Deliberazione del 30 dicembre 2025 – Attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di Finanza, limitatamente al periodo gennaio/luglio 2026
Registro dei provvedimenti
n. 797 del 30 dicembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, Segretario generale;
VISTO il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito “Regolamento”);
VISTO il Decreto legislativo 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTI gli articoli 157 e 158 del Codice e l’art. 58 del Regolamento concernente, in particolare, i poteri di indagine;
VISTI gli artt. 2, comma 1, lettere a) e c), 6, 7 e 8 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante (doc. web. n. 1098801);
VISTI i regolamenti del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, con particolare riferimento agli artt. 4, 21 e 22 (doc. web n. 9107633), e n. 2/2019, concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (doc. web n. 9107640);
VISTO il protocollo di intesa con la Guardia di Finanza del 30 marzo 2021;
VISTA la deliberazione del Garante n. 451 del 4 agosto 2025, recante la programmazione dell’attività ispettiva limitatamente al periodo luglio-dicembre 2025;
RITENUTA l’opportunità, anche al fine di stabilire le priorità in relazione alle risorse disponibili, di individuare nuovamente princìpi e criteri che devono informare, con cadenza periodica, l’attività ispettiva, intendendo per tale l’accertamento in loco curato dal personale dell’Ufficio o delegato alla Guardia di Finanza nei luoghi dove si effettuano i trattamenti di dati, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni;
RITENUTA l’opportunità di dare pubblicità alle scelte operate;
TENUTO CONTO dei procedimenti ispettivi in corso al momento dell’adozione della presente deliberazione, nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi;
VISTE le osservazioni dell’Ufficio formulate dal (Segretario generale) ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
DELIBERA
limitatamente al periodo gennaio/luglio 2026, l’attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di Finanza, è indirizzata a:
a) prosecuzione, nell’ambito dei lavori della task force interdipartimentale, delle attività di verifica relative ai data breach che hanno interessato banche dati pubbliche di particolare rilievo e delicatezza. Ciò, con specifico riferimento alla verifica dei sistemi di sicurezza ed ai profili di accessibilità delle banche dati stesse, al fine di arginare il fenomeno degli accessi abusivi e della rivendita di informazioni riservate;
b) prosecuzione delle verifiche sull’utilizzo degli applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni whistleblowing;
c) verifiche sull’utilizzo di strumenti di intelligenza artificiale utilizzati in ambito scolastico;
d) prosecuzione delle attività di verifica concernenti i trattamenti dei dati personali contenuti nel c.d. dossier sanitario;
e) prosecuzione delle attività ispettive concernenti l’illecito trattamento di dati a fini di telemarketing con particolare riferimento al settore energetico;
f) trattamenti di dati personali effettuati nell’ambito del Sistema informativo doganale, secondo le previsioni di cui all’art. 154, comma 2, lett. C) del Codice;
g) verifiche e approfondimenti volti ad acquisire un quadro di conoscenza unitario in ordine alle policy e alle tecniche di anonimizzazione dei dati implementati dalle Telco per la condivisione dei big data alla luce della sentenza della CGUE del 4 settembre 2025;
h) verifiche e approfondimenti tecnici in ordine alle violazioni di dati personali comunicate all’Autorità, con particolare riguardo ai casi più estesi e delicati in ambito sia pubblico che privato;
i) svolgimento di ulteriori attività di carattere ispettivo d’ufficio in ragione di situazioni di particolare urgenza o in relazione a segnalazioni o reclami proposti all’Autorità.
L’attività ispettiva programmata con la deliberazione in data odierna riguarderà, relativamente ai punti da a) fino a i) almeno 40 accertamenti ispettivi, effettuati anche a mezzo della Guardia di Finanza.
Resta fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, o in relazione a segnalazioni o reclami proposti.
L’Ufficio informerà mensilmente il Collegio sui soggetti ispezionati appartenenti alle categorie da a) a h) e riferirà, alla fine del semestre, sull’andamento complessivo delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).
Roma, 30 dicembre 2025
Fonte: Garante Privacy
