Il punto di vista di Cyber Academy
Nel 2026 il GDPR resta il regolamento UE che disciplina i dati personali (Regulation (EU) 2016/679, in vigore da maggio 2018). Cosa è cambiato dal 2018: il quadro dei trasferimenti internazionali (Schrems II, nuove SCC, EU-US Data Privacy Framework), l'intensità dell'enforcement (CNIL, DPC, AEPD come autorità più attive), l'interazione con l'AI Act sul trattamento automatizzato e i chiarimenti della CJEU su consenso, legittimo interesse e diritto all'oblio.
TL;DR
- 1Il GDPR in sé non è stato modificato. Ciò che si è mosso è la giurisprudenza, le linee guida dell'EDPB, le SCC e il quadro dei trasferimenti internazionali.
- 2Schrems II ha invalidato il Privacy Shield nel 2020. L'EU-US Data Privacy Framework (DPF) lo ha sostituito a luglio 2023; i trasferimenti verso importatori statunitensi certificati DPF non necessitano più di misure supplementari.
- 3Le SCC del 2021 hanno sostituito le versioni del 2010. Ogni trasferimento al di fuori dello SEE senza una decisione di adeguatezza richiede un Transfer Impact Assessment documentato.
- 4L'enforcement dell'EDPB e delle autorità nazionali è a un'intensità record. Casi principali 2023-2025: Meta (1,2 miliardi di euro, trasferimenti), LinkedIn (310 milioni di euro, pubblicità comportamentale), Clearview AI (più autorità).
- 5Interazione con l'AI Act: i sistemi di IA ad alto rischio che trattano dati personali devono rispettare entrambi i regimi. DPIA + valutazione di conformità all'AI Act insieme.
Perché il testo è rimasto fermo e la pratica si è mossa
Il GDPR non è stato riscritto. I numeri di articolo che hai imparato nel 2018 sono i numeri di articolo che applichi nel 2026. Ciò che è cambiato sta un livello più in basso: la giurisprudenza che interpreta il testo, le linee guida dell'EDPB che lo rendono operativo, le standard contractual clauses che formalizzano i tuoi trasferimenti e il meccanismo di adeguatezza che governa dove i dati possono legalmente atterrare. Un programma privacy costruito nel 2018 e mai più toccato non è sbagliato sulla carta. È obsoleto nella pratica, e l'obsoleto è ciò che l'enforcement ora individua.
Questa pagina è per chi già comprende il regolamento e ha bisogno di sapere cosa aggiornare. Presuppone che tu sappia definire un dato personale, un titolare e una base giuridica. Si concentra sulle quattro parti in movimento che nel 2026 generano realmente rilievi: i trasferimenti internazionali, il Transfer Impact Assessment, la sovrapposizione con l'AI Act e la questione se sia obbligatorio o meno nominare un Data Protection Officer.
Trasferimenti internazionali: l'albero decisionale, non il titolo di giornale
La maggior parte dei team conosce i titoli. Schrems II ha invalidato il Privacy Shield nel 2020. L'EU-US Data Privacy Framework lo ha sostituito nel 2023. Le SCC del 2021 hanno sostituito le versioni del 2010. I titoli sono veri e quasi inutili presi da soli, perché il lavoro vero consiste nell'abbinare uno specifico trasferimento a uno specifico strumento e poi decidere se in aggiunta sia richiesto un Transfer Impact Assessment. È un albero decisionale, e lo percorri per ciascun flusso di dati, non una volta sola per l'intera azienda.
Parti dalla destinazione. Se l'importatore si trova in un paese con una decisione di adeguatezza UE in vigore, trasferisci sulla base della decisione di adeguatezza e per quel flusso non ti servono SCC né una TIA. Se la destinazione sono gli Stati Uniti e l'importatore è auto-certificato nell'ambito del Data Privacy Framework per le categorie di dati pertinenti, quel flusso si appoggia al DPF come propria base di adeguatezza: niente SCC, niente misure supplementari. Nel momento in cui esci da entrambe queste ipotesi, ricadi nelle garanzie dell'Article 46, il che nella pratica significa le SCC del 2021, e le SCC comportano un obbligo di TIA che Schrems II ha reso non facoltativo.
| Scenario di trasferimento | Strumento necessario | TIA richiesta? |
|---|---|---|
| Dallo SEE verso un paese con una decisione di adeguatezza in vigore | Decisione di adeguatezza (nessun contratto aggiuntivo) | No |
| Dallo SEE verso un importatore statunitense auto-certificato DPF, per i dati coperti | Certificazione DPF (funge da adeguatezza) | No |
| Dallo SEE verso un importatore statunitense NON aderente al DPF | SCC del 2021 | Sì |
| Dallo SEE verso un paese terzo non adeguato (caso generale) | SCC del 2021 | Sì |
| Trasferimenti infragruppo tra molte entità e paesi | Binding Corporate Rules (o SCC) | Sì (valutata per ciascuna destinazione) |
| Trasferimento successivo del tuo responsabile verso un proprio sub-responsabile all'estero | SCC a cascata nella catena dei responsabili | Sì (la catena eredita l'obbligo) |
Il Transfer Impact Assessment nella pratica operativa
Una TIA è il documento che risponde a una sola domanda: la legge e la prassi del paese di destinazione compromettono la protezione che le tue SCC promettono sulla carta? Non è una casella da spuntare. È una piccola analisi giuridico-tecnica che produci per ciascun trasferimento (o per ciascun gruppo di trasferimenti sostanzialmente identici) e che conservi agli atti per il giorno in cui un'autorità di controllo te la chiederà.
Nella pratica, una TIA difendibile fa quattro cose. Descrive il trasferimento in modo concreto: chi esporta, chi importa, quali dati, quale volume, quale finalità. Valuta il regime giuridico di destinazione, con particolare attenzione ai poteri di accesso governativo e alla possibilità per un interessato di disporre di un rimedio effettivo. Individua le misure supplementari ove il regime giuridico sia debole, e la misura che sposta davvero l'ago della bilancia è la cifratura che controlli tu, dove l'importatore non detiene mai le chiavi. E registra una conclusione motivata: procedere, procedere con misure o non trasferire.
- Mappa il flusso con precisione, inclusi gli eventuali trasferimenti successivi che il tuo responsabile effettua verso i sub-responsabili. I flussi che dimentichi sono quelli che riemergono in caso di violazione.
- Valuta la legge di destinazione rispetto ai criteri dell'EDPB, non secondo la tua impressione istintiva sul paese.
- Applica le misure supplementari dove necessario e tratta una cifratura robusta, con chiavi gestite da te, come misura tecnica predefinita anziché affidarti alle sole promesse contrattuali.
- Documenta la conclusione e datala, poi imposta un trigger di revisione affinché non scada silenziosamente.
Dove il GDPR incontra l'AI Act
L'AI Act non sostituisce il GDPR e non lo allenta. Quando un sistema di IA tratta dati personali, si applicano entrambi pienamente e devi soddisfare entrambi. Il modo più chiaro per cogliere la sovrapposizione è ragionare per artefatto che ciascun regime si attende. Il GDPR richiede una Data Protection Impact Assessment quando il trattamento è suscettibile di presentare un rischio elevato per le persone. L'AI Act richiede una valutazione di conformità, la documentazione tecnica e (per alcuni sistemi) una valutazione d'impatto sui diritti fondamentali per l'IA ad alto rischio. Si tratta di documenti diversi che rispondono a domande diverse, e un sistema di IA ad alto rischio che tocca dati personali ne richiede entrambi, coerenti tra loro.
I punti di attrito sono familiari problemi del GDPR in vesti nuove. Le decisioni automatizzate con effetti giuridici o analogamente significativi già facevano scattare gli obblighi dell'Article 22; l'AI Act vi sovrappone doveri di trasparenza e di sorveglianza umana. I dati di addestramento sollevano questioni di base giuridica e di limitazione delle finalità che non svaniscono perché l'output è un modello. La profilazione e l'inferenza sono sempre rientrate nell'ambito di applicazione. La regola pratica per il 2026: non gestire un flusso di lavoro sulla governance dell'IA che ignori il tuo DPO, e non gestire un programma privacy che finga che l'addestramento dei modelli sia un problema di qualcun altro. Le due valutazioni dovrebbero rimandare l'una all'altra.
I privacy engineer che devono fare da ponte tra questi regimi nelle decisioni di realizzazione sono esattamente il pubblico della certificazione CDPSE, strutturata attorno a governance, architettura e ciclo di vita dei dati anziché al solo testo giuridico. Per rendere operativa la privacy come sistema di gestione che si affianca in modo pulito a un ISMS, il corso ISO 27701 Foundation copre il modello PIMS, e il corso ISO 27701 Lead Implementer ti guida nella sua costruzione e gestione.
L'enforcement è un segnale, non solo un rischio
Leggi l'enforcement recente come una mappa di dove guardano le autorità, perché ti indicano dove probabilmente si trova la tua stessa esposizione. Lo schema dal 2023 al 2025 è coerente. I trasferimenti internazionali hanno prodotto le singole sanzioni più elevate, con la decisione Meta (1,2 miliardi di euro) incentrata sui flussi di dati EU-US. La pubblicità comportamentale e la base giuridica per il targeting pubblicitario hanno determinato la decisione LinkedIn (310 milioni di euro). I dati biometrici raccolti tramite scraping hanno motivato azioni ripetute contro Clearview AI presso più autorità. Le autorità attive sono quelle che ci si aspetterebbe: la CNIL in Francia, la DPC in Irlanda per le grandi piattaforme, l'AEPD in Spagna.
La conseguenza operativa è smettere di trattare l'enforcement come il titolo di giornale di qualcun altro. Se trasferimenti, consenso nell'ad-tech e trattamenti biometrici o contigui all'IA sono i terreni dove cadono le sanzioni, quelli sono i tre fascicoli su cui statisticamente è più probabile che un'autorità di controllo ti interroghi. Un programma in grado di produrre una TIA aggiornata, un registro del consenso difendibile e una DPIA per i suoi trattamenti più rischiosi è un programma che supera le domande effettivamente poste.
Hai davvero bisogno di un DPO?
La questione del DPO è quella a cui più spesso si risponde per riflesso anziché sulla base del testo. L'Article 37 rende un DPO obbligatorio in tre situazioni: sei un'autorità pubblica o un organismo pubblico; le tue attività principali consistono nel monitoraggio regolare e sistematico degli interessati su larga scala; oppure le tue attività principali consistono nel trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali. Se nessuna di queste si applica, il GDPR non impone la nomina, sebbene alcune leggi nazionali aggiungano propri criteri di attivazione e un DPO volontario sia spesso la scelta più solida.
L'espressione che decide la maggior parte dei casi concreti è "attività principali". Un ospedale monitora i dati sanitari come propria attività principale, quindi ha bisogno di un DPO. Un'azienda manifatturiera che gestisce le buste paga tratta dati personali, ma si tratta di una funzione di supporto, non di un'attività principale, quindi la sola gestione delle buste paga non fa scattare l'obbligo. Gli errori si concentrano ai margini: nominare qualcuno privo dell'indipendenza e della linea di riporto richieste dall'Article 38, designare un DPO che ha un conflitto di interessi perché possiede anche il trattamento che dovrebbe sorvegliare, oppure nominarlo sulla carta senza conferirgli alcuna autorità. Un DPO che non può raggiungere il consiglio di amministrazione e non può dire di no è un rilievo in attesa di essere scritto.
Se il ruolo spetta a te ricoprirlo o sorvegliarlo, la profondità conta. Il corso GDPR Foundation è il giusto punto di partenza per il team attorno al ruolo, e il corso GDPR Certified Data Protection Officer è pensato per la persona che porta il titolo, coprendo l'indipendenza, i compiti e la responsabilità che il regolamento effettivamente richiede.
Cosa aggiornare prima del prossimo audit
Porta a giorno le parti in movimento e il resto del programma in gran parte si regge da solo. Verifica che ogni trasferimento sia sulle SCC del 2021 e non sul set ritirato del 2010, perché le clausole legacy sono un rilievo immediato. Controlla che ogni trasferimento non adeguato abbia una TIA datata, collegata dal tuo RoPA. Verifica che ogni fornitore statunitense su cui ti affidi sia attualmente certificato DPF per i dati che invii e che tu disponga di un fallback con SCC qualora non lo sia. Assicurati che i tuoi trattamenti a rischio più elevato abbiano una DPIA e che qualunque trattamento basato sull'IA abbia accanto gli artefatti dell'AI Act. Infine, riverifica la questione del DPO rispetto alle tue effettive attività principali, anziché rispetto alla risposta che hai dato nel 2018.
Frequently asked questions
01Ho ancora bisogno delle SCC dopo l'adozione dell'EU-US DPF?
Per i trasferimenti verso importatori statunitensi auto-certificati nell'ambito dell'EU-US Data Privacy Framework, no: la decisione di adeguatezza di luglio 2023 copre tali trasferimenti. Verifica la certificazione dell'importatore nell'elenco DPF del Department of Commerce.
Per i trasferimenti verso importatori statunitensi non aderenti al DPF, o verso qualsiasi altro paese terzo privo di decisione di adeguatezza, sono necessarie le SCC del 2021 (o un altro strumento di trasferimento) più un Transfer Impact Assessment.
02Cos'è un Transfer Impact Assessment e quando ne ho bisogno?
Una TIA è l'analisi documentata richiesta dopo Schrems II per ogni trasferimento di dati personali al di fuori dello SEE senza una decisione di adeguatezza. Valuta se le leggi del paese di destinazione garantiscano un livello di protezione sostanzialmente equivalente a quello assicurato all'interno dell'UE e, in caso contrario, individua le misure supplementari.
Ti serve una TIA per ciascun trasferimento di questo tipo, su base di singolo flusso di trasferimento. Le Recommendations 01/2020 dell'EDPB ne forniscono la metodologia. La maggior parte delle organizzazioni che utilizzano fornitori SaaS extra-UE sottovaluta il lavoro della TIA e si affida al modello del fornitore, che da solo non è giuridicamente sufficiente.
03In che modo l'AI Act interagisce con il GDPR?
L'AI Act è un livello aggiuntivo rispetto al GDPR, non un sostituto. Quando i sistemi di IA ad alto rischio trattano dati personali, si applicano entrambi i regolamenti: il GDPR per la base giuridica, i diritti degli interessati, la DPIA, il quadro dei trasferimenti internazionali; l'AI Act per la valutazione di conformità, la gestione del rischio, la documentazione tecnica, la sorveglianza umana.
Nella pratica, le organizzazioni integrano la DPIA e la valutazione di conformità all'AI Act in un unico documento ove possibile, per evitare lavoro duplicato e trattamenti del rischio incoerenti.
04Quali tendenze di enforcement dovrei monitorare?
Tre tendenze dal 2022: (1) le autorità di controllo cooperano sempre di più (decisioni one-stop-shop, indagini congiunte), con la DPC irlandese ancora in prima linea sui casi transfrontalieri contro le big tech statunitensi, ma con le decisioni vincolanti dell'EDPB che ne rafforzano la mano; (2) sanzioni rilevanti sulla pubblicità comportamentale e sui dark pattern (Meta, LinkedIn, Amazon, Google); (3) enforcement su cookie e tecnologie di tracciamento ai sensi della ePrivacy Directive (CNIL particolarmente attiva).
Aspettati che la tendenza prosegua: più decisioni vincolanti transfrontaliere, un esame più severo del legittimo interesse come base per il trattamento comportamentale e una crescente attenzione ai trattamenti legati all'IA ai sensi dell'Article 22 del GDPR (decisioni automatizzate).
05La mia organizzazione ha bisogno di un DPO?
Gli Articles 37 to 39 del GDPR richiedono un DPO quando: (a) il titolare o il responsabile è un'autorità pubblica o un organismo pubblico; (b) le attività principali richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; (c) le attività principali consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali.
Al di là dell'obbligo di legge, molte organizzazioni del settore privato nominano un DPO su base volontaria per ragioni di gestione del rischio. I DPO a livello di gruppo sono ammessi e diffusi nelle multinazionali; devono restare facilmente accessibili agli interessati e all'autorità di controllo.




