10 anni di GDPR: l’evoluzione della privacy

La mancata collaborazione con l’autorità di controllo espone a sanzione amministrativa fino a 20 milioni di euro, ma sull’importo le norme UE e quelle italiane sono disallineate. È indispensabile trovare un bilanciamento tra dovere di cooperare e diritto a non autoaccusarsi.

La comunicazione di dati dei dipendenti ai sindacati deve avere una base giuridica. Il contratto collettivo non è sempre sufficiente, occorrono indirizzi precisi per evitare alle imprese l’esposizione alla doppia alea dell’imputazione di condotte antisindacali (per scarsa trasparenza) e quella di lesione della privacy dei dipendenti (per eccessiva trasparenza).

Il D.Lgs. 96/2026 limita la conoscibilità dei livelli retributivi dei singoli lavoratori. La tutela della privacy (del lavoratore con il salario parametro di confronto) contrasta con il diritto di difesa del lavoratore, in ipotesi sfavorito, interessato a portare prove piene in giudizio. Il bilanciamento tra le 2 esigenze è precario.

Il mantenimento della casella di posta in uso al dipendente per l’esercizio di un diritto va motivato in maniera specifica nei singoli casi. In generale, per minimizzare i rischi di violazione della privacy del lavoratore è opportuno considerare che la posta elettronica è equiparabile a una buca delle lettere e non a un dossier di archiviazione.

Dal cd. Decreto Sicurezza 2026 (DL 23/2026) arriva una forte spinta ad adottare sistemi di accertamento del requisito anagrafico eventualmente richiesto per accedere ai servizi digitali: in caso di violazioni si rischia il raddoppio delle sanzioni. Necessarie, ora, linee guida dettagliate di ausilio all’accountability delle imprese.

L’assenza di diretti elementi identificativi nei dati trattati esonera, a certe condizioni, dall’applicazione del GDPR, creando spazi di manovra per le imprese, con una minore esposizione a sanzioni. Aumenta, però, il rischio di affievolire le tutele per gli interessati, sempre più identificabili usando l’AI.

Il legittimo interesse di un’azienda a trattare dati personali, senza necessità del preventivo consenso dell’interessato, deve essere messo nero su bianco attraverso una LIA (Legitimate Interest Assessment, valutazione del legittimo interesse) altrimenti l’attività è illecita e sanzionabile. Per mettersi in regola è utile consultare i provvedimenti del Garante della Privacy ante GDPR.

Il D.Lgs. 47/2026 impone alle società quotate di descrivere nelle relazioni di gestione le policy su nuove tecnologie, IA e sicurezza. I nuovi obblighi di trasparenza sospingono azioni di conformità alle norme sulla protezione dei dati. I principi sono validi per gli enti pubblici e privati.