Il Garante per la protezione dei dati personali ha definito il piano delle attività ispettive per i primi mesi del 2026 con il provvedimento numero 797 approvato a fine 2025. Il documento indica con precisione dove si concentreranno i controlli dell’autorità nei confronti di enti pubblici e imprese che trattano dati personali, offrendo anche un’indicazione concreta delle aree considerate più esposte a rischi per i diritti delle persone.
Tra gennaio e luglio sono previste almeno quaranta verifiche. Le attività potranno essere svolte direttamente dal personale del Garante oppure dal Nucleo speciale tutela privacy e frodi informatiche della Guardia di Finanza, che collabora stabilmente con l’autorità in base a un protocollo operativo attivo da alcuni anni. L’obiettivo delle ispezioni resta quello di verificare la conformità reale dei trattamenti alle regole europee e nazionali sulla protezione dei dati.
Data breach e sicurezza delle banche dati pubbliche
Una delle aree che riceverà maggiore attenzione riguarda le violazioni di dati personali che hanno interessato archivi informativi della pubblica amministrazione. Negli ultimi anni diversi incidenti informatici hanno coinvolto infrastrutture digitali che gestiscono grandi quantità di dati sensibili, con episodi di accesso abusivo e casi di diffusione illegale di informazioni. Le ispezioni serviranno a esaminare i sistemi di sicurezza adottati per proteggere i database pubblici, i livelli di accesso consentiti agli operatori e le procedure adottate per individuare e gestire eventuali intrusioni.
Il controllo non si limita alla presenza formale di misure tecniche. Gli ispettori verificano anche il modo in cui le organizzazioni gestiscono la sicurezza nella pratica quotidiana: politiche interne, gestione delle credenziali, registrazione degli accessi e procedure per reagire a una violazione dei dati.
Intelligenza artificiale nelle scuole e nuovi fronti di controllo
Tra le novità del piano ispettivo compare l’attenzione all’uso di strumenti di intelligenza artificiale in ambito scolastico. Le verifiche riguarderanno il trattamento dei dati degli studenti, il funzionamento degli algoritmi impiegati nei servizi educativi digitali e la trasparenza delle informazioni fornite agli utenti.
La diffusione di piattaforme educative basate su sistemi automatici di analisi dei dati ha aperto nuove questioni legate alla tutela della privacy dei minori. Il Garante intende quindi comprendere in che modo le scuole e i fornitori di servizi digitali gestiscono queste tecnologie, quali dati vengono raccolti e quali garanzie vengono applicate per evitare utilizzi impropri.
Il piano conferma inoltre l’attenzione verso settori già monitorati negli ultimi anni. Le verifiche continueranno sugli applicativi utilizzati per le segnalazioni interne nelle organizzazioni, sui trattamenti di dati contenuti nel dossier sanitario elettronico e sulle attività di telemarketing illegale, con particolare attenzione al comparto energetico.
Altri accertamenti riguarderanno il sistema informativo doganale e le tecniche di anonimizzazione adottate dalle società di telecomunicazioni quando condividono grandi volumi di dati. Questo tema è tornato al centro del dibattito europeo dopo alcune decisioni della Corte di giustizia dell’Unione europea che hanno chiarito i limiti delle tecniche utilizzate per rendere anonime le informazioni.
Le ispezioni potranno avvenire attraverso accessi presso le sedi delle organizzazioni oppure tramite controlli da remoto quando i trattamenti avvengono tramite siti web, piattaforme digitali o servizi online. Questa modalità permette all’autorità di verificare direttamente il funzionamento dei sistemi informatici e delle procedure operative utilizzate dai titolari del trattamento.
Il piano ispettivo rappresenta quindi un segnale chiaro per amministrazioni pubbliche, imprese digitali e fornitori di servizi tecnologici. Sicurezza delle informazioni, gestione dei dati personali e responsabilità nella governance del dato restano elementi centrali nel contesto europeo della protezione dei dati.
