Relazione annuale: quando il Garante privacy ridefinisce sé stesso
È difficile individuare un settore della società contemporanea che non trovi spazio nella Relazione 2026-7-3 13:7:33 Author: www.cybersecurity360.it(查看原文) 阅读量:1 收藏

È difficile individuare un settore della società contemporanea che non trovi spazio nella Relazione annuale del Garante privacy presentata nella cornice della Sala della Regina della Camera dei Deputati il 2 luglio 2026.

L’intelligenza artificiale occupa naturalmente il ruolo di protagonista, ma accanto a essa compaiono i deepfake e i deepnude, l’utilizzo dei dati per l’addestramento dei modelli generativi, la scuola, la sanità, i sistemi biometrici, la digitalizzazione della pubblica amministrazione, il futuro Portafoglio europeo di identità digitale, la tutela dei minori online, il telemarketing, i rapporti di lavoro, i data breach, il diritto di cronaca, la cyber sicurezza, la cooperazione internazionale e perfino il rapporto tra intelligenza artificiale e processi democratici.

A prima vista potrebbe sembrare una semplice conseguenza della crescente trasversalità della protezione dei dati personali; in realtà, la sensazione che emerge è che il filo conduttore della Relazione sia il dato come infrastruttura della società digitale.

Il dato personale, da elemento esclusivamente da proteggere, è diventato risorsa strategica sulla quale si fondano lo sviluppo dell’intelligenza artificiale, la competitività economica, la costruzione delle grandi piattaforme digitali, la sicurezza informatica, la modernizzazione della pubblica amministrazione e, in prospettiva, perfino la sovranità tecnologica europea.

La privacy, oltre ad essere un diritto fondamentale, diventa uno degli strumenti attraverso cui governare l’innovazione.

Lo spazio dedicato al quadro normativo europeo

La Relazione dedica ampio spazio al quadro europeo e internazionale entro il quale l’Autorità colloca la propria azione presentato, oltre che come il contesto entro cui opera il Garante, anche come il principale fattore di legittimazione dell’espansione del suo ruolo.

Il coordinamento tra GDPR e AI Act, i lavori del Comitato europeo per la protezione dei dati (EDPB), il confronto con il Consiglio d’Europa, le iniziative dell’OCSE, la partecipazione alla Global Privacy Assembly e al G7 delle Autorità di protezione dei dati, insieme allo sviluppo del Portafoglio europeo di identità digitale, costituiscono, gli elementi di una precisa narrazione istituzionale.

Vale a dire quella di un Garante che non si considera più soltanto un’autorità nazionale di controllo, ma un vero e proprio protagonista della costruzione della governance europea del digitale.

Una prospettiva coerente con l’evoluzione del diritto dell’Unione, ovvero con l’entrata in vigore dell’AI Act, il rafforzamento delle politiche europee sulla cybersicurezza, le nuove discipline sui dati e sull’identità digitale, che stanno progressivamente modificando il rapporto tra innovazione e diritti fondamentali.

L’intelligenza artificiale come manifesto della Relazione

Se esiste una parola capace di sintetizzare l’intero documento, questa è senza dubbio intelligenza artificiale. Oltre al numero dei richiami disseminati nelle diverse sezioni del testo, quasi ogni punto finisce, direttamente o indirettamente, per ricondurre all’IA.

DeepSeek apre simbolicamente l’anno del Garante. Seguono: i provvedimenti sui deepfake e sui cosiddetti deepnude; le riflessioni sul web scraping utilizzato per l’addestramento dei modelli generativi; il confronto con il Ministero dell’Istruzione sulle Linee guida per l’utilizzo dell’intelligenza artificiale nelle scuole; le valutazioni sull’IA applicata alla sanità; gli interventi riguardanti i sistemi destinati a monitorare il benessere psicologico dei lavoratori; fino alla partecipazione ai tavoli internazionali dedicati all’impatto dell’intelligenza artificiale sui processi democratici.

Anziché una mera successione di provvedimenti, si delinea come una vera e propria dichiarazione programmatica, dove l’Autorità intende affermare che il terreno sul quale si misurerà, nei prossimi anni, la tutela dei diritti fondamentali sarà proprio quello dell’intelligenza artificiale.

Un’impostazione difficilmente contestabile, che porta però ad alcune considerazioni su come questa scelta narrativa finisca per ridefinire anche la percezione del ruolo istituzionale del Garante.

Quando l’Autorità interviene sul riconoscimento facciale, sui modelli generativi, sulla progettazione delle piattaforme, sulla disinformazione, sulla sicurezza dei dati di addestramento o sull’impatto dell’IA nella scuola e nella sanità, il suo intervento riguarda il governo dell’innovazione tecnologica e non solo la protezione dei dati.

Il Garante è dunque ancora soltanto l’autorità di controllo disegnata dal GDPR o sta progressivamente assumendo una funzione più ampia, quale presidio dell’intera governance del digitale? Il documento sembra suggerire con chiarezza la risposta, pur evitando di esplicitarla.

Il discorso del Presidente: oltre la Relazione

Mentre la Relazione annuale rappresenta il rendiconto dell’attività svolta dal Garante, il discorso del Presidente Pasquale Stanzione svolge una funzione diversa, in quanto ne propone una chiave di lettura, collocando l’azione dell’Autorità all’interno di una riflessione assai più ampia sul rapporto tra tecnica, potere e democrazia.

L’apertura affidata alla New Frontier di John Fitzgerald Kennedy chiarisce subito il cambio di registro: il 2025 oltre ad essere stato un anno di intensa attività amministrativa, è stato il momento in cui l’intelligenza artificiale ha inaugurato un vero e proprio “mutamento d’epoca”.

Da questo momento il linguaggio della privacy lascia progressivamente spazio a quello della geopolitica.

L’intelligenza artificiale viene definita “nuova infrastruttura del potere”; la competizione tra Stati Uniti, Cina ed Europa è letta come confronto tra modelli di sovranità; entrano nel lessico del Garante espressioni (non espressamente presenti nella Relazione) come guerra cognitiva, AI First, autonomia strategica, deterrenza algoritmica e privacy mentale.

Il Presidente richiama Kennedy, Tucidide, Rodotà, Rebecca Solnit, Baricco, il Magistero pontificio e, con una frequenza che difficilmente passa inosservata, Anthropic, assunta più volte quale riferimento nel dibattito sull’intelligenza artificiale di frontiera.

Il risultato è un discorso che costruisce una vera e propria cornice culturale entro cui collocare il ruolo del Garante, presentato non più soltanto come garante della protezione dei dati personali, ma come presidio della democrazia digitale, della sovranità tecnologica e dell’equilibrio tra innovazione, libertà e sicurezza.

Una visione del Garante che precede la stessa evoluzione del diritto positivo. Resta il fatto che occorrerebbe capire se e fino che a punto possa essere un’autorità indipendente a ridefinire, attraverso il proprio racconto, il perimetro della propria missione.

Big Tech, Anthropic e il racconto dell’intelligenza artificiale

Il modo in cui l’intelligenza artificiale viene raccontata costituisce probabilmente uno degli aspetti più interessanti del documento.

Il Garante richiama numerosi attori dell’ecosistema digitale. DeepSeek è protagonista del primo intervento dell’anno, ChatGPT e Grok vengono richiamati nell’ambito delle riflessioni sui deepfake, mentre Clothoff diventa il caso emblematico delle applicazioni capaci di generare immagini artificialmente esplicite.

La Relazione insiste, correttamente, sulla necessità che tali strumenti siano progettati secondo i principi di privacy by design e privacy by default, ribadendo come la conformità al GDPR debba accompagnare l’intero ciclo di sviluppo dei sistemi di IA. E fin qui nulla di sorprendente.

Interessante è inoltre osservare il modo in cui l’Autorità costruisce il proprio dialogo con l’industria dell’intelligenza artificiale, privilegiando la dimensione della cooperazione rispetto a quella del conflitto.

I richiami agli sviluppatori sono improntati alla responsabilizzazione, alla progettazione etica e alla collaborazione istituzionale. Una scelta che appare senz’altro coerente con la filosofia regolatoria europea e con l’impostazione dell’AI Act, fondato su un sistema di gestione del rischio piuttosto che su un approccio meramente repressivo.

Tuttavia, le numerose controversie che continuano ad attraversare il panorama dell’intelligenza artificiale ricevono uno spazio decisamente più contenuto. Così il dibattito europeo sulla liceità dell’utilizzo dei dati personali per l’addestramento dei foundation model, le azioni giudiziarie promosse nei confronti di OpenAI, le istruttorie ancora pendenti presso diverse autorità di protezione dei dati, le tensioni tra esigenze di innovazione e tutela dei diritti fondamentali trovano nella Relazione un’attenzione marginale rispetto all’enfasi dedicata al dialogo con gli operatori.

Naturalmente una Relazione annuale non è una memoria difensiva né un atto di accusa; tuttavia, anche le omissioni contribuiscono pur sempre a costruire una narrazione.

Privacy, dati e competizione geopolitica

Il provvedimento su DeepSeek, il richiamo al web scraping, l’attenzione dedicata ai trasferimenti internazionali dei dati, le riflessioni sui sistemi biometrici, il contributo ai lavori del Consiglio d’Europa sull’impatto dell’intelligenza artificiale nei processi democratici, la partecipazione ai tavoli OCSE e al G7, raccontano, indirettamente, una realtà ormai evidente: i dati personali costituiscono una risorsa strategica sulla quale si fonda la competizione globale.

Deepfake, IA generativa, manipolazione algoritmica dei contenuti e disinformazione rappresentano manifestazioni di quella competizione cognitiva che il dibattito internazionale definisce ormai cognitive warfare.

Pur senza ricorrere espressamente a questa categoria, la Relazione (e ancor più il discorso del Presidente) ne richiamano i principali presupposti: il valore geopolitico dei dati, la sovranità tecnologica, il rapporto tra intelligenza artificiale, democrazia e sicurezza.

Se, come affermato dallo stesso Presidente, l’IA è ormai una “nuova infrastruttura del potere”, anche la protezione dei dati assume una funzione diversa: non più soltanto disciplina del trattamento delle informazioni, ma presidio dell’autonomia cognitiva, dell’integrità dello spazio informativo e della resilienza delle democrazie.

Sanità digitale e PA: la privacy entra nelle infrastrutture pubbliche

Tra i capitoli più ricchi della Relazione vi è certamente quello dedicato alla sanità.

Il Garante richiama i numerosi pareri resi nel corso dell’anno, le verifiche sui dossier sanitari, le criticità emerse nella gestione delle informazioni cliniche e il confronto con il Ministero della Salute e con AGENAS sulla realizzazione di una piattaforma di intelligenza artificiale destinata a supportare l’assistenza primaria.

Si tratta di un settore nel quale l’Autorità sembra aver assunto un ruolo che va ben oltre il controllo di legittimità, dal momento che interviene ormai nella progettazione delle future infrastrutture digitali della sanità italiana, insistendo (anche qui) sui principi di privacy by design, accountability e minimizzazione dei dati.

La stessa impostazione si ritrova nel capitolo dedicato alla pubblica amministrazione.

Il Sistema IT Wallet, il coordinamento con il futuro Portafoglio europeo di identità digitale, la riorganizzazione delle banche dati pubbliche e l’interoperabilità amministrativa vengono raccontati come passaggi fondamentali della trasformazione digitale del Paese.

Ancora una volta, ci si chiede se il Garante stia semplicemente verificando la conformità di questi progetti al GDPR oppure voglia partecipare alla loro stessa costruzione. La Relazione pare propendere per la seconda ipotesi.

Minori, lavoro e controllo: il Garante tra regolazione ed educazione

Emerge poi il progressivo ampliamento della funzione dell’Autorità, che affianca alla tradizionale attività di vigilanza una più marcata vocazione pedagogica. Il capitolo dedicato alla tutela dei minori ne rappresenta probabilmente l’esempio più evidente.

Age verification, social network, sharenting, campagne informative, podcast, vademecum destinati alle famiglie e alle istituzioni scolastiche: il documento descrive un insieme di iniziative che va ben oltre l’esercizio del potere sanzionatorio.

Il Garante intende accompagnare cittadini e istituzioni nella costruzione di una cultura della protezione dei dati, nella consapevolezza che la conformità normativa, da sola, non sia sufficiente a governare le trasformazioni introdotte dalle tecnologie digitali.

Si tratta di un’evoluzione condivisibile e, probabilmente, inevitabile; tuttavia, ci si domanda se il Garante disponga davvero degli strumenti necessari per svolgere anche questa funzione.

Il confronto con altre autorità europee induce infatti a qualche riflessione. Solo per fare un esempio (importante), la CNIL francese da anni investe in strumenti operativi rivolti a imprese, pubbliche amministrazioni e cittadini, producendo guide, software, simulatori, modelli di valutazione d’impatto e percorsi formativi che hanno progressivamente trasformato l’Autorità in un punto di riferimento quotidiano per chi applica la disciplina della protezione dei dati.

La Relazione italiana, pur raccontando di un evidente rafforzamento dell’attività divulgativa, lascia ancora aperto l’interrogativo sulla capacità dell’Autorità di affiancare stabilmente alla funzione di controllo quella di supporto operativo. Tuttavia, se il Garante intende davvero proporsi come regolatore dell’ecosistema digitale, la dimensione educativa non potrà che assumere un ruolo sempre più centrale.

Analoga evoluzione emerge nel capitolo dedicato ai rapporti di lavoro.

I provvedimenti nei confronti di Amazon Italia Logistica, le verifiche sui sistemi di videosorveglianza, l’attenzione verso le piattaforme capaci di monitorare il benessere psicologico dei lavoratori mediante algoritmi di analisi semantica, mostrano come il Garante individui nel luogo di lavoro uno degli spazi nei quali l’intelligenza artificiale rischia di incidere maggiormente sulla libertà e sulla dignità della persona.

La Relazione avrebbe però potuto cogliere qui l’occasione per sviluppare una riflessione più ampia sul rapporto tra GDPR, Statuto dei lavoratori e AI Act, dal momento che nei prossimi anni sarà proprio il contesto lavorativo uno degli ambiti nei quali la regolazione europea dell’intelligenza artificiale produrrà gli effetti più rilevanti.

La tutela dei dati personali rappresenta soltanto una parte del problema, destinata a intrecciarsi con temi quali la trasparenza algoritmica, la non discriminazione, il diritto alla spiegazione delle decisioni automatizzate e la governance delle risorse umane.

Anche in questo caso la Relazione preferisce non delineare una prospettiva interpretativa complessiva.

Data breach: la fotografia c’è, l’analisi meno

Tra i dati maggiormente evidenziati figurano le 2.415 notifiche di violazione dei dati personali ricevute nel corso del 2025, con un incremento del dieci per cento rispetto all’anno precedente.

Il documento fornisce una dettagliata ripartizione tra settore pubblico e privato, individua i comparti maggiormente interessati e richiama l’attività sanzionatoria svolta nei casi più gravi. La Relazione fotografa il fenomeno, ma rinuncia sostanzialmente a interpretarlo.

Sarebbe stato utile capire, ad esempio, quali siano le vulnerabilità maggiormente ricorrenti; se prevalgano gli attacchi ransomware o gli errori umani; se incidano maggiormente le carenze organizzative, le configurazioni errate dei sistemi, la scarsa formazione del personale o l’obsolescenza delle infrastrutture.

Un’occasione mancata, insomma, soprattutto in un contesto nel quale la direttiva NIS2 e il Cyber Resilience Act stanno ridefinendo il concetto stesso di sicurezza digitale e il data breach non rappresenta più soltanto una violazione della disciplina sulla protezione dei dati, ma un indicatore della capacità delle organizzazioni di resistere alle minacce informatiche.

Una riflessione qualitativa avrebbe consentito alla Relazione di svolgere anche una funzione di indirizzo nei confronti di amministrazioni e imprese, rafforzando quel ruolo di guida che l’Autorità sembra voler progressivamente assumere. Almeno nel racconto che fa di sé stessa.

Ispezioni e sanzioni: un’autorità sempre più presente

Le verifiche svolte nel corso del 2025 hanno interessato settori estremamente eterogenei: sistemi SPID, tecnologie di riconoscimento facciale, monitoraggio dei flussi turistici, videosorveglianza, ricerca scientifica, gestione dei data breach, banche dati pubbliche.

Difficilmente si potrebbe individuare un’altra autorità amministrativa indipendente il cui ambito di intervento attraversi con tale continuità sanità, lavoro, scuola, infrastrutture digitali, piattaforme online, ricerca scientifica, pubblica amministrazione e sicurezza informatica.

Ancora una volta, anziché descrivere una semplice attività di vigilanza, il documento accredita il Garante quale soggetto chiamato a presidiare trasversalmente la trasformazione digitale del Paese.

Il diritto di cronaca: i silenzi raccontano quanto le parole

Tra i capitoli meno corposi della Relazione ve n’è uno che, probabilmente, avrebbe meritato uno spazio ben diverso. Si tratta del rapporto tra tutela dei dati personali e libertà di informazione.

L’Autorità richiama la necessità di evitare derive di morbosità, spettacolarizzazione delle vicende giudiziarie ed eccessiva diffusione di dettagli relativi alle persone coinvolte, ribadendo il principio (difficilmente contestabile) secondo cui il diritto di cronaca deve sempre confrontarsi con la dignità e la riservatezza degli interessati.

Tutto corretto. Eppure, il lettore resta con la sensazione che la Relazione scelga deliberatamente di rimanere sul terreno dei principi generali.

Negli ultimi anni il dibattito pubblico non si è concentrato tanto sulla spettacolarizzazione dell’informazione, quanto sul rapporto tra attività giornalistica investigativa, interesse pubblico, utilizzo di dati personali e limiti dell’intervento delle autorità indipendenti. Questioni che hanno coinvolto direttamente anche il Garante e che hanno alimentato un confronto, spesso acceso, tra giornalisti, magistrati, accademici e operatori del diritto.

Ma su questo terreno la Relazione preferisce non soffermarsi. Si tratta di una scelta comprensibile, poiché difficilmente un’autorità chiamata a pronunciarsi su procedimenti ancora aperti potrebbe utilizzare il proprio documento annuale per sviluppare valutazioni che rischierebbero di essere interpretate come anticipazioni del proprio orientamento.

Tuttavia, proprio questo silenzio finisce per assumere un suo preciso significato: si sceglie di raccontare il problema della tutela della riservatezza attraverso il tema, certamente attuale, dei processi mediatici e della spettacolarizzazione del dolore, evitando invece di confrontarsi con la questione forse più delicata e cioè: quale debba essere il reale punto di equilibrio tra libertà di stampa, giornalismo investigativo e protezione dei dati nell’ecosistema digitale. Anche questa è pur sempre una scelta narrativa.

Il quarto componente del Collegio: un messaggio al Parlamento?

Tra gli elementi maggiormente politici della giornata di presentazione della Relazione vi è stato l’appello rivolto proprio dal Presidente Stanzione alle Camere affinché procedano alla nomina del quarto componente del Collegio, vacante ormai da diversi mesi (sei, come ricorda lo stesso Stanzione).

Se è vero che un’autorità indipendente chiamata a decidere su questioni sempre più complesse dovrebbe poter operare nella sua composizione completa, la stessa Relazione mostra come l’attività dell’Autorità non abbia in effetti subito sostanziali rallentamenti. Racconta infatti di un’Autorità che ha continuato a svolgere un’intensa attività consultiva, ispettiva e sanzionatoria, partecipando ai lavori europei e adottando moltissimi provvedimenti senza che la vacatio abbia determinato una paralisi istituzionale.

Non è forse un caso che l’appello alla ricostituzione del Collegio venga formulato proprio nel momento di massima visibilità istituzionale dell’Autorità. La Relazione annuale, oltre a rendicontare l’attività svolta, è anche il principale strumento attraverso il quale il Garante costruisce il proprio rapporto con il Parlamento e consolida la rappresentazione della propria centralità istituzionale.

Pertanto, il richiamo alla necessità del quarto componente appare meno come una semplice esigenza organizzativa e più come un messaggio rivolto al legislatore, chiamato a riconoscere formalmente un’Autorità che, nei fatti, ha già ampliato il proprio raggio d’azione ben oltre la tradizionale tutela della privacy.

Una Relazione che racconta il futuro

La Relazione annuale del Garante non si discosta, nella struttura, da quelle pubblicate dalle principali autorità europee di protezione dei dati, che rendicontano periodicamente attività, priorità regolatorie e prospettive future, mediante la pubblicazione online nei rispettivi siti istituzionali.

La peculiarità italiana risiede nella presentazione al Parlamento, che trasforma il documento in un momento di autorappresentazione istituzionale.

Letta in questa prospettiva, la Relazione propone una precisa visione del ruolo dell’Autorità e la privacy diventa il punto di osservazione attraverso cui leggere l’intelligenza artificiale, la sanità digitale, la cybersicurezza, il lavoro, la scuola, la biometria, le piattaforme, la democrazia e la governance europea. Tutti questi ambiti sono ricondotti a un’unica matrice: la protezione dei dati come pilastro della regolazione digitale.

Ne emerge l’immagine di un Garante che si qualifica presidio dell’intero ecosistema dei diritti digitali.

Sebbene si tratti di una visione coerente con l’evoluzione tecnologica e con il nuovo quadro europeo, finisce con l’anticipare una ridefinizione del ruolo dell’Autorità non ancora compiutamente recepita dal legislatore.

Bilancio o nuova legittimazione?

Le istituzioni raramente reagiscono alle fasi di maggiore esposizione restringendo il proprio raggio d’azione.

Più spesso tendono a ridefinire la propria missione, riaffermandone la centralità. Alla luce del contesto nella quale matura – tra polemiche, inchieste, confronto con le grandi piattaforme e un ecosistema regolatorio sempre più affollato – la Relazione 2025 sembra rispondere anche a questa logica.

Più l’Autorità è stata chiamata a confrontarsi con contestazioni e nuovi equilibri istituzionali, più il documento insiste nel rappresentarla quale presidio imprescindibile dell’intera trasformazione digitale.

Se ciò rappresenti la naturale evoluzione della funzione affidatagli dal legislatore o anche il tentativo di fissare, a fine mandato, una determinata eredità istituzionale, è una conclusione che il lettore è poi libero di trarre.


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/relazione-annuale-quando-il-garante-privacy-ridefinisce-se-stesso/
如有侵权请联系:admin#unsafe.sh