RELAZIONE SULL’ATTIVITÀ 2025 - Sintesi per la stampa
RELAZIONE SULL’ATTIVITÀ 2025 - Sintesi per la stampa
- Scarica la RelazIone annuale
RELAZIONE SULL’ATTIVITÀ 2025
Sintesi per la stampa
L’Autorità Garante per la protezione dei dati personali - composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia - presenta oggi la Relazione sull’attività svolta nel sesto anno di mandato del Collegio.
La Relazione illustra i diversi ambiti di intervento dell’Autorità in un anno caratterizzato da un rapido e pervasivo processo di trasformazione, trainato dall’intelligenza artificiale e destinato a incidere profondamente su tutti i livelli della società.
Gli interventi più rilevanti
Dagli interventi nei settori più innovativi, come l’intelligenza artificiale relazionale, i deepfake e l’introduzione dell’IA nelle istituzioni scolastiche, alle attività ormai consolidate come il contrasto al telemarketing aggressivo, la tutela dei lavoratori, l’age verification e la protezione dei dati sanitari, l’Autorità ha confermato il proprio ruolo centrale nella tutela dei diritti e della protezione dei dati personali.
Il 2025 si apre con la decisione del Garante di limitare il trattamento dei dati degli utenti italiani da parte di due società cinesi che gestiscono DeepSeek, il sistema di intelligenza artificiale conversazionale, progettato per comprendere ed elaborare il linguaggio naturale che aveva registrato milioni di download nel giro di pochi giorni.
Nel corso dell’anno l’Autorità, a seguito della ricezione di diverse segnalazioni sul fenomeno del cosiddetto deepfake, ha avviato un’attività istruttoria, dalla quale è emersa la presenza sul mercato di numerose piattaforme che consentono di utilizzare la voce e/o le immagini di altre persone, per generare contenuti audio, fotografici e audiovisivi, in apparenza realistici, basati su tali elementi identificativi.
Alla luce delle criticità emerse, l’Autorità ha quindi adottato un provvedimento di avvertimento nei confronti degli utilizzatori di tali piattaforme, come Grok, ChatGPT e Clothoff.
L’utilizzo di tali strumenti e la diffusione dei contenuti così generati, tramite social media o altri servizi digitali e applicazioni di messaggistica, possono determinare, oltre a possibili fattispecie di reato, in assenza del consenso degli interessati, gravi violazioni dei diritti e delle libertà fondamentali delle persone coinvolte, con tutte le conseguenze, anche sanzionatorie, previste dalla normativa in materia di protezione dei dati personali. Il Garante ha inoltre richiamato i fornitori di tali servizi alla necessità di progettare, sviluppare e rendere disponibili applicazioni e piattaforme che, fin dalla progettazione, garantiscano il rispetto della disciplina in materia di protezione dei dati personali.
Nell’ambito delle iniziative riguardanti i deepfake, il Garante ha affrontato anche il fenomeno dei deepnude che, a partire dall’immagine di una persona vestita, consentono di generare fotografie o video in cui la stessa appare artificialmente priva di indumenti, nonché di realizzare immagini a contenuto sessualmente esplicito o persino pornografico. L’allarme suscitato dalla crescente diffusione di siti e applicazioni online che offrono tali servizi è stato ulteriormente alimentato dalle numerose denunce riportate dagli organi di informazione, riguardanti persone coinvolte senza il loro consenso, in prevalenza donne, comprese figure del mondo dello spettacolo e della politica, nonché minorenni. In tale contesto l’Autorità ha disposto un provvedimento di limitazione provvisoria del trattamento dei dati personali nei confronti di una società con sede nelle Isole Vergini Britanniche, che gestisce l’applicazione Clothoff, in grado di generare immagini di persone artificialmente prive di indumenti.
Di particolare rilievo è stata l’attività preventiva svolta dall'Autorità per evitare l’utilizzo, nell’addestramento dei sistemi di intelligenza artificiale generativa, di informazioni raccolte massivamente mediante tecniche di web scraping.
Nell’anno trascorso il Garante privacy ha espresso parare favorevole sullo schema di decreto del Ministero dell’Istruzione e del Merito, volto a disciplinare l’implementazione, nell’ambito della Piattaforma Unica, di uno specifico servizio digitale basato sull’intelligenza artificiale, con l’obiettivo di promuoverne un utilizzo corretto e consapevole in ambito scolastico. Con lo stesso decreto sono state inoltre adottate le Linee Guida per l’impiego dei sistemi di intelligenza artificiale nelle istituzioni scolastiche, volte a favorirne un uso sicuro, etico e rispettoso dei diritti fondamentali. Le Linee guida pongono al centro la persona, individuano i principi etici e i requisiti tecnici da osservare e forniscono indicazioni operative e strumenti a supporto delle scuole.
Particolare attenzione è stata riservata all’utilizzo dei dati biometrici e alla crescente diffusione dei sistemi di riconoscimento facciale. In questo ambito, l’Autorità ha disposto la sospensione del sistema di riconoscimento facciale FaceBoarding dell’aeroporto di Milano Linate, ritenendolo non conforme al GDPR. L’istruttoria ha infatti accertato che i dati biometrici di oltre 24.500 passeggeri venivano conservati in un archivio centralizzato, senza che fossero garantiti agli interessati un adeguato controllo sui propri dati personali e le necessarie garanzie previste dal GPDR.
Nel 2025 il Garante ha ulteriormente intensificato la propria attività nel settore sanitario, esprimendo 28 pareri su schemi di decreti e regolamenti. In questo ambito ha ribadito l’importanza dei principi di protezione dei dati fin dalla progettazione (privacy by design), minimizzazione dei dati, trasparenza e accountability. Sul versante dei controlli sono emerse criticità nella gestione dei dossier sanitari, nelle procedure di identificazione dei pazienti, nella comunicazione dei dati sanitari e nelle misure di prevenzione degli accessi abusivi ai sistemi informativi. Per quanto riguarda l’impiego dell'intelligenza artificiale in ambito sanitario, il Garante ha fornito indicazioni volte a garantire che lo sviluppo e l’utilizzo dei relativi sistemi avvengano nel rispetto del GDPR. È inoltre proseguito il confronto con il Ministero della Salute e AGENAS sul progetto di una piattaforma di intelligenza artificiale a supporto dell’assistenza primaria nell’ambito dei servizi sanitari regionali.
Anche nel 2025 il Garante ha proseguito la propria attività consultiva sugli atti diretti a disciplinare i processi di digitalizzazione della pubblica amministrazione, la realizzazione e riorganizzazione delle banche dati, nonché l’impiego di piattaforme tecnologiche a supporto dell’attività amministrativa e istituzionale. Tra i principali temi affrontati in sede consultiva figura il Sistema di portafoglio digitale italiano - Sistema IT Wallet, rispetto al quale l’Autorità ha contribuito ad assicurare la conformità alla normativa in materia di protezione dei dati personali, anche alla luce delle nuove regole europee che introducono il Portafoglio europeo di identità digitale - EUDI Wallet.
Sul fronte della tutela dei minori online, anche nel corso del 2025, è proseguita l’attività di vigilanza sull’età di accesso ai social network, anche attraverso l’impiego di sistemi di age verification. Particolare attenzione è stata inoltre dedicata al fenomeno dello sharenting, ossia alla costante condivisione online da parte dei genitori di fotografie, video, ecografie e altri contenuti riguardanti i propri figli. Si tratta di un fenomeno da tempo all’attenzione del Garante, in considerazione dei rischi che esso comporta per l’identità digitale del minore e per il suo libero sviluppo della personalità. Per sensibilizzare cittadini e famiglie su tali rischi, l’Autorità ha inoltre promosso la campagna informativa “La sua privacy vale più di un like” e realizzato il podcast “Foto di minori online: consigli pratici per genitori troppo social”.
Numerosi, in linea con gli anni precedenti, i provvedimenti adottati dall’Autorità nell’ambito del rapporto di lavoro, con particolare riguardo all’utilizzo della posta elettronica, ai sistemi di videosorveglianza e all’impiego di strumenti basati sull’intelligenza artificiale. Tra gli interventi di maggiore rilievo, il Garante ha vietato, in via d’urgenza e con effetto immediato, ad Amazon Italia Logistica, il trattamento di dati personali di oltre 1800 lavoratori impiegati presso lo stabilimento di Passo Corese (RI). Il provvedimento ha riguardato informazioni relative allo stato di salute, all’attività sindacale e alla vita personale e familiare dei dipendenti, raccolte in modo sistematico per l’intera durata del rapporto di lavoro e conservate fino a dieci anni dalla sua cessazione, attraverso una piattaforma collegata al sistema di rilevazione delle presenze, accessibile a un numero elevato di responsabili aziendali.
L’Autorità ha inoltre richiamato l’attenzione sui rischi derivanti dall’utilizzo improprio dei sistemi di videosorveglianza nei luoghi di lavoro, con particolare riferimento agli esercizi commerciali di prossimità e alle piccole imprese. Con una comunicazione indirizzata al Presidente di Confcommercio–Imprese per l’Italia, il Garante ha avviato un’interlocuzione finalizzata a sensibilizzare gli associati e a prevenire pratiche non conformi alla normativa.
Nel corso del 2025 è stato inoltre registrato un riacutizzarsi del fenomeno dell’impiego di sistemi di videosorveglianza, soprattutto negli esercizi commerciali di piccole dimensioni, che consentono il monitoraggio costante e da remoto dei locali, anche durante l’orario di apertura, mediante applicazioni installate sui dispositivi mobili dei titolari. Tali modalità di utilizzo possono configurare forme di controllo a distanza dei lavoratori in violazione dello Statuto dei lavoratori, con effetti potenzialmente lesivi della libertà, della dignità e della riservatezza delle persone.
Sempre in ambito lavorativo, il Garante ha inviato un avvertimento a una start-up italiana che ha sviluppato un componente aggiuntivo (plug-in) per le piattaforme di messaggistica aziendale Slack e Teams, progettato per rilevare, tramite l’intelligenza artificiale e l’analisi semantica delle chat, il livello di stress psicologico dei lavoratori che decidano volontariamente di utilizzarlo per ricevere suggerimenti personalizzati.
Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, soprattutto nel settore energetico, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli utenti. Si tratta di uno dei campi di azione che hanno maggiormente impegnato l’Autorità nell’ultimo decennio, un fenomeno che ha spinto il Garante a promuovere un’ampia serie di iniziative a molteplici livelli (da quello normativo e regolamentare all’impegno nelle verifiche in loco). L’attenzione prioritaria si è concentrata sui diversi call center che operano sulla base di estese banche dati illecitamente acquisite o comunque formate in spregio alla disciplina di protezione dei dati.
Un capitolo di particolare rilievo ha riguardato il rapporto tra privacy e diritto di cronaca. In più occasioni il Garante è intervenuto per richiamare l’attenzione sulla necessità di un corretto bilanciamento tra il diritto all’informazione e la tutela della dignità e della riservatezza delle persone coinvolte, stigmatizzando l'eccesso di dettagli, nonché le derive di morbosità e spettacolarizzazione nella narrazione di vicende tragiche.
Le cifre
Nel 2025 sono stati adottati 807 provvedimenti collegiali.
L’Autorità ha fornito riscontro a 4.288 reclami e 145.846 segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati online delle pubbliche amministrazioni; la sanità; la giustizia, il cyberbullismo e il revenge porn, la sicurezza informatica; il settore bancario e finanziario; il lavoro.
I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 65 ed hanno riguardato la digitalizzazione della Pubblica amministrazione; la sanità; il fisco; la giustizia; l’istruzione; le funzioni di interesse pubblico.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 65, in notevole aumento rispetto alle 16 del 2024 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante. Delle 65 comunicazioni, 54 hanno riguardato la diffusione non consensuale di immagini o video sessualmente espliciti.
I provvedimenti correttivi e sanzionatori sono stati 506.
Le sanzioni riscosse ammontano ad oltre 37milioni di euro.
2.415 i data breach notificati all’Autorità, in aumento del 10% rispetto al 2024.
Nel settore pubblico, i 514 casi notificati hanno riguardato principalmente Comuni, istituzioni scolastiche e strutture sanitarie. Nel settore privato, i 1901 casi hanno interessato soprattutto piccole e medie imprese, professionisti e società operanti nei settori delle telecomunicazioni, dell’energia, delle banche e dei servizi. Nei casi di maggiore gravità, l’Autorità ha adottato provvedimenti sanzionatori.
Sono pervenute 854 segnalazioni relative alla diffusione o alla minaccia di diffusione non consensuale di materiale intimo, in aumento rispetto al 2024. La tipologia più ricorrente è stata quella della cosiddetta sextortion: i segnalanti hanno riferito di aver ricevuto da soggetti non identificati o non identificabili, minacce di diffusione del proprio materiale intimo qualora non avessero corrisposto somme di denaro o inviato ulteriori contenuti a carattere sessualmente esplicito.
Più contenuto è stato, invece, il numero dei casi riconducibili al cosiddetto revenge porn in senso stretto, nei quali il timore della diffusione del materiale intimo è legato a finalità ritorsive o vendicative da parte di un ex partner, generalmente a seguito della fine della relazione sentimentale.
Le ispezioni effettuate nel 2025 sono state 130, un numero sostanzialmente in linea con quello dell’anno precedente. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, hanno riguardato numerosi settori, sia pubblici sia privati. Le attività ispettive hanno riguardato, in particolare, il sistema SPID, l’impiego di tecnologie innovative – quali i dispositivi installati o sperimentati da alcuni Comuni per il monitoraggio dei flussi turistici –, il registro elettronico, le tecnologie di riconoscimento facciale, i sistemi di videosorveglianza e di controllo dei lavoratori, la ricerca scientifica e la gestione dei data breach. Gli accertamenti hanno interessato un amplissimo panorama di attività economiche e un altrettanto vasto insieme di enti pubblici nazionali e locali, confermando la trasversalità dei trattamenti di dati personali nei più diversi ambiti della vita economica e istituzionale.
Particolare attenzione è stata dedicata alle attività ispettive in loco condotte dalla cosiddetta task force interdipartimentale che opera ormai da più di un anno per svolgere gli accertamenti sul preoccupante fenomeno dell’illecita acquisizione di informazioni provenienti dalle più grandi e importanti banche dati pubbliche (anagrafe tributaria, banche dati dell’INPS, delle forze di polizia, ecc.).
Nel 2025 è proseguita l’attività di controllo e monitoraggio dei trattamenti su dati registrati nella sezione nazionale del Sistema di informazione Schengen (SIS).
Per quanto riguarda l’attività di relazione con il pubblico, si è dato riscontro a oltre 13.557 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal web; alla salute e alla ricerca; all’intelligenza artificiale.
In relazione alle iniziative di informazione e comunicazione istituzionale, nel 2025 l’Autorità ha diffuso 59 comunicati stampa, 11 newsletter, realizzato 3 campagne informative e prodotto 55 video informativi dedicati ai temi di maggiore interesse per il pubblico, diffusi sul sito istituzionale e sui social media. Nel corso dell’anno sono stati inoltre realizzati i vademecum “Social privacy - come tutelarsi nell’era dei social media” e “La scuola a prova di privacy”, con l’obiettivo di promuovere una maggiore consapevolezza sui temi della protezione dei dati personali.
L’attività internazionale
Particolarmente intensa l’attività internazionale del Garante, che nel corso del 2025 ha partecipato a 260 riunioni presso il Consiglio d’Europa, l’Ocse, la Global Privacy Assembly e il G7 delle autorità di protezione dei dati. Crescente anche l’impegno nelle iniziative dedicate ai temi dell'intelligenza artificiale.
L'Autorità ha contribuito ai lavori del Comitato europeo per la protezione dei dati (CEPD) sui principali profili applicativi dell’intelligenza artificiale, partecipando all’elaborazione di documenti dedicati al coordinamento tra il Regolamento generale sulla protezione dei dati (GDPR) e il Regolamento sull’IA, nonché alle osservazioni sulle proposte della Commissione europea volte a semplificare il quadro normativo in materia digitale.
Anche nel corso del 2025 il Garante ha assicurato il proprio contributo ai lavori del Committee on Artificial Intelligence (CAI) e dello Steering Committee on Democracy (CDDEM) del Consiglio d’Europa, nell’ambito del quale è stato presentato uno studio interdisciplinare dedicato all'impatto dell’intelligenza artificiale generativa sui processi democratici, con particolare riferimento al dibattito pubblico, alla disinformazione, alle elezioni e ai media.
L’Autorità ha inoltre partecipato ai lavori dell’OCSE in materia di governance dei dati, privacy e intelligenza artificiale, contribuendo ai gruppi di esperti e alle iniziative internazionali dedicate al tema. Tali attività hanno concorso alla pubblicazione del documento Artificial Intelligence Paper No. 48 – Mapping Relevant Data Collection Mechanisms for AI Training.
Il tema dell'intelligenza artificiale è stato infine al centro dei lavori del G7 delle Autorità per la protezione dei dati, svoltosi in Canada, che ha ribadito la necessità di rafforzare la cooperazione internazionale tra le Autorità di controllo per garantire una tutela efficace dei dati personali e dei diritti fondamentali nell’ecosistema digitale
Roma, 2 luglio 2026
Condividi