Le risposte alle domande più comuni su protezione dei dati (GDPR), intelligenza artificiale (AI Act) e cybersicurezza (NIS2). Ogni risposta richiama il riferimento normativo e rimanda alla fonte ufficiale. È materiale divulgativo, aggiornato alla data di ultima revisione: non sostituisce una consulenza legale sul caso concreto.
Qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente (ad esempio tramite nome, un numero di identificazione, dati di ubicazione, un identificativo online). Lo prevede l'art. 4, n. 1, del GDPR.
Sono i dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare univocamente una persona, i dati relativi alla salute, alla vita sessuale o all'orientamento sessuale. Il loro trattamento è in via di principio vietato, salvo ricorra una delle condizioni elencate nell'art. 9, paragrafo 2, del GDPR.
Fonte: Art. 9 GDPR
Un trattamento è lecito solo se ricorre almeno una delle basi indicate dall'art. 6 del GDPR: il consenso dell'interessato, l'esecuzione di un contratto, l'adempimento di un obbligo legale, la salvaguardia di interessi vitali, l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, oppure il legittimo interesse del titolare (bilanciato con i diritti dell'interessato).
Fonte: Art. 6 GDPR
Il consenso deve essere libero, specifico, informato e inequivocabile, manifestato con una dichiarazione o un'azione positiva inequivocabile; non sono ammessi caselle preselezionate o silenzio. L'interessato può revocarlo in qualsiasi momento, con la stessa facilità con cui lo ha prestato. Lo prevedono l'art. 4, n. 11, e l'art. 7 del GDPR.
Fonte: Artt. 4 e 7 GDPR
Il GDPR riconosce all'interessato il diritto di accesso (art. 15), di rettifica (art. 16), di cancellazione o «oblio» (art. 17), di limitazione del trattamento (art. 18), alla portabilità dei dati (art. 20), di opposizione (art. 21) e di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato che produca effetti significativi (art. 22).
Fonte: Artt. 15-22 GDPR
La nomina del DPO è obbligatoria, ai sensi dell'art. 37 del GDPR, quando il trattamento è effettuato da un'autorità o organismo pubblico, quando l'attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure quando consiste nel trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali e reati.
Fonte: Art. 37 GDPR
Il titolare deve notificare la violazione all'autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone (art. 33). Se il rischio è elevato, deve inoltre comunicarla agli interessati (art. 34).
Fonte: Artt. 33-34 GDPR
La DPIA è richiesta quando un tipo di trattamento, specie se basato su nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone: ad esempio in caso di valutazione sistematica e globale di aspetti personali con profilazione, di trattamento su larga scala di categorie particolari di dati, o di sorveglianza sistematica su larga scala di zone accessibili al pubblico. Lo prevede l'art. 35 del GDPR.
Fonte: Art. 35 GDPR · Garante, DPIA
Il trasferimento verso un Paese terzo è ammesso solo se vi è una decisione di adeguatezza della Commissione (art. 45), oppure in presenza di garanzie adeguate come le clausole contrattuali tipo o le norme vincolanti d'impresa (artt. 46-47); in mancanza, solo al ricorrere di una delle deroghe specifiche previste dall'art. 49. La disciplina è contenuta nel Capo V del GDPR (artt. 44-49).
Fonte: Artt. 44-49 GDPR
L'art. 83 del GDPR prevede sanzioni amministrative fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo per le violazioni meno gravi, e fino a 20 milioni di euro o al 4% del fatturato per quelle più gravi; si applica l'importo maggiore tra i due. Le sanzioni devono essere effettive, proporzionate e dissuasive.
Fonte: Art. 83 GDPR
Il titolare del trattamento è chi determina le finalità e i mezzi del trattamento (art. 4, n. 7); il responsabile è chi tratta i dati per conto del titolare (art. 4, n. 8). Il rapporto tra i due deve essere regolato da un contratto o altro atto giuridico, con i contenuti previsti dall'art. 28 del GDPR.
Fonte: Artt. 4 e 28 GDPR
Il GDPR è direttamente applicabile in tutta l'Unione; il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), come modificato dal D.Lgs. 101/2018, adegua l'ordinamento italiano al Regolamento e contiene le disposizioni nazionali di dettaglio. L'autorità di controllo per l'Italia è il Garante per la protezione dei dati personali.
È il Regolamento (UE) 2024/1689, primo quadro normativo organico sull'intelligenza artificiale. È entrato in vigore il 1° agosto 2024, con applicazione scaglionata: i divieti sulle pratiche vietate si applicano dal 2 febbraio 2025, gli obblighi sui modelli di IA per finalità generali dal 2 agosto 2025, e gran parte degli obblighi sui sistemi ad alto rischio dal 2 agosto 2026.
Fonte: Reg. UE 2024/1689 (AI Act)
L'AI Act adotta un approccio basato sul rischio: alcune pratiche sono vietate in quanto tali (art. 5); i sistemi ad alto rischio sono ammessi solo nel rispetto di obblighi stringenti (gestione del rischio, qualità dei dati, sorveglianza umana, documentazione); i sistemi a rischio limitato sono soggetti a obblighi di trasparenza (art. 50, ad esempio sapere che si sta interagendo con una macchina); il resto resta sostanzialmente libero.
La NIS2 è la Direttiva (UE) 2022/2555, che rafforza il livello di cybersicurezza nell'Unione ampliando la platea dei soggetti coinvolti (distinti in «essenziali» e «importanti») e introducendo obblighi di gestione del rischio e di notifica degli incidenti significativi. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138; le notifiche e i rapporti con i soggetti obbligati fanno capo all'Agenzia per la cybersicurezza nazionale (ACN) tramite il CSIRT Italia.