Leggi sulla privacy dei dati in Italia: GDPR, Codice Privacy e guida al Garante (2026)

L'Italia disciplina i dati personali attraverso il GDPR (Regolamento 2016/679), il Codice Privacy italiano (Decreto Legislativo 196/2003, modificato dal Decreto Legislativo 101/2018) e la Legge n. 132/2025 sull'intelligenza artificiale. Il Garante applica queste norme e può imporre sanzioni fino a 20 milioni di euro o al 4% del fatturato globale ai sensi dell'articolo 83 del GDPR.
L'Italia gestisce uno dei regimi di protezione dei dati più rigorosi e completi d'Europa. Mentre ogni Stato membro dell'UE applica il GDPR, l'Italia vi affianca il proprio Codice Privacy nazionale, aggiunge una responsabilità penale per le violazioni più gravi, e applica queste norme attraverso il Garante per la protezione dei dati personali, un'autorità di controllo che ha ripetutamente stabilito precedenti di enforcement con ripercussioni sulle aziende tecnologiche di tutto il mondo.
Questa guida illustra il quadro giuridico completo, il fondamento costituzionale, le principali disposizioni specifiche dell'ordinamento italiano, il registro di enforcement del Garante fino al 2026, la legge nazionale italiana sull'IA e considerazioni pratiche di compliance.
Ambito di applicazione: questo articolo tratta il diritto italiano della protezione dei dati così come si presenta nel 2026, includendo il GDPR dell'UE, il Codice Privacy italiano (D.Lgs. 196/2003 e successive modifiche), la Legge n. 132/2025 sull'intelligenza artificiale e il registro di enforcement del Garante. Per il quadro normativo europeo più ampio, consulta le leggi sulla privacy dei dati nell'UE. Per le regole italiane sul consenso alla registrazione, consulta le leggi sulla registrazione in Italia.
Risposta rapida: il quadro normativo italiano sulla privacy dei dati
Il regime italiano di protezione dei dati poggia su tre strumenti giuridici che si intrecciano tra loro. Il GDPR dell'UE (Regolamento 2016/679) si applica direttamente come norma sovranazionale, stabilendo principi, diritti e sanzioni fondamentali. Il Codice Privacy italiano (Decreto Legislativo 196/2003, sostanzialmente modificato dal Decreto Legislativo 101/2018) integra il GDPR nelle aree in cui il diritto dell'UE lascia esplicitamente margine alla regolamentazione degli Stati membri, e aggiunge sanzioni penali per le violazioni più gravi. La Legge n. 132/2025, approvata il 23 settembre 2025, sovrappone un quadro specifico per l'IA che interagisce direttamente sia con il GDPR sia con l'AI Act dell'UE. Il Garante per la protezione dei dati personali, istituito nel 1997, vigila sulla conformità, indaga sui reclami e irroga sanzioni. Qualsiasi organizzazione che tratti dati personali di persone che si trovano in Italia, indipendentemente da dove sia stabilita, rientra in questo quadro normativo.
Fondamento costituzionale
La Costituzione italiana non menziona espressamente un diritto alla privacy o alla protezione dei dati. Sia la Corte Costituzionale sia la Corte di Cassazione hanno ricondotto la tutela della privacy a due disposizioni costituzionali.
L'articolo 14 della Costituzione italiana garantisce l'inviolabilità del domicilio. L'articolo 15 garantisce la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione, e prevede che le limitazioni possano essere imposte solo dall'autorità giudiziaria con le garanzie stabilite dalla legge.
Sulla base di questi due articoli, i tribunali italiani hanno affermato la privacy come diritto fondamentale ben prima dell'era del GDPR. Il fondamento costituzionale fa sì che le norme sulla protezione dei dati in Italia abbiano un peso giuridico maggiore rispetto a un regime di natura puramente legislativa. Una normativa che non rispetti questo parametro costituzionale può essere dichiarata incostituzionale.
La Carta dei diritti fondamentali dell'Unione Europea (articoli 7 e 8) aggiunge un ulteriore livello di tutela, garantendo il rispetto della vita privata e familiare e la protezione dei dati personali come diritti fondamentali distinti e autonomi. In quanto diritto dell'UE, la Carta si applica direttamente in Italia e prevale sulla normativa nazionale in contrasto con essa.
Il GDPR: il principale strumento italiano di protezione dei dati
Il Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) si applica direttamente in tutti gli Stati membri dell'UE dal 25 maggio 2018. Si tratta di un regolamento, non di una direttiva: non richiede quindi il recepimento e opera come legge in Italia senza necessità di un'apposita normativa di attuazione.
Il GDPR stabilisce:
-
Sei basi giuridiche per il trattamento (articolo 6): consenso, esecuzione di un contratto, obbligo legale, interessi vitali, compiti di interesse pubblico e interessi legittimi. Il consenso deve essere libero, specifico, informato e inequivocabile. L'interesse legittimo richiede un test di bilanciamento rispetto ai diritti degli interessati.
-
Categorie particolari di dati personali (articolo 9): dati sanitari, dati genetici, dati biometrici utilizzati a fini identificativi, origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale e dati relativi alla vita sessuale o all'orientamento sessuale. Queste categorie richiedono una delle basi giuridiche più rigorose previste dall'articolo 9, paragrafo 2, come il consenso esplicito o un rilevante interesse pubblico.
-
Diritti degli interessati (articoli da 12 a 22): accesso, rettifica, cancellazione (diritto all'oblio), limitazione del trattamento, portabilità dei dati, opposizione e diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato con effetti significativi.
-
Obblighi del titolare e del responsabile del trattamento (articoli da 24 a 43): protezione dei dati fin dalla progettazione e per impostazione predefinita, registri delle attività di trattamento, valutazioni d'impatto sulla protezione dei dati per i trattamenti ad alto rischio, responsabili della protezione dei dati e misure di sicurezza.
-
Notifica delle violazioni (articoli 33 e 34): notifica all'autorità di controllo entro 72 ore e notifica agli interessati senza ingiustificato ritardo in caso di violazioni ad alto rischio.
-
Restrizioni ai trasferimenti internazionali (articoli da 44 a 49): i trasferimenti verso paesi terzi richiedono una decisione di adeguatezza, clausole contrattuali standard, norme vincolanti d'impresa o altri meccanismi approvati.
-
Sanzioni amministrative (articolo 83): fino a 10 milioni di euro o al 2% del fatturato globale per le violazioni di livello inferiore, e fino a 20 milioni di euro o al 4% del fatturato globale per le violazioni di livello superiore.

Il Codice Privacy italiano (D.Lgs. 196/2003)
La normativa italiana originaria sulla protezione dei dati precede il GDPR di 15 anni. Il Decreto Legislativo n. 196 del 30 giugno 2003, il Codice in materia di protezione dei dati personali, era la legge organica italiana sulla privacy dei dati prima dell'entrata in vigore del GDPR.
Quando il GDPR è diventato applicabile nel maggio 2018, l'Italia non ha abrogato il Codice Privacy. Al contrario, il Decreto Legislativo n. 101 del 10 agosto 2018 lo ha sostanzialmente rivisto per armonizzarlo con il GDPR. Il Codice Privacy così modificato svolge diverse funzioni distinte.
Margini di discrezionalità degli Stati membri
Il GDPR riserva espressamente alcune aree alla regolamentazione nazionale. Il Codice Privacy italiano colma queste lacune:
-
Età del consenso digitale: l'articolo 2-quinquies fissa a 14 anni l'età a partire dalla quale un minore può prestare autonomamente il consenso ai servizi della società dell'informazione. Si tratta di un'età inferiore ai 16 anni previsti come default dal GDPR, ma superiore alla soglia minima di 13 anni che gli Stati membri possono stabilire. Per i minori di 14 anni, il consenso deve essere prestato o autorizzato da chi esercita la responsabilità genitoriale, e tutte le comunicazioni rivolte ai minori devono utilizzare un linguaggio particolarmente chiaro, semplice e conciso.
-
Dati relativi a condanne penali: il Codice Privacy specifica le condizioni alle quali possono essere trattati i dati relativi a reati o condanne penali (articolo 10 del GDPR).
-
Giornalismo e libertà di espressione: il Titolo XII del Codice Privacy bilancia la protezione dei dati con la libertà giornalistica e accademica, in linea con il requisito del GDPR secondo cui gli Stati membri devono conciliare questi diritti per legge.
-
Trattamento di interesse pubblico: il Codice Privacy individua specifiche categorie di trattamento di interesse pubblico che costituiscono basi giuridiche ai sensi dell'articolo 6, paragrafo 1, lettera e) del GDPR, tra cui la materia fiscale, le finalità statistiche e i procedimenti giudiziari.
Le disposizioni sull'ePrivacy
Il Titolo X del Codice Privacy (articoli da 121 a 132-quater) recepisce la direttiva ePrivacy dell'UE (Direttiva 2002/58/CE) per le comunicazioni elettroniche. Queste disposizioni disciplinano i cookie, il marketing diretto tramite mezzi elettronici, i dati di localizzazione, i dati di traffico e le comunicazioni indesiderate.
La regola chiave in materia di cookie è l'articolo 122: l'installazione di cookie o l'accesso a informazioni memorizzate sul dispositivo di un utente richiede il consenso informato, salvo per i cookie tecnicamente necessari e strettamente richiesti per il servizio richiesto dall'utente.
Il Garante ha pubblicato le Linee guida cookie aggiornate il 9 luglio 2021, entrate in vigore il 9 gennaio 2022. Queste linee guida richiedono:
- Un banner sui cookie che offra un'opzione di rifiuto genuina e priva di ostacoli, di eguale rilievo rispetto all'opzione di accettazione.
- Scelte di consenso granulari riguardanti le categorie di cookie e i singoli soggetti terzi.
- Nessun interesse legittimo come base giuridica per i cookie di profilazione. Il consenso è l'unica base valida ai sensi dell'articolo 122 del Codice Privacy.
- I cookie di analisi che utilizzano indirizzi IP completi richiedono il consenso; i cookie di analisi con IP mascherati possono essere considerati tecnici se coperti da un accordo di adeguatezza con il fornitore del servizio di analisi.
Nel giugno 2022, il Garante ha rilevato che l'uso di Google Analytics sui siti web italiani era illecito ai sensi del Capo V del GDPR, poiché lo strumento trasmetteva i dati personali degli utenti italiani, inclusi gli indirizzi IP, verso gli Stati Uniti senza garanzie adeguate. La decisione ha spinto a una revisione diffusa degli strumenti di analisi in tutta Italia.
Nel febbraio 2025, la Commissione Europea ha formalmente ritirato la proposta di Regolamento ePrivacy dopo otto anni di negoziati bloccati. La Direttiva ePrivacy, recepita in Italia tramite gli articoli da 121 a 132-quater del Codice Privacy, resta la normativa applicabile in materia di riservatezza delle comunicazioni elettroniche.
Sanzioni penali
L'Italia è uno dei pochi Stati membri dell'UE che esercita il diritto, previsto dall'articolo 84 del GDPR, di imporre sanzioni penali accanto alle sanzioni amministrative. Le disposizioni penali del Codice Privacy sono:
-
Articolo 167 (trattamento illecito dei dati): il trattamento di dati personali in violazione di specifiche disposizioni, con l'intento di trarne profitto o di causare un danno, comporta la reclusione da sei mesi a tre anni.
-
Articolo 167-bis (comunicazione e diffusione non autorizzata): la comunicazione o la diffusione non autorizzata su larga scala di dati personali, a scopo di profitto, comporta la reclusione da uno a sei anni.
-
Articolo 168 (dichiarazioni false al Garante): rendere dichiarazioni false o presentare documenti falsificati all'autorità comporta la reclusione da sei mesi a tre anni.
-
Articolo 170 (inosservanza dei provvedimenti del Garante): il mancato rispetto di un provvedimento adottato dal Garante comporta la reclusione da tre mesi a due anni.
Le sanzioni penali sono ridotte qualora il Garante abbia già irrogato una sanzione amministrativa per la stessa condotta. La Corte di Cassazione ha chiarito che l'articolo 167 richiede la prova di un dolo specifico: l'autore deve aver trattato i dati con lo scopo di trarne profitto o di arrecare danno. Una violazione involontaria non comporta responsabilità penale.
Il Garante: struttura, poteri ed enforcement
Il Garante per la protezione dei dati personali è l'autorità di controllo indipendente italiana ai sensi dell'articolo 51 del GDPR. È stato istituito nel 1997, tra le prime autorità dedicate alla protezione dei dati in Europa.
Struttura
Il Garante è un organo collegiale composto da quattro membri. Due sono eletti dalla Camera dei Deputati e due dal Senato della Repubblica. I membri durano in carica sette anni e non sono rieleggibili. Le attività di enforcement dell'autorità sono supportate dalla Guardia di Finanza.
Poteri
Ai sensi dell'articolo 58 del GDPR, il Garante dispone dell'intera gamma di poteri di controllo:
-
Investigativi: ordinare ai titolari e ai responsabili del trattamento di fornire informazioni, condurre verifiche, accedere ai locali aziendali e riesaminare le certificazioni.
-
Correttivi: emettere avvertimenti e ammonimenti, ordinare la conformità, ordinare la comunicazione agli interessati, imporre limitazioni o divieti temporanei o definitivi al trattamento, ordinare la cancellazione dei dati e irrogare sanzioni amministrative.
-
Consultivi: esprimere pareri su progetti normativi, codici di condotta e criteri di certificazione; pubblicare linee guida; e condurre consultazioni preventive sui trattamenti ad alto rischio.
Statistiche di enforcement
L'attività di enforcement del Garante colloca costantemente l'Italia tra i regolatori della protezione dei dati più attivi d'Europa. A metà 2026, le sanzioni amministrative complessive irrogate dal Garante superano i 315 milioni di euro in oltre 575 provvedimenti sanzionatori pubblicati. L'Italia si colloca al secondo posto in Europa per numero totale di sanzioni irrogate, con la Spagna unico paese che la precede per volume, mentre l'importo cumulativo delle sanzioni italiane supera nettamente quello spagnolo.
Il programma ispettivo del Garante viene definito due volte l'anno. Per il primo semestre del 2026, il piano prevede oltre 40 ispezioni programmate, con aree prioritarie che includono il telemarketing nel settore energetico, gli strumenti di IA in ambito educativo, le tecniche di anonimizzazione, i sistemi di whistleblowing e la conformità in materia di cookie.
Basi giuridiche e consenso
Ai sensi dell'articolo 6 del GDPR, i titolari del trattamento devono individuare una delle sei basi giuridiche prima di trattare dati personali. In Italia, diverse sfumature influiscono sull'applicazione pratica di queste basi.
Il consenso deve rispettare lo standard rigoroso previsto dall'articolo 7 e dal considerando 32 del GDPR. Il Garante respinge costantemente le caselle preselezionate, il consenso raggruppato e il consenso ottenuto tramite interfacce ingannevoli o dark pattern. Una sanzione del febbraio 2023 nei confronti della società di marketing digitale Ediscom è stata la prima decisione nell'UE a sanzionare formalmente i dark pattern nei meccanismi di consenso come autonoma violazione del GDPR.
L'interesse legittimo è soggetto a particolare attenzione. Il Garante ha stabilito che l'interesse legittimo non può costituire la base giuridica per attività di marketing, pubblicità comportamentale o installazione di cookie. I titolari che si basano sull'interesse legittimo devono documentare un vero e proprio test di bilanciamento.
L'esecuzione del contratto è ampiamente accettata per il trattamento genuinamente necessario all'esecuzione di un contratto. Tuttavia, il Garante ha avvertito che i fornitori di servizi non dovrebbero includere il consenso al trattamento dei dati a fini di marketing nelle condizioni generali di contratto per poi invocare l'esecuzione del contratto come base giuridica.
Diritti degli interessati
Le persone che si trovano in Italia godono dell'intera gamma di diritti previsti dal Capo III del GDPR. I titolari del trattamento devono rispondere alle richieste di accesso entro un mese, prorogabile a tre mesi per le richieste complesse con preavviso. Il Garante dispone di un portale dedicato online per la presentazione dei reclami relativi a violazioni dei diritti degli interessati.
Il diritto alla cancellazione ha generato una notevole attività di enforcement. Il Garante ha ordinato la cancellazione in casi riguardanti precedenti penali obsoleti, banche dati pubbliche inesatte e articoli di cronaca storici che non servono più una finalità giornalistica legittima proporzionata all'intrusione nella privacy.
Per quanto riguarda le decisioni individuali automatizzate ai sensi dell'articolo 22, le istituzioni finanziarie e le assicurazioni italiane sono soggette a particolare attenzione quando utilizzano punteggi algoritmici per le richieste di credito, la determinazione dei premi assicurativi o la selezione del personale senza un'effettiva revisione umana.
Obblighi di notifica delle violazioni
I titolari del trattamento devono notificare al Garante qualsiasi violazione dei dati personali che comporti un rischio per i diritti e le libertà delle persone fisiche entro 72 ore da quando ne sono venuti a conoscenza. La notifica non è richiesta se è improbabile che la violazione comporti tale rischio.
Dal 1° luglio 2021, tutte le notifiche di violazione devono essere presentate tramite uno strumento elettronico dedicato sul sito web del Garante, accompagnato da una PEC con firma digitale qualificata. La notifica deve descrivere la natura della violazione, il numero approssimativo di persone e di record interessati, le probabili conseguenze e le misure adottate o proposte.
Quando una violazione può comportare un rischio elevato per gli interessati, il titolare del trattamento deve anche informare direttamente tali persone, senza ingiustificato ritardo, con un linguaggio chiaro e semplice.
La componente di 320.000 euro della sanzione del 2024 contro OpenAI illustra il costo del mancato rispetto degli obblighi di notifica delle violazioni: tale importo riguardava l'omessa notifica da parte di OpenAI al Garante di una violazione del marzo 2023 che aveva esposto le cronologie delle chat e i dati di pagamento di 440 utenti italiani.
Responsabili della protezione dei dati
Il GDPR impone la nomina di un DPO per:
- Autorità ed enti pubblici (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni giudiziarie).
- Organizzazioni la cui attività principale comporta il monitoraggio regolare e sistematico degli interessati su larga scala.
- Organizzazioni la cui attività principale comporta il trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali.
Il Garante ha esteso questo obbligo tramite linee guida: tutte le pubbliche amministrazioni italiane devono nominare un DPO indipendentemente dalla dimensione. L'autorità ha inoltre fortemente incoraggiato le organizzazioni del settore privato in ambito sanitario, dei servizi finanziari e assicurativo a nominare un DPO anche laddove non strettamente obbligatorio.
I dati di contatto del DPO devono essere comunicati al Garante e pubblicati nelle informative sulla privacy.
Il controllo dei dipendenti: le rigide regole italiane sul luogo di lavoro

L'Italia ha alcune delle regole più restrittive d'Europa in materia di controllo dei dipendenti. Il quadro normativo si colloca all'intersezione tra gli obblighi del GDPR e l'articolo 4 dello Statuto dei Lavoratori (Legge n. 300/1970).
L'articolo 4 dello Statuto dei Lavoratori vieta l'uso di strumenti audiovisivi e di altri strumenti allo scopo di controllare l'attività dei lavoratori. I sistemi di controllo a distanza, tra cui il tracciamento GPS, il monitoraggio della posta elettronica, i software di cattura dello schermo e la videosorveglianza, possono essere impiegati solo se:
- È stato raggiunto un accordo con le rappresentanze sindacali competenti; oppure
- In assenza di un accordo sindacale, è stata ottenuta l'autorizzazione dell'Ispettorato del Lavoro territoriale.
Nel giugno 2024, il Garante ha pubblicato linee guida sui metadati della posta elettronica, stabilendo che i metadati generati dai sistemi di posta elettronica aziendali (mittente, destinatario, orario, oggetto, presenza di allegati) costituiscono dati personali in grado di rivelare la condotta dei dipendenti. Ai sensi di queste linee guida, i datori di lavoro possono conservare i metadati della posta elettronica per un massimo di 21 giorni senza far scattare gli obblighi procedurali completi dell'articolo 4 dello Statuto dei Lavoratori.
Il 29 aprile 2025, il Garante ha irrogato la prima sanzione in assoluto ai sensi di queste linee guida: una sanzione di 50.000 euro nei confronti della Regione Lombardia per aver conservato i metadati della posta elettronica per 90 giorni e i registri di navigazione internet per 365 giorni. La sanzione era suddivisa in 20.000 euro per la conservazione dei metadati della posta elettronica, 25.000 euro per i registri di navigazione e 5.000 euro per i dati dei ticket dell'help desk conservati per 10 anni.
In una distinta decisione del 2025, il Garante ha multato un'azienda privata per 420.000 euro per aver utilizzato contenuti provenienti dagli account Facebook, WhatsApp e Messenger personali di un dipendente, acquisiti senza autorizzazione, come base per un procedimento disciplinare.
Telemarketing: il settore più sanzionato in Italia
Gli abusi nel telemarketing e nel marketing diretto rappresentano il singolo fattore che genera il maggior volume di sanzioni da parte del Garante. L'Italia mantiene un registro nazionale di opposizione (il Registro delle Opposizioni) che copre sia le numerazioni fisse sia quelle mobili.
Le disposizioni del Codice Privacy in materia di marketing diretto richiedono ai titolari del trattamento di:
- Ottenere un consenso specifico e preventivo prima di effettuare attività di marketing tramite telefono, email, SMS o altri mezzi elettronici.
- Verificare che il consenso sia genuino e riconducibile alla persona prima di contattarla.
- Garantire che i propri partner a valle (call center, rivenditori, agenti) si conformino a loro volta alle regole.
Il principio di responsabilizzazione del GDPR, previsto dall'articolo 5, paragrafo 2, comporta che un'azienda non può sottrarsi alla responsabilità indicando un fornitore indipendente che ha violato le regole. Se l'azienda ha diretto o consentito il marketing illecito, ne risponde.
Trasferimenti internazionali di dati
I trasferimenti di dati personali dall'Italia verso paesi al di fuori dello Spazio Economico Europeo richiedono la conformità al Capo V del GDPR.
A metà 2026, le decisioni di adeguatezza della Commissione Europea coprono Andorra, Argentina, Canada (organizzazioni commerciali soggette al PIPEDA), Isole Faroe, Guernsey, Isola di Man, Israele, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Svizzera, Regno Unito (adeguatezza prorogata fino al 2031), Stati Uniti nell'ambito del Data Privacy Framework UE-USA (confermato dal Tribunale dell'UE nel settembre 2025) e Uruguay.
Per i trasferimenti verso paesi privi di una decisione di adeguatezza, i titolari del trattamento devono utilizzare:
- Clausole Contrattuali Standard: le clausole contrattuali standard della Commissione Europea del 2021, integrate da una valutazione d'impatto sul trasferimento che documenti se le leggi del paese di destinazione compromettano le garanzie offerte dalle clausole.
- Norme vincolanti d'impresa: per i trasferimenti infragruppo, approvate dall'autorità di controllo capofila competente.
- Deroghe ai sensi dell'articolo 49 del GDPR: compreso il consenso esplicito per i trasferimenti occasionali, la necessità contrattuale e i motivi di rilevante interesse pubblico.
La decisione del Garante del 2022 su Google Analytics illustra la posta in gioco: l'autorità ha rilevato che i dati relativi all'indirizzo IP trasferiti verso l'infrastruttura statunitense di Google costituivano dati personali soggetti al Capo V, e che le misure supplementari allora in vigore erano inadeguate.
Obblighi NIS2 e di cybersicurezza
L'Italia ha recepito la direttiva UE NIS2 tramite il Decreto Legislativo 138/2024, entrato in vigore il 16 ottobre 2024. Il recepimento italiano estende l'ambito di applicazione della NIS2 oltre il minimo previsto dall'UE, includendo gli operatori del trasporto pubblico locale, gli istituti di ricerca, le organizzazioni culturali e le società a controllo pubblico.
Obblighi principali:
- Registrazione: i soggetti rientranti nell'ambito di applicazione erano tenuti a registrarsi sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025.
- Segnalazione degli incidenti: gli incidenti di cybersicurezza significativi richiedono una notifica iniziale all'ACN entro 24 ore e una relazione dettagliata di follow-up entro 72 ore.
- Misure di sicurezza: politiche di gestione del rischio, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, crittografia e autenticazione a più fattori.
Il quadro NIS2 italiano include nove controlli specificamente dedicati alla protezione dei dati, che riguardano i requisiti di liceità del trattamento e la gestione del rischio in materia di privacy.
L'AI Act dell'UE e la legge nazionale italiana sull'IA
Il quadro normativo italiano sull'IA opera ora su tre livelli: il GDPR e il Codice Privacy, l'AI Act dell'UE e la Legge n. 132/2025.
L'AI Act dell'UE (Regolamento UE 2024/1689)
L'AI Act dell'UE è entrato in vigore il 1° agosto 2024. Tappe principali:
- 2 febbraio 2025: si applicano i divieti relativi alle pratiche di IA a rischio inaccettabile. Tra queste figurano l'identificazione biometrica remota in tempo reale in spazi pubblici (con limitate eccezioni), i sistemi di punteggio sociale e determinate tecniche di IA manipolative.
- 2 agosto 2025: si applicano gli obblighi per i fornitori di modelli di IA per finalità generali (GPAI). I fornitori devono mantenere una documentazione tecnica, pubblicare sintesi dei dati di addestramento, rispettare il diritto d'autore dell'UE e condurre valutazioni dei rischi sistemici per i modelli più avanzati.
- 2 agosto 2026: entrano pienamente in applicazione i poteri di enforcement della Commissione Europea nei confronti dei fornitori di GPAI.
L'AI Act disciplina la sicurezza dei sistemi di IA e la classificazione del rischio. Il GDPR disciplina il trattamento dei dati personali da parte di tali sistemi. Un sistema di IA che tratta dati personali deve rispettare entrambi i quadri normativi contemporaneamente.
Il Garante mantiene tutti i propri poteri ai sensi del GDPR sui sistemi di IA che trattano dati personali, come dimostrato ripetutamente attraverso i provvedimenti contro ChatGPT, DeepSeek, Replika e Clothoff.
Legge n. 132/2025: la prima legge nazionale sull'IA nell'UE
L'Italia è diventata il primo Stato membro dell'UE ad approvare una legislazione nazionale dedicata all'IA. La Legge n. 132/2025 è stata firmata il 23 settembre 2025 ed è entrata in vigore il 10 ottobre 2025. La legge è organizzata in 28 articoli suddivisi in sei capitoli.
Disposizioni principali:
Principi fondamentali: i sistemi di IA devono operare con trasparenza, proporzionalità, sicurezza, protezione dei dati, non discriminazione e rispetto della dignità umana. La legge impone un trattamento lecito, corretto e trasparente dei dati personali, rafforzando esplicitamente i principi del GDPR nel contesto dell'IA.
Sanità e ricerca: l'uso secondario di dati personali pseudonimizzati per la ricerca basata sull'IA è consentito senza rinnovare il consenso, a condizione che la ricerca persegua un interesse pubblico e siano in atto garanzie di trasparenza. Prima dell'inizio del trattamento, i titolari devono notificare al Garante la documentazione sulle misure di sicurezza, una valutazione d'impatto sulla protezione dei dati e i dettagli del responsabile del trattamento. Il trattamento può iniziare dopo 30 giorni, salvo che il Garante adotti un provvedimento di blocco.
Lavoro: i datori di lavoro devono informare i dipendenti ogni volta che vengono impiegati sistemi di IA nei processi lavorativi. Questo obbligo copre la logica e la finalità del sistema di IA, la natura dei dati e dei parametri utilizzati, le metriche di accuratezza e robustezza, i meccanismi di supervisione umana e i protocolli di aggiornamento. La legge richiede la consultazione dei sindacati e delle autorità di regolamentazione prima di impiegare l'IA in modi che incidano sulla valutazione o sul controllo dei dipendenti.
Tutela dei minori: i minori di 14 anni necessitano del consenso dei genitori per l'accesso ai sistemi di IA e il relativo trattamento dei dati. I minori tra i 14 e i 18 anni possono prestare autonomamente il consenso, a condizione che le informazioni siano facilmente accessibili e comprensibili.
Diritto d'autore: la legge ha modificato la normativa italiana sul diritto d'autore per distinguere le opere realizzate con l'assistenza dell'IA, in cui è presente uno sforzo creativo umano e il diritto d'autore spetta all'autore umano, dalle opere generate esclusivamente dall'IA, in cui non vi è un genuino intervento creativo umano e la tutela del diritto d'autore non si applica.
Delega al Governo: la Legge 132/2025 delega il Governo ad adottare decreti legislativi attuativi entro 12 mesi, stabilendo il quadro giuridico per i dati, gli algoritmi e i modelli matematici utilizzati nell'addestramento dell'IA, incluso un regime sanzionatorio.
Il Garante mantiene invariati tutti i propri poteri ai sensi del GDPR anche con l'entrata in vigore della Legge 132/2025.
Sanzioni: il quadro completo
Il sistema sanzionatorio italiano combina le sanzioni amministrative del GDPR con le sanzioni penali nazionali, rendendolo il quadro di enforcement più articolato dell'UE.
| Tipo di violazione | Sanzione amministrativa massima | Esposizione penale |
|---|---|---|
| GDPR livello inferiore (art. 83, par. 4) | 10 milioni di euro o 2% del fatturato globale | Nessuna |
| GDPR livello superiore (art. 83, par. 5-6) | 20 milioni di euro o 4% del fatturato globale | Nessuna |
| Trattamento illecito, intento di profitto/danno (art. 167) | Sanzione amministrativa + | Da 6 mesi a 3 anni |
| Diffusione non autorizzata su larga scala (art. 167-bis) | Sanzione amministrativa + | Da 1 a 6 anni |
| Dichiarazioni false al Garante (art. 168) | Sanzione amministrativa + | Da 6 mesi a 3 anni |
| Inosservanza dei provvedimenti del Garante (art. 170) | Sanzione amministrativa + | Da 3 mesi a 2 anni |
Le sanzioni penali sono ridotte quando è già stata irrogata una sanzione amministrativa per la stessa condotta, in base ai principi dell'articolo 84 del GDPR.
Provvedimenti sanzionatori di rilievo
Enel Energia: 79,1 milioni di euro per telemarketing (febbraio 2024)
La sanzione più elevata nella storia della protezione dei dati in Italia. Il Garante ha irrogato una sanzione di 79,1 milioni di euro a Enel Energia l'8 febbraio 2024, per carenze sistemiche nella gestione della propria rete commerciale. L'autorità ha rilevato che Enel aveva acquisito almeno 978 contratti da società precedentemente sanzionate per telemarketing illecito. L'istruttoria ha rivelato gravi carenze nei sistemi di gestione della clientela, violazioni dei principi di responsabilizzazione e privacy by design, e la mancata esecuzione di valutazioni del rischio adeguate sulle agenzie di vendita a valle.
Clearview AI: 20 milioni di euro (febbraio 2022)
Il Garante ha irrogato una sanzione di 20 milioni di euro a Clearview AI il 10 febbraio 2022, per aver raccolto miliardi di immagini da internet e costruito un database di identificazione biometrica senza alcuna base giuridica. Le violazioni includevano: assenza di una base giuridica per il trattamento; violazione degli obblighi di trasparenza; violazione del principio di limitazione della finalità (immagini pubblicate per uso personale riutilizzate per la sorveglianza biometrica); e assenza di limiti di conservazione dei dati. Il Garante ha ordinato la cancellazione di tutti i dati biometrici relativi a persone in Italia e ha imposto a Clearview di nominare un rappresentante nell'UE.
OpenAI e ChatGPT (marzo 2023, marzo 2026)
Il 30 marzo 2023, il Garante ha emesso un provvedimento d'urgenza che vietava a ChatGPT il trattamento dei dati personali degli utenti italiani, rendendo l'Italia il primo paese occidentale a vietare un importante chatbot basato sull'IA. Le violazioni contestate: mancanza di trasparenza; assenza di una base giuridica per la raccolta dei dati di addestramento; allucinazioni dell'IA che presentavano informazioni false su persone reali; e verifica dell'età inadeguata.
Il divieto è stato sospeso l'11 aprile 2023, dopo che OpenAI si è impegnata ad adottare misure correttive. ChatGPT è stato ripristinato il 28 aprile 2023.
Il 20 dicembre 2024, il Garante ha concluso l'istruttoria completa e ha irrogato una sanzione di 15 milioni di euro: 9 milioni di euro per il trattamento dei dati personali senza un'adeguata base giuridica; 5,68 milioni di euro per il mancato rispetto delle misure correttive del 2023; e 320.000 euro per l'omessa notifica al Garante di una violazione del marzo 2023 che aveva coinvolto 440 utenti italiani.
Il Garante ha inoltre ordinato una campagna di sensibilizzazione pubblica della durata di sei mesi su televisione, radio e giornali italiani.
OpenAI ha presentato ricorso. Un tribunale di Roma ha sospeso provvisoriamente la sanzione nel marzo 2025. Il 19 marzo 2026, il tribunale di Roma ha annullato la sanzione di 15 milioni di euro. Il tribunale non ha ancora pubblicato la motivazione integrale.
TikTok: verifica dell'età e sicurezza dei minori (2021-2022)
In seguito alla morte della decenne Antonella Sicomero nel gennaio 2021, durante una challenge incontrata su TikTok, il Garante ha ordinato a TikTok di bloccare gli utenti la cui età non poteva essere verificata. TikTok è stata obbligata a riverificare l'età di ogni utente italiano. Il risultato: oltre 500.000 account rimossi, di cui circa 400.000 relativi a utenti che dichiaravano un'età inferiore ai 13 anni. Nel 2022, il Garante ha emesso un ulteriore avvertimento a TikTok riguardo al suo progetto di utilizzare l'interesse legittimo come base per la pubblicità comportamentale, ritenendo tale approccio incompatibile con i requisiti italiani in materia di consenso.
DeepSeek: bloccato entro 48 ore (gennaio 2025)
Il 28 gennaio 2025, il Garante ha inviato una richiesta formale di informazioni agli operatori di DeepSeek. DeepSeek ha risposto prima della scadenza di 20 giorni, ma il Garante ha ritenuto le risposte insufficienti. La società ha dichiarato di non operare in Italia e di non essere soggetta al GDPR; la sua stessa informativa sulla privacy indicava che i dati degli utenti erano conservati in Cina senza le garanzie richieste dal Capo V del GDPR. Il 30 gennaio 2025, il Garante ha imposto un divieto immediato e definitivo al trattamento dei dati personali degli utenti italiani da parte di DeepSeek. Il divieto resta in vigore.
Replika / Luka Inc.: 5 milioni di euro (maggio 2025)
Il 20 maggio 2025, il Garante ha multato Luka Inc. per 5 milioni di euro per violazioni del GDPR da parte del chatbot compagno basato sull'IA Replika. L'autorità ha rilevato l'assenza di una base giuridica valida per il trattamento dei dati degli utenti ai sensi dell'articolo 6 del GDPR, e ha riscontrato che Replika non disponeva di alcuna verifica dell'età efficace nonostante si rivolgesse a utenti emotivamente vulnerabili, inclusi i minori. L'EDPB ha pubblicato la decisione.
Intesa Sanpaolo: 31,8 milioni di euro per violazione interna (marzo 2026)
Il 26 marzo 2026, il Garante ha irrogato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo dopo che un singolo dipendente aveva effettuato 6.637 accessi non autorizzati a dati bancari relativi a 3.573 clienti, tra cui politici e alti funzionari, nell'arco di oltre due anni. L'autorità ha rilevato controlli di accesso, soglie di monitoraggio e notifica delle violazioni agli interessati inadeguati. La banca aveva già ricevuto in precedenza una separata sanzione di 17,6 milioni di euro per aver trattato illecitamente i dati di circa 2,4 milioni di clienti durante una ristrutturazione societaria che comportava il trasferimento di conti alla propria controllata digitale Isybank.
Clothoff: app di IA per deep nude bloccata (ottobre 2025)
Il 3 ottobre 2025, il Garante ha adottato un provvedimento d'urgenza di limitazione della durata di 60 giorni nei confronti di Clothoff, un'applicazione di IA generativa che crea immagini di nudo false iperrealistiche elaborando fotografie caricate dagli utenti. L'istruttoria ha rilevato l'assenza di un meccanismo di consenso da parte delle persone i cui immagini venivano elaborate, l'assenza di un'informativa sul fatto che il contenuto fosse generato dall'IA e l'assenza di verifica dell'età in grado di impedire ai minori di utilizzare lo strumento o di essere ritratti nelle immagini generate.

Sviluppi recenti (2024-2026)
Ritiro del Regolamento ePrivacy: nel febbraio 2025, la Commissione Europea ha formalmente ritirato la proposta di Regolamento ePrivacy dopo otto anni di negoziati bloccati. La Direttiva ePrivacy (2002/58/CE), recepita in Italia tramite gli articoli da 121 a 132-quater del Codice Privacy, resta la normativa applicabile.
Data Privacy Framework UE-USA confermato: nel settembre 2025, il Tribunale dell'UE ha respinto un ricorso contro il Data Privacy Framework UE-USA, confermando che gli Stati Uniti offrono una protezione adeguata per i dati personali trasferiti dall'UE. I trasferimenti verso organizzazioni statunitensi certificate nell'ambito del Framework restano consentiti.
Adeguatezza del Regno Unito prorogata fino al 2031: il 20 ottobre 2025, l'EDPB ha adottato un parere favorevole sulla proroga della decisione di adeguatezza del Regno Unito, confermando che il Regno Unito continua a mantenere un regime di protezione dei dati sostanzialmente equivalente al GDPR.
Procedimento di adeguatezza per il Brasile: nel settembre 2025, la Commissione Europea ha pubblicato una bozza di decisione di adeguatezza per il Brasile, seguita da un parere favorevole dell'EDPB nell'ottobre 2025.
Enforcement coordinato EDPB 2026: l'iniziativa di enforcement coordinato dell'EDPB per il 2026 si concentra sugli obblighi di trasparenza in tutti gli Stati membri. Il Garante partecipa all'iniziativa, il che significa che le organizzazioni in Italia dovrebbero attendersi un controllo più rigoroso sulle informative sulla privacy e sulla documentazione di trasparenza.
Spazio europeo dei dati sanitari: il Regolamento UE 2025/327 si applicherà dal marzo 2027, creando nuovi requisiti di governance per il trattamento dei dati sanitari in Italia, che interagiranno con le autorizzazioni alla ricerca sull'IA previste dalla Legge 132/2025.
Considerazioni pratiche di compliance per le imprese
Le organizzazioni che trattano dati personali di persone che si trovano in Italia dovrebbero affrontare i seguenti aspetti:
Documentazione della base giuridica: individuare e documentare la base giuridica per ogni attività di trattamento. Verificare se il consenso ottenuto a fini di marketing sia genuino, specifico e liberamente prestato. Eliminare le caselle preselezionate e il consenso raggruppato con i termini di servizio.
Informative sulla privacy: fornire informative sulla privacy in lingua italiana per i servizi rivolti a residenti italiani. Le informative devono essere chiare e concise, con un'esposizione granulare delle categorie di dati, delle finalità, dei periodi di conservazione, dei destinatari e dei trasferimenti internazionali.
Conformità del banner sui cookie: implementare una piattaforma di gestione del consenso che offra un'opzione di rifiuto di pari rilievo e che registri il consenso con data, ora e metodo. Nessun interesse legittimo per i cookie di profilazione.
Controllo dei dipendenti: qualsiasi sistema in grado di controllare l'attività dei dipendenti richiede un accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro. La conservazione dei metadati della posta elettronica non deve superare i 21 giorni senza la piena conformità all'articolo 4 dello Statuto dei Lavoratori.
Risposta alle violazioni dei dati: mantenere una procedura documentata di risposta alle violazioni con una chiara finestra di notifica al Garante entro 72 ore, percorsi di escalation interni, un registro delle violazioni e criteri per valutare se sia richiesta la notifica individuale.
Nomina del DPO: tutti gli enti pubblici devono nominare un DPO. Le organizzazioni private nel settore sanitario e dei servizi finanziari dovrebbero valutare se la nomina sia obbligatoria o fortemente consigliabile.
Trasferimenti internazionali: per i trasferimenti verso gli Stati Uniti, verificare la certificazione del destinatario nell'ambito del Data Privacy Framework UE-USA. Per tutti i trasferimenti verso paesi extra SEE privi di una decisione di adeguatezza, eseguire le clausole contrattuali standard attualmente in vigore e documentare la valutazione d'impatto sul trasferimento.
Sistemi di IA: qualsiasi sistema di IA che tratti dati personali di residenti italiani deve rispettare il GDPR, soddisfare il livello pertinente di obblighi previsti dall'AI Act dell'UE e, per le implementazioni sul luogo di lavoro, soddisfare i requisiti di trasparenza e consultazione sindacale della Legge 132/2025.
Registri delle attività di trattamento: mantenere la documentazione del registro delle attività di trattamento ai sensi dell'articolo 30. Il Garante richiede il registro come primo passo in quasi ogni istruttoria.
Frequently Asked Questions
Il GDPR si applica direttamente in Italia, o l'Italia ha una propria legge separata sulla privacy dei dati?
Entrambi i quadri normativi si applicano simultaneamente. Il GDPR si applica direttamente come diritto dell'UE e non richiede una normativa nazionale separata. L'Italia mantiene inoltre il proprio Codice Privacy (Decreto Legislativo 196/2003, modificato dal Decreto Legislativo 101/2018), che integra il GDPR nelle aree in cui il diritto dell'UE lascia discrezionalità agli Stati membri. Tra queste figurano l'età del consenso digitale (fissata a 14 anni in Italia), le sanzioni penali per le violazioni gravi, le regole sul controllo dei dipendenti e i requisiti specifici in materia di cookie e comunicazioni elettroniche. La Legge n. 132/2025 aggiunge un ulteriore livello specifico per l'IA. Tutti e tre gli strumenti devono essere rispettati dalle organizzazioni che trattano dati personali di persone che si trovano in Italia.
Si può andare in prigione per una violazione della privacy dei dati in Italia?
Sì. L'Italia è uno dei pochi Stati membri dell'UE a prevedere sanzioni penali accanto a quelle amministrative. L'articolo 167 del Codice Privacy prevede la reclusione da sei mesi a tre anni per il trattamento illecito effettuato con l'intento di trarne profitto o di causare un danno. L'articolo 167-bis riguarda la diffusione non autorizzata su larga scala di dati personali e comporta la reclusione da uno a sei anni. L'articolo 168 punisce le dichiarazioni false al Garante con la reclusione da sei mesi a tre anni. L'articolo 170 punisce l'inosservanza dei provvedimenti del Garante con la reclusione da tre mesi a due anni. Le sanzioni penali e amministrative possono entrambe applicarsi alla stessa condotta, sebbene le sanzioni penali siano ridotte quando è già stata irrogata una sanzione amministrativa.
Che cosa è successo tra l'Italia e ChatGPT?
L'Italia è diventata il primo paese occidentale a vietare un importante chatbot basato sull'IA quando il Garante ha emesso un provvedimento d'urgenza il 30 marzo 2023, vietando temporaneamente a OpenAI di trattare i dati personali delle persone in Italia. Il Garante ha citato la mancanza di trasparenza, l'assenza di una base giuridica per la raccolta dei dati di addestramento, le allucinazioni dell'IA che presentavano informazioni false su persone reali e una verifica dell'età inadeguata. Il divieto è durato circa un mese; OpenAI ha attuato misure correttive e ChatGPT è stato ripristinato il 28 aprile 2023. Il Garante ha concluso l'istruttoria completa il 20 dicembre 2024 e ha irrogato una sanzione di 15 milioni di euro. OpenAI ha presentato ricorso, e il 19 marzo 2026 un tribunale di Roma ha annullato la sanzione. Il tribunale non ha ancora pubblicato la motivazione integrale.
Quanto tempo ha un'azienda per segnalare una violazione dei dati alle autorità italiane?
I titolari del trattamento devono notificare al Garante entro 72 ore da quando sono venuti a conoscenza di una violazione dei dati personali che comporti un rischio per i diritti e le libertà delle persone fisiche. Dal luglio 2021, le notifiche devono essere presentate tramite il portale elettronico dedicato del Garante con PEC e firma digitale qualificata. Quando la violazione comporta un rischio elevato per gli interessati, il titolare del trattamento deve anche informare direttamente tali persone senza ingiustificato ritardo. L'omessa segnalazione da parte di OpenAI di una violazione del marzo 2023 entro 72 ore ha contribuito per 320.000 euro alla sanzione irrogata nel 2024 nei confronti della società.
I datori di lavoro possono controllare la posta elettronica e l'attività su internet dei dipendenti in Italia?
Solo a condizioni rigorose. L'articolo 4 dello Statuto dei Lavoratori (Legge 300/1970) vieta ai datori di lavoro di utilizzare sistemi di sorveglianza per controllare l'attività dei dipendenti senza un accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro. Le linee guida del Garante di giugno 2024 sui metadati della posta elettronica consentono la conservazione dei metadati (mittente, destinatario, orari, oggetto) per un massimo di 21 giorni senza far scattare gli obblighi completi dell'articolo 4. La conservazione oltre i 21 giorni richiede la procedura di autorizzazione sindacale o dell'Ispettorato. La prima sanzione del Garante ai sensi di queste linee guida, di 50.000 euro contro la Regione Lombardia nell'aprile 2025, riguardava metadati email conservati per 90 giorni e registri di navigazione conservati per 12 mesi.
Che cos'è la legge nazionale italiana sull'IA e come influisce sulla protezione dei dati?
La Legge n. 132/2025, firmata il 23 settembre 2025 ed entrata in vigore il 10 ottobre 2025, ha reso l'Italia il primo Stato membro dell'UE ad approvare una legislazione nazionale dedicata all'IA. La legge integra l'AI Act dell'UE e rafforza i principi del GDPR nel contesto dell'IA. Principali interazioni con la protezione dei dati: i sistemi di IA devono trattare i dati personali in modo lecito, corretto e trasparente; l'uso secondario di dati sanitari pseudonimizzati per la ricerca sull'IA è consentito senza rinnovare il consenso, ma richiede una previa notifica al Garante con un periodo di attesa di 30 giorni; i datori di lavoro devono comunicare ai dipendenti l'uso di sistemi di IA, compresi i parametri dei dati e i meccanismi di supervisione; i minori di 14 anni necessitano del consenso dei genitori per l'accesso ai sistemi di IA e il relativo trattamento dei dati. Il Garante mantiene invariati tutti i propri poteri di enforcement previsti dal GDPR.
Quali sono le sanzioni più elevate mai irrogate dal Garante italiano?
La sanzione più elevata nella storia della protezione dei dati in Italia è quella di 79,1 milioni di euro contro Enel Energia nel febbraio 2024 per carenze sistemiche nella catena di fornitura del telemarketing. Altre sanzioni rilevanti includono: 31,8 milioni di euro contro Intesa Sanpaolo nel marzo 2026 per una violazione interna dei dati; 20 milioni di euro contro Clearview AI nel febbraio 2022 per raccolta illecita di dati di riconoscimento facciale; 17,6 milioni di euro contro Intesa Sanpaolo per profilazione illecita della clientela durante una ristrutturazione societaria; 15 milioni di euro contro OpenAI nel dicembre 2024 (annullata da un tribunale di Roma nel marzo 2026); e 5 milioni di euro contro Luka Inc. (Replika) nel maggio 2025 per violazioni del GDPR da parte di un chatbot basato sull'IA.
L'Italia consente il trasferimento di dati personali verso gli Stati Uniti?
Sì, nell'ambito del Data Privacy Framework UE-USA. In seguito alla decisione di adeguatezza della Commissione Europea e alla sua conferma da parte del Tribunale dell'UE nel settembre 2025, i trasferimenti verso organizzazioni statunitensi certificate nell'ambito del Framework sono consentiti. Per i destinatari statunitensi non certificati nell'ambito del Framework, i trasferimenti richiedono le Clausole Contrattuali Standard integrate da una valutazione d'impatto sul trasferimento. La decisione del Garante del 2022 contro l'uso di Google Analytics in Italia si basava su garanzie di trasferimento inadeguate nel vecchio regime, prima dell'istituzione del Framework.
Sources and References
- Decreto Legislativo n. 196/2003 (Codice Privacy italiano)(normattiva.it).gov
- Decreto Legislativo n. 101/2018 (armonizzazione con il GDPR)(normattiva.it).gov
- Garante per la protezione dei dati personali, sito ufficiale(garanteprivacy.it).gov
- Regolamento generale sulla protezione dei dati dell'UE (GDPR), testo integrale(eur-lex.europa.eu).gov
- AI Act dell'UE (Regolamento UE 2024/1689), testo integrale(eur-lex.europa.eu).gov
- EDPB: l'autorità italiana multa Clearview AI per 20 milioni di euro(edpb.europa.eu).gov
- L'Italia multa OpenAI per 15 milioni di euro, Euronews(euronews.com)
- EDPB: l'autorità italiana impone una limitazione a TikTok(edpb.europa.eu).gov
- Decreto Legislativo 138/2024 (recepimento NIS2)(normattiva.it).gov
- Sanzione Enel Energia, analisi Orsingher(orsingher.com)
- EDPB: l'autorità italiana multa Luka Inc., produttore di Replika, per 5 milioni di euro(edpb.europa.eu).gov
- Norton Rose Fulbright: l'Italia approva la Legge n. 132/2025 sull'IA(nortonrosefulbright.com)
- Cleary Gottlieb: l'Italia adotta la prima legge nazionale sull'IA in Europa(clearygottlieb.com)
- EDPB: l'autorità italiana vieta l'uso di Google Analytics(edpb.europa.eu).gov
- DLA Piper: il Garante italiano irroga la prima sanzione GDPR per i metadati email dei dipendenti(privacymatters.dlapiper.com)
- Sanzione da 31,8 milioni di euro a Intesa Sanpaolo, Captain Compliance(captaincompliance.com)