamento per l’app Clothoff, capace di generare immagini di persone artificialmente prive di indumenti. Il Garante ha svolto un’azione preventiva contro il web scraping massivo per l’addestramento dell’AI ed espresso parere favorevole sulle Linee guida per l’impiego dell’AI nelle istituzioni scolastiche.

I numeri e l’impatto sul settore pubblico

Sul piano quantitativo, il Garante ha reso 65 pareri su atti regolamentari e amministrativi, tra cui quelli sulla digitalizzazione della Pubblica Amministrazione, sul Sistema IT Wallet e sull’EUDI Wallet europeo. I provvedimenti correttivi e sanzionatori sono stati 506.

Rilevante il dato sui data breach: 2.415 violazioni notificate, in aumento del 10% rispetto al 2024. Le comunicazioni di notizie di reato all’autorità giudiziaria sono salite a 65, contro le 16 del 2024.

! Nel settore pubblico i 514 data breach notificati hanno riguardato principalmente Comuni, istituzioni scolastiche e strutture sanitarie.

Responsabile della protezione dei dati: i Comuni ancora inadempienti

Il capitolo sulle Amministrazioni Pubbliche dedica ampio spazio al Responsabile della protezione dei dati (RPD). Nel 2025 il Garante ha sanzionato diversi Comuni per la mancata designazione del RPD o per l’omessa pubblicazione e comunicazione all’Autorità dei relativi dati di contatto, in violazione dell’art. 37, parr. 1 e 7, GDPR.

Sono emersi anche casi di conflitto d’interessi: un incarico affidato a un soggetto che era al contempo dirigente e legale rappresentante dell’Ente, e una società in house che aveva chiesto al proprio RPD di redigere la valutazione d’impatto, svuotando così la sua funzione consultiva indipendente (art. 38, par. 6, GDPR).

Concorsi pubblici: attenzione alla pubblicazione di verbali e graduatorie

Sul reclutamento il Garante ha adottato più provvedimenti sanzionatori verso Enti che avevano diffuso online dati eccedenti. Un Ente regionale è stato sanzionato per aver pubblicato i verbali della commissione, contenenti anche dichiarazioni su procedimenti penali dei candidati e risultati indicizzati sui motori di ricerca.

Un Comune è stato sanzionato per aver diffuso graduatorie intermedie e finali con il dettaglio delle votazioni di ammessi e non ammessi. La normativa di settore, ricorda l’Autorità, non prevede la pubblicazione degli atti interni alla procedura. In questo quadro il Garante, insieme al Dipartimento della Funzione pubblica, ha adottato specifiche FAQ sulla pubblicità e trasparenza nei concorsi.

Trasparenza e pubblicazione online: il confine con la protezione dei dati

Numerosi interventi hanno riguardato la diffusione illecita di dati personali da parte di Enti locali. Il Garante ha dichiarato illecita la pubblicazione, sul sito di un Ente, del registro degli accessi con 1.455 istanze presentate tra il 2017 e il 2023, comprensive di nominativi e, in un caso, di informazioni sulla salute: una prassi in contrasto con le linee guida ANAC e con la circolare del Ministro per la PA n. 1/2019, che impongono l’oscuramento.

Analoghe criticità hanno riguardato allegati a delibere di giunta comunale con nominativi, residenza e codice fiscale dei ricorrenti. Sul fronte degli schemi standard di pubblicazione, il Garante ha reso ulteriori pareri all’ANAC sugli obblighi previsti dagli artt. 14, 15-ter e 41 del d.lgs. n. 33/2013, chiedendo modifiche a tutela dei dati non necessari.

Accessi abusivi alle banche dati: il fronte più delicato per la PA

Il capitolo che interpella più direttamente il personale pubblico riguarda gli accessi illeciti alle banche dati. Una task force interdipartimentale opera da oltre un anno sull’illecita acquisizione di informazioni dalle più grandi banche dati pubbliche, tra cui l’anagrafe tributaria e le banche dati dell’INPS e delle forze di polizia. In particolar modo le 130 ispezioni hanno riguardato: il sistema SPID, l’impiego di tecnologie innovative (come i dispositivi installati o sperimentati da alcuni Comuni per il monitoraggio dei flussi turistici), il registro elettronico, le tecnologie di riconoscimento facciale, i sistemi di videosorveglianza e di controllo dei lavoratori, la ricerca scientifica e la gestione dei data breach. Per gli uffici questo si traduce in adempimenti precisi:

  • profilare rigorosamente le abilitazioni e tracciare ogni accesso ai sistemi informativi;
  • prevenire e monitorare gli accessi abusivi ai dossier sanitari e alle banche dati;
  • notificare tempestivamente i data breach all’Autorità;
  • applicare privacy by design, minimizzazione, trasparenza e accountability.

Scrivi un commento

Accedi per poter inserire un commento