Privacy & Tecnologie

di Andrea Onori

L’uso delle tecnologie in azienda per l’elaborazione dei dati aziendali è sempre più incisivo e invasivo.

I dati che tutte le aziende trattano sono i più disparati: da quelli economici e finanziari a quelli relativi alla salute delle persone, ovviamente in funzione del settore in cui le stesse operano e degli uffici/funzioni interne dove vengono trattati.

In considerazione della crescente digitalizzazione e delle efficienze che le tecnologie portano nella gestione aziendale, le stesse si trovano, oggi, a definire la struttura, l’organizzazione e i tempi di processo delle elaborazioni di tutti i dati presenti all’interno delle procedure aziendali.

È per questo che il primo rischio aziendale percepito a livello globale per il 2025-2026 è rappresentato dagli incidenti informatici (Cyber Risk – Cyber incidents), come attacchi Malware e Ransomware, Phishing e Spear Phishing, Attacchi Denial-of-Service(DoS/DDoS), Man-in-the-Middle (MitM) oltre che altre tipologie di violazioni dei dati e interruzioni delle attività informatiche (fonte: Allianz Risk Barometer 2025/2026).

La minaccia di attacchi cyber è considerata la principale minaccia alla continuità aziendale e alla reputazione nel contesto attuale.

Questo rischio colpisce aziende di ogni dimensione, natura e struttura, dalle grandi imprese alle micro imprese e PMI.

La connessione tra Cyber Security e General Data Protection Regulation – (GDPR) – Regolamento 679/2016, è profonda e inscindibile.

Da un lato, se il GDPR stabilisce cosa proteggere, ovvero i diritti e le libertà fondamentali delle persone, dall’altro la Cyber Security rappresenta come farlo dal punto di vista tecnico.

Non può esserci una vera tutela del trattamento dei dati senza una solida sicurezza informatica.

Un’azienda può avere una Cyber Security «d’acciaio», ma violare comunque il GDPR (ad esempio, raccogliendo dati senza consenso o violando altri presupposti per un trattamento del dato legittimo), ma è quasi impossibile essere “GDPR compliant” con una Cyber Security «debole».

I punti di contatto più stretti tra le 2 discipline, Cyber Security e GDPR, sono:

  • la “Sicurezza del Trattamento” (art. 32). Il GDPR non elenca tecnologie specifiche, ma impone al titolare del trattamento dei dati di adottare misure tecniche e organizzative adeguate, come:
  • la pseudonimizzazione e la cifratura dei dati personali
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità (i 3 pilastri della Cyber Security)
  • la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (es. Penetration Test e Vulnerability Assessment);
  • il principio di “Privacy by Design e by Default” (art. 25)

Secondo l’art. 25, Regolamento (UE) 679/2016, la protezione dei dati deve essere integrata fin dalla fase di progettazione di un software o di un sistema.

Qui di seguito si vogliono, per contro, evidenziare le differenze fondamentali tra le 2 discipline avendo le stesse obiettivi di protezione e tutela differenti da raggiungere.

CARATTERISTICACYBER SECURITYGDPR
FocusProtezione di asset, reti e hardware.Protezione dei dati personali e dei diritti dell’individuo.
ObiettivoDifesa da attacchi, malware e accessi non autorizzati.Garantire che i dati siano trattati lecitamente e in trasparenza.
AmbitoDati aziendali, segreti industriali, infrastrutture.Solo dati riferibili a persone fisiche identificate o identificabili.

In quest’ultimo periodo, l’avvento dell’intelligenza artificiale (IA) spinto dalla regolamentazione europea, vede il delinearsi dei rapporti giuridici tra IA e Privacy sempre con maggior chiarezza, portandosi con sé integrazioni e modifiche del GDPR.

Pertanto, chi utilizza l’IA dovrà attuare gli adempimenti previsti dal GDPR, contenuti e coordinati con la Legge n. 132/2025 oltre che con il Regolamento (UE) 2024/1689, noto come “AI Act”.

Vuol dire che tutte le imprese, pubbliche e private, che decidono di utilizzare l’intelligenza artificiale nei loro processi industriali, commerciali e legali/amministrativi, per essere “in regola”, devono rivedere tutti i “documenti e contratti Privacy” già adottati andando ad aggiungere e/o completare gli stessi con le indicazioni e integrazioni necessarie per l’utilizzo della IA.

La Legge n. 132/2025 contiene disposizioni che richiamano direttamente il Regolamento (UE) 2016/679 (GDPR) e stabiliscono adempimenti specifici per la tutela della riservatezza e il trattamento dei dati personali nel contesto dell’intelligenza artificiale (IA).

Di seguito sono indicate le principali norme di disciplina dell’IA nel rispetto della tutela del trattamento dei dati.

Si prevede che:

  • lo sviluppo e l’utilizzo di sistemi e modelli di IA devono avvenire nel rispetto dei principi di protezione dei dati personali, riservatezza, trasparenza e sicurezza;
  • «al fine di garantire il rispetto dei diritti e dei principi della legge deve essere assicurata, quale precondizione essenziale, la cyber-sicurezza lungo tutto il ciclo di vita dei sistemi e dei modelli di intelligenza artificiale per finalità generali, secondo un approccio proporzionale e basato sul rischio, nonché l’adozione di specifici controlli di sicurezza, anche al fine di assicurarne la resilienza contro tentativi di alterarne l’utilizzo, il comportamento previsto, le prestazioni o le impostazioni di sicurezza».

L’utilizzo di sistemi di intelligenza artificiale, inoltre, deve garantire un trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione Europea in materia di dati personali e di tutela della riservatezza.

Da ultimo, che le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di intelligenza artificiale siano rese con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti dei propri dati personali.

Che il GDPR stia vivendo un momento di cambiamento ed evoluzione è testimoniato anche dal fatto che la Commissione del Parlamento Europeo per il mercato interno e la protezione dei consumatori (IMCO), ha adottato il 27 gennaio 2026 un proprio parere intervenendo sulla proposta di regolamento “Digital Omnibus” e proponendo al suo interno delle modifiche al Regolamento (UE) 2016/679, nel contesto della protezione dei consumatori e del mercato digitale.

Le modifiche proposte riguardano:

  1. l’estensione alle «small mid-cap enterprises» (fino a 1000 dipendenti) di alcune semplificazioni previste;
  2. l’innalzamento della soglia dimensionale per l’obbligo di tenuta del registro delle attività di trattamento di cui all’art. 30, par. 5;
  3. l’introduzione di un nuovo art. 31-bis, relativo a strumenti di semplificazione proattiva della compliance per le micro, piccole e medie imprese,

nonché rendere i codici di condotta e le certificazioni più accessibili, considerando le esigenze di imprese più ampie rispetto a micro, piccole e medie.

Il parere della commissione, nello specifico, relativo al par. 5 dell’art. 30, rubricato “Registri delle attività di trattamento”, prevede che «Al fine di tenere conto della situazione specifica delle micro, piccole e medie imprese, l’obbligo di tenere registri delle attività di trattamento dovrebbe essere semplificato in modo da fare sì che la deroga si applichi a tutte le imprese e organizzazioni con meno di 1 000 dipendenti, a condizione che le loro attività di trattamento non siano tali da comportare un rischio elevato per i diritti e le libertà degli interessati».

Con riferimento agli «Strumenti semplificati» il nuovo art. 31-bis prevede che:

  1. i soggetti che possono beneficiare di ciò saranno: «i titolari del trattamento e i responsabili del trattamento che si qualificano come micro, piccole o medie imprese o come piccole imprese a media capitalizzazione o come imprese che occupano meno di 1 000 persone, il cui fatturato annuo non supera i 200.000.000 EUR o il cui totale di bilancio annuo non supera i 172.000.000 EUR»;
  2. tali strumenti comprendono, tra l’altro, moduli standardizzati, modelli per la redazione dei registri delle attività di trattamento, modelli di valutazione dei rischi adattati alle caratteristiche specifiche di tali imprese, nonché altre risorse e orientamenti pratici volti a facilitare l’applicazione efficace e coerente del presente regolamento.

Area fiscale

Articoli del giorno

I contributi INPS artigiani e commercianti per il 2026

Derivazione rafforzata: le novità normative del 2025 

Regime forfettario 2026: aspetti fiscali e previdenziali

Privacy & Tecnologie

Vedi tutti gli articoli di EC News

Corsi in evidenza

Bilancio di sostenibilità

Il corso di propone di fornire il quadro della normativa comunitaria in vigore in tema di rendicontazione di sostenibilità e di analizzare i principi di rendicontazione. A partire dal 25/02/2026

Fiscalità internazionale in pratica 2026

Il programma è stato aggiornato alla luce del D.Lgs. 209/2023, del D.L. 84/2025 e delle più recenti novità normative, con particolare attenzione ai temi emergenti del diritto tributario internazionale. A partire dal 17/03/2026

Masterclass fiscalità immobiliare

Il percorso è articolato in cinque giornate in cui sono affrontati ed approfonditi gli aspetti fiscali connessi alla gestione ed al trasferimento degli immobili. A partire dall’11/03/2026

Mondo professione

L’Intelligenza Artificiale entra nello Studio del Commercialista: strumenti, regole e casi concreti

Gli ISA in accertamento. Il punto sulle locazioni brevi

Kelly Partners Group: un modello replicabile nel mercato italiano?

Legge di Bilancio 2026: incentivi al lavoro dipendente tra crescita salariale e incertezze normative

Euroconference NEWS è una testata registrata al Tribunale di Verona Reg. n. 1993 del 05/09/2013
Direttore responsabile Sandro Cerato
Copyright 2016 © Gruppo Euroconference S.p.A. v2.30.4
Via E. Fermi, 11 - 37135 Verona - info@ecnews.it
Capitale Sociale € 300.000,00 i.v. C.F. P.IVA Iscrizione Registro Imprese di Verona 02776120236

Torna in alto