Il quadro normativo europeo in materia di trattamento dei dati personali si fonda sul GDPR, che introduce principi cardine quali privacy by design, privacy by default e sicurezza del trattamento secondo un approccio basato sul rischio. Su tale impianto si innestano discipline complementari (NIS2, Data Act, AI Act, DORA), che regolano rispettivamente cyber security, circolazione dei dati, intelligenza artificiale e resilienza digitale.
Con il presente contributo iniziamo la costruzione dell’architettura normativa relativa la tutela del trattamento dei dati mediante l’utilizzo dei sistemi informativi, dell’intelligenza artificiale, dei Big Data, nonché dei provvedimenti relativi la Cyber Security.
Punto di partenza imprescindibile è il General Data Protection Regulation (GDPR), anche noto come Regolamento UE n. 679/2016.
L’art. 2 del GDPR, rubricato “Ambito di applicazione materiale”, prescrive che il Regolamento sulla tutela del trattamento dei dati «si applica al trattamento interamente o parzialmente automatizzato di dati personali […] contenuti in un archivio o destinati a figurarvi».
Altri pilastri fondamentali della struttura dell’architettura normativa in commento, contenuti nel GDPR, sono i principi di “Privacy by Design” e “Privacy by Default” contenuti nell’art. 25, rubricato “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione definita”.
La norma richiede di tener conto di:
- stato dell’arte;
- costi di attuazione;
- natura del trattamento;
- ambito di applicazione;
- contesto e finalità del trattamento,
sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento.
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate al fine di integrare nel trattamento dei dati le necessarie garanzie di tutela e che siano trattati, per impostazione predefinita, solo i dati necessari.
Ulteriori prescrizioni fondamentali contenute nel GDPR sono rinvenibili nell’art. 32, che disciplina la “Sicurezza del trattamento”.
Anche per questa fattispecie, il titolare del trattamento deve tenere in considerazione la disponibilità tecnologica (stato dell’arte), le risorse necessarie per acquisire e mantenere gli strumenti (costi di attuazione), se il trattamento prevede o meno la diffusione a terzi (natura del trattamento), nonché, tra gli ulteriori aspetti, l’eventualità di subire un danno (rischio per i diritti e le libertà delle persone fisiche), al fine di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Tra le misure più rilevanti abbiamo «la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento», che coincidono con i pilastri della Cyber Security.
Ulteriori elementi che contribuiscono a determinare le fondamenta, oltre che le colonne portanti, della struttura normativa della tutela del trattamento dei dati mediante l’utilizzo di sistemi informatici, di intelligenza artificiale (IA), Big Data e Cyber Security, sono individuati e definiti dalle seguenti norme:
- il Regolamento UE 2554/2022 (“DORA”);
- la Direttiva UE 2055/2022 (“NIS2”) e il D.Lgs. n. 138/2024;
- il Regolamento UE 2854/2023 (“Data Act”);
- il Regolamento UE 1689/2024 (“AI Act”) e la Legge n. 132/2025;
- il Regolamento UE 1772/2024 (“Integrazione DORA”).
Qui di seguito si riportano in sintesi i punti salienti dei sopra indicati provvedimenti in ambito Privacy, nonché i rapporti tra gli stessi.
Nell’ambito dei rapporti tra Cyber Security e GDPR
La Direttiva (UE) 2022/2555 (NIS 2) stabilisce un quadro rigoroso per la cyber sicurezza nell’Unione Europea, mantenendo un legame stretto e complementare con la normativa sulla protezione dei dati personali.
In sintesi, la NIS 2 rafforza la sicurezza delle reti e dei sistemi proprio per proteggere meglio i dati che vi transitano, agendo in parallelo e nel rispetto delle autorità e delle norme sulla Privacy già esistenti.
La Direttiva NIS 2 non pregiudica né sostituisce il Regolamento (UE) 2016/679 (GDPR) o la Direttiva 2002/58/CE (ePrivacy). Qualsiasi trattamento di dati personali effettuato ai sensi della NIS 2 deve conformarsi pienamente al diritto dell’Unione in materia di Privacy.
Stabilisce, inoltre, che le autorità competenti per la cyber sicurezza devono operare in stretta collaborazione con le autorità di controllo del GDPR (come il Garante per la protezione dei dati personali)
Il D.Lgs. n. 138/2024, entrato in vigore il 16 ottobre 2024, rappresenta l’atto di recepimento nazionale della Direttiva (UE) 2022/2555 (NIS2). Il decreto mira a innalzare il livello di sicurezza informatica in Italia, stabilendo un legame operativo e giuridico tra la protezione delle reti e la tutela della Privacy.
In sintesi, il D.Lgs. n. 138/2024 rafforza la protezione dei dati personali non attraverso nuove regole di Privacy, ma garantendo che le infrastrutture informatiche che ospitano tali dati siano resilienti e protette secondo gli standard europei della Direttiva NIS2.
Anche per questo provvedimento viene stabilito chiaramente che le nuove norme sulla cyber sicurezza non sostituiscono, ma integrano la disciplina sulla protezione dei dati.
Resta ferma l’applicazione del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.Lgs. n. 196/2003) e in caso di conflitto tra le differenti disposizioni di legge o per quanto riguarda il trattamento dei dati personali, le norme sulla Privacy prevalgono o devono essere rigorosamente rispettate.
Nell’ambito del trattamento dei dati
Il Regolamento (UE) 2023/2854, noto come Data Act, stabilisce norme armonizzate per garantire un accesso equo ai dati generati da prodotti connessi e servizi correlati, mantenendo un legame di stretta subordinazione e integrazione con la normativa sulla protezione dei dati personali.
In sintesi, il Data Act promuove la libera circolazione dei dati non personali e la portabilità di quelli personali, ma pone barriere rigorose affinché tale apertura non avvenga a discapito della riservatezza e dei diritti fondamentali dei cittadini.
Nessuna sua disposizione può essere interpretata in modo da limitare o ridurre il diritto alla protezione dei dati personali.
Qualsiasi trattamento di dati personali effettuato a norma del Data Act deve rispettare i requisiti di una valida base giuridica ai sensi dell’art. 6 del GDPR. Il Data Act stesso non costituisce una base giuridica per la raccolta o la generazione di dati personali da parte del titolare del trattamento.
Nell’ambito dei rapporti tra intelligenza artificiale (IA) e GDPR
Il Regolamento (UE) 2024/1689 (AI Act) stabilisce un quadro giuridico armonizzato per lo sviluppo e l’uso dell’intelligenza artificiale, ponendo la tutela dei diritti fondamentali e della Privacy come pilastri centrali.
Come i precedenti provvedimenti, il Regolamento non pregiudica né sostituisce le norme vigenti sulla protezione dei dati (Regolamento UE 2016/679 – GDPR, Direttiva 2016/680 e Direttiva ePrivacy). Le autorità di controllo della protezione dei dati mantengono i loro poteri e gli interessati continuano a godere di tutti i diritti già loro conferiti, inclusi quelli contro le decisioni automatizzate e la profilazione.
L’obiettivo primario è garantire un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali, inclusa la vita privata. Il trattamento dei dati deve rispettare i principi di minimizzazione dei dati e di protezione dei dati fin dalla progettazione e per impostazione predefinita lungo tutto il ciclo di vita del sistema di IA.
La Legge 23 settembre 2025, n. 132 stabilisce i principi nazionali per la ricerca, lo sviluppo e l’applicazione dell’intelligenza artificiale (IA) in Italia, operando in costante coordinamento con il Regolamento (UE) 2024/1689 (AI Act).
La legge stabilisce che le sue disposizioni devono essere interpretate e applicate in modo conforme all’AI Act. Inoltre, specifica di non introdurre nuovi obblighi rispetto a quelli già previsti dal Regolamento UE per i sistemi di IA e i modelli per finalità generali.
Lo sviluppo e l’uso dell’IA devono avvenire nel pieno rispetto del diritto dell’Unione Europea in materia di protezione dei dati personali e riservatezza.
Nell’ambito della tutela del trattamento dei dati del settore finanziario
I 2 regolamenti UE, il Regolamento 2022/2554 (DORA) e il suo Regolamento delegato di integrazione (UE) 2024/1772, stabiliscono un quadro comune per la resilienza operativa digitale del settore finanziario, con importanti riflessi sulla tutela dei dati personali e sulla Privacy.
Il Regolamento DORA è stato adottato previa consultazione del Garante europeo della protezione dei dati e deve essere applicato in armonia con le norme vigenti sulla protezione dei dati personali, come il Regolamento (UE) 2018/1725, che disciplina la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni.
