Bollettino Legale n. 92 – Febbraio 2026. 

 

Il subappaltatore, anello debole tra la fase di stallo e quella di attore strategico.

Il 9 febbraio, la CNIL ha presentato il suo rapporto 2025 relativo alle sanzioni e alle misure correttive: cookie, monitoraggio dei dipendenti e sicurezza dei dati sono i principali argomenti delle sanzioni imposte nel 2025, il cui importo complessivo delle multe ammonta a 486.839.500 euro.

Tra le sanzioni, un numero significativo di casi riguarda i subappaltatori per non aver rispettato gli obblighi relativi ai dati loro affidati.

La CNIL ci ricorda che il subappaltatore deve:

• Trattare i dati solo su istruzioni del responsabile del trattamento;
• Attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza sufficiente;
• E cancellare i dati al termine del rapporto contrattuale con il titolare del trattamento.

Il subappaltatore deve inoltre assistere il titolare del trattamento nell'attuazione di alcuni obblighi previsti dal regolamento: valutazione d'impatto sulla privacy, notifica delle violazioni dei dati, sicurezza, contributo alle verifiche.

Deve inoltre tenere un registro delle attività di trattamento e, in alcuni casi, nominare un responsabile della protezione dei dati.

L'articolo 28 del GDPR, che disciplina la stipula di un contratto specifico tra titolare e responsabile del trattamento, specifica le disposizioni obbligatorie che devono essere incluse nel contratto.

Ciò può basarsi, in tutto o in parte, su clausole contrattuali standard come quelle approvate dalla Commissione europea o da uno degli Stati membri dell'UE.

È consigliabile definire chiaramente in queste clausole le rispettive responsabilità dell'appaltatore e del subappaltatore. Tali dettagli potrebbero rivelarsi utili in caso di inadempimento da parte di una delle parti.

È opportuno ricordare che molte recenti violazioni di dati, che hanno interessato sia il settore pubblico che quello privato, sono state causate da una falla nella sicurezza da parte di un subappaltatore.

Spesso la causa è un errore umano, e più specificamente, il furto delle credenziali di un dipendente.

L'autenticazione a due fattori e l'utilizzo di password complesse rimangono metodi essenziali per proteggersi da tali attacchi, come abbiamo ribadito in un commento sulla recente sanzione "France travail" della CNIL.

I subappaltatori hanno effettivamente obblighi specifici in materia di sicurezza, riservatezza e documentazione.

Al fine di garantire un'efficace protezione dei dati, adeguata ai rischi, è necessario adottare tutte le misure utili fin dalla progettazione del servizio o del prodotto e per impostazione predefinita ("privacy by design & by default").

Inoltre, qualsiasi violazione dei dati deve essere notificata al titolare del trattamento entro i termini previsti dalla legge.

Infine, la cancellazione dei dati al termine del contratto non è solo un obbligo, ma anche il modo migliore per proteggersi dalle violazioni dei dati una volta concluso il rapporto contrattuale, come dimostra la multa di un milione di euro inflitta a fine dicembre dalla CNIL alla società Mobius Solutions.

L'azienda aveva conservato una copia dei dati di oltre 46 milioni di utenti Deezer anche dopo la scadenza del loro rapporto contrattuale, nonostante l'obbligo di eliminare tutti questi dati al termine del contratto, rendendo possibile una grave violazione dei dati.

 

Il 2 marzo la CNIL ha pubblicato una versione aggiornata delle sue tabelle sulla protezione dei dati. 

Queste tabelle raccolgono e organizzano la giurisprudenza e la prassi decisionale essenziali in materia di protezione dei dati personali a livello nazionale ed europeo.

Alla fine di febbraio, un servizio di France 2 ha segnalato una violazione di dati medici, e più specificamente l'attacco informatico al software "MonLogicielMedical" di Cegedim.

L'attacco ha permesso a un hacker di raccogliere i dati medici di 11-15 milioni di francesi, accessibili sul dark web.

La CNIL aveva già sanzionato la società nel settembre 2024 con una multa di 800.000 euro, in particolare per il trattamento non autorizzato di dati sanitari.

Il 18 febbraio 2026, la Direzione Generale delle Finanze Pubbliche (DGFiP) ha comunicato tramite un comunicato stampa di aver rilevato un accesso illegittimo al registro nazionale dei conti bancari (FICOBA), a seguito dell'usurpazione delle credenziali di un agente autorizzato.

L'hacker aveva ottenuto le credenziali dell'account prima dell'attacco informatico: il Ministero dell'Economia non aveva implementato l'autenticazione a due fattori.

I dati in questione si riferiscono a circa 1,2 milioni di conti e includono, in particolare, l'identità dei titolari dei conti, il loro indirizzo, la loro banca e il loro IBAN.

01net riporta la valutazione effettuata dalla società Surfshark in merito alle fughe di dati in Francia.

Entro il 2025, si prevede che 425,7 milioni di account saranno stati violati in tutto il mondo. Il Paese più colpito è senza dubbio gli Stati Uniti, con 34 milioni di violazioni di dati a livello globale. Al secondo posto si trova la Francia, seguita da India, Germania e Russia. Entro il 2025, gli utenti internet francesi avranno subito, in media, quasi una violazione di account al secondo.

La Francia si distingue anche per "una densità di violazioni 12 volte superiore alla media mondiale". Viene posta l'attenzione sulla mancanza di investimenti in sicurezza, sia da parte delle aziende che degli enti pubblici.

Anche i data broker, che setacciano il web per rivendere i dati personali così raccolti, rappresentano un obiettivo primario per gli hacker.

 

istituzioni e organismi europei

La proposta "Omnibus" della Commissione europea per semplificare il GDPR subisce una battuta d'arresto al Consiglio dell'UE.

In un documento datato 20 febbraio, il Consiglio intende ritirare la proposta di modifica della definizione di dati personali.

Inoltre, secondo Euractiv, il Consiglio intende anche respingere la proposta della Commissione di estendere i propri poteri, il che le consentirebbe di stabilire cosa si intenda per dati sufficientemente pseudonimizzati.

Il testo di compromesso, elaborato dalla Presidenza cipriota del Consiglio, servirà da base per i negoziati tra i governi nazionali.

Il Consiglio dovrebbe esaminare il testo il 27 febbraio.

L'11 febbraio, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) avevano già adottato un parere congiunto, atteso da tempo, sugli aspetti relativi alla protezione dei dati di questa proposta omnibus.

Nel loro comunicato stampa, gli enti regolatori insistono sul fatto che la semplificazione non deve avvenire a scapito della tutela delle persone.

Essi esortano i colegislatori a non adottare le modifiche proposte alla definizione di dati personali, poiché ne ridurrebbero significativamente la portata e sarebbero in contraddizione con la giurisprudenza della Corte di giustizia dell'Unione europea.

“Dobbiamo garantire che qualsiasi modifica al GDPR e al Regolamento generale sulla protezione dei dati (GDPR) europeo chiarisca effettivamente gli obblighi e offra certezza giuridica, preservando al contempo la fiducia e un elevato livello di protezione dei diritti e delle libertà individuali.”

Il parere congiunto sottolinea inoltre la necessità di un controllo chiaro da parte delle autorità di protezione dei dati in merito ai banner dei cookie e al riutilizzo dei dati del settore pubblico.

Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato una relazione sulla sua azione coordinata in merito all'applicazione del diritto all'oblio.

Questo diritto è uno dei più frequentemente esercitati.

Ciò ha dato origine a numerose lamentele e a un numero crescente di decisioni da parte delle autorità di protezione dei dati.

Il rapporto evidenzia sette sfide principali per le organizzazioni, tra cui la mancanza di procedure interne. Fornisce inoltre raccomandazioni pratiche per aiutare le organizzazioni ad affrontare queste sfide.

Il Comitato ha inoltre pubblicato una relazione sull'evento svoltosi il 12 dicembre 2025 in merito all'anonimizzazione e alla pseudonimizzazione.

Il rapporto riassume i commenti di circa cento partecipanti riuniti per discutere l'applicazione del GDPR a queste tecniche a seguito della sentenza della Corte di giustizia dell'Unione europea nel caso EDPS contro SRB.

Egli mette in luce le incertezze pratiche nel determinare quando i dati rimangono "identificabili", a seconda degli attori e dei contesti, e la questione dei "mezzi ragionevolmente probabili" da utilizzare per reidentificare una persona.

Il documento non fornisce linee guida definitive, ma individua le questioni chiave che orienteranno le future decisioni dell'EDPB in materia di anonimizzazione e pseudonimizzazione nell'ambito del suo programma di lavoro.

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il suo programma di lavoro per il biennio 2026-2027.

Lavorerà su diversi modelli volti a facilitare la conformità al GDPR: notifiche di violazione dei dati, valutazioni d'impatto sulla protezione dei dati, valutazione del legittimo interesse, registro dei trattamenti e informativa/politica sulla privacy.

Il 10 febbraio la Corte di giustizia ha stabilito, nel caso C-97/23 P | WhatsApp Irlanda contro Comitato europeo per la protezione dei dati, che il ricorso presentato da WhatsApp contro una decisione del Comitato europeo per la protezione dei dati (EDPB) era ammissibile.

Poiché la Corte di giustizia dell'Unione europea non ha ancora esaminato il merito della causa, la Corte annulla il provvedimento impugnato e rinvia il caso alla Corte stessa.

Il 17 febbraio, la Corte europea dei diritti dell'uomo si è pronunciata nel caso Alleanza Verde contro Bulgaria – 6580/22, stabilendo che le normative bulgare che autorizzano l'agenzia di sicurezza nazionale a utilizzare "agenti sotto copertura" violano l'articolo 8 della Convenzione europea dei diritti dell'uomo, in quanto consentono la sorveglianza occulta di organizzazioni senza adeguate garanzie o controlli.

 

Notizie dai paesi membri dell'Unione europea.

In Germania, secondo Heise.de e Table.Media, il Bundestag sta lavorando intensamente a una profonda ristrutturazione della sua architettura digitale. Il Parlamento vuole liberarsi dalla dipendenza tecnologica di aziende americane come Microsoft per poter agire con maggiore resilienza e, soprattutto, in modo indipendente da paesi terzi in tempi di crisi.

L'Autorità austriaca per la protezione dei dati (DPA) ha multato un titolare del trattamento dei dati di 1.500 euro per aver filmato illegalmente un marciapiede pubblico con una telecamera di videosorveglianza e aver pubblicato le immagini di un presunto ladro sui social media, violando così i principi di minimizzazione dei dati e di trasparenza, nonché le norme che regolano il trattamento dei dati giudiziari.

L'Autorità danese per la protezione dei dati (DPA) ha emesso un richiamo formale a 51 comuni e, al contempo, li ha avvertiti in merito all'utilizzo dei prodotti Google nelle scuole primarie e secondarie di primo grado. In particolare, ha riscontrato che i comuni non avevano dimostrato in modo adeguato di garantire un livello di protezione appropriato per i dati personali trattati al di fuori dell'UE.

L'Agenzia irlandese per la protezione dei dati (DPA) ha annunciato il 17 febbraio l'avvio di un'indagine sulla società di Elon Musk, X. L'indagine riguarda la creazione e la pubblicazione, sulla piattaforma X, di "immagini potenzialmente dannose, intime e/o sessualmente esplicite, senza consenso, contenenti o implicanti il trattamento di dati personali di soggetti interessati dell'UE/SEE, compresi i minori", utilizzando una funzionalità di intelligenza artificiale generativa associata al modello linguistico Grok. Diversi paesi hanno già deciso di vietare completamente il chatbot basato sull'IA di Elon Musk e la Commissione europea ha avviato un'indagine il 26 gennaio.

Nei Paesi Bassi, un tribunale ha stabilito che l'Autorità olandese per la protezione dei dati (APD) non aveva sufficientemente giustificato il rigetto di un reclamo contro un cinema che non accettava più pagamenti in contanti. Secondo il tribunale, l'APD non aveva valutato se l'obbligo di accettare pagamenti con carta perseguisse un obiettivo sufficientemente concreto e giustificato ai sensi del GDPR.

In Slovacchia, la Corte costituzionale ha invalidato una legge che obbligava le ONG a pubblicare i dati relativi ai propri sostenitori, ritenendo che violasse la privacy, l'autodeterminazione informativa e la libertà di associazione, oltre a imporre oneri eccessivi.

 

L'autorità britannica per la protezione dei dati (ICO) ha multato Reddit di 14,47 milioni di sterline (circa 16,6 milioni di euro) per non aver rispettato gli obblighi relativi alla privacy dei dati dei minori.

L'ICO ritiene che la verifica dell'età da parte di Reddit sia insufficiente e che, pertanto, la piattaforma "non avesse una base giuridica per il trattamento dei dati personali dei minori di 13 anni".

Inoltre, Reddit "non ha condotto una valutazione d'impatto sulla protezione dei dati (DPIA) per valutare e mitigare i rischi per i minori prima del gennaio 2025".

Il 5 febbraio l'ICO ha inoltre annunciato una multa di 247.590 sterline a carico di MediaLab.AI, Inc., la società che gestisce la piattaforma di condivisione di immagini Imgur.

MediaLab consentiva ai bambini di utilizzare Imgur senza implementare le misure di sicurezza di base richieste dalla legislazione britannica in materia di protezione dei dati.

Nel febbraio 2026, l'India ha deciso di estendere l'utilizzo di Aadhaar, il più grande sistema di identità digitale al mondo, alla privacy quotidiana attraverso una nuova applicazione e un sistema di verifica offline.

Le modifiche dovrebbero consentire agli individui di dimostrare la propria identità senza verifica in tempo reale nel database, integrando servizi di verifica privati come Google Wallet e Apple Wallet.

Una campagna della società civile sostiene che il sistema di verifica offline rischia di reintrodurre l'utilizzo di Aadhaar da parte del settore privato, pratica già condannata dalla Corte Suprema. 

Il sistema consente inoltre agli stati indiani e alla polizia di collegare al numero Aadhaar ogni sorta di informazione personale: coordinate GPS, numeri di telefono, social network, tessera elettorale, passaporto, prestiti, sussidi sociali, a volte persino i nomi dei parenti o persino i nomi dei partner su alcuni moduli della polizia.

Secondo un articolo della CNBC del 19 febbraio, Accenture lega le promozioni dei suoi dirigenti senior all'utilizzo regolare dei suoi strumenti di intelligenza artificiale.

Secondo quanto riferito, ai direttori associati e ai dirigenti senior sarebbe stato comunicato che l'uso "regolare" dell'intelligenza artificiale sarebbe stato un requisito necessario per accedere alle posizioni di leadership.

La strategia di intelligenza artificiale dell'azienda "richiede l'adozione degli strumenti e delle tecnologie più recenti al fine di servire i nostri clienti nel modo più efficiente possibile", ha dichiarato un portavoce a CNBC.

L'11 febbraio 2026, il Procuratore Generale della California ha annunciato un accordo record di 2,75 milioni di dollari con la Walt Disney Company. al fine di risolvere le accuse secondo cui la società non avrebbe rispettato adeguatamente le obiezioni dei consumatori al trattamento dei loro dati, ai sensi del California Consumer Privacy Act.

In un articolo del 13 febbraio, il New York Times riporta che Meta, la società madre di Facebook, prevede di aggiungere la funzionalità di riconoscimento facciale ai suoi occhiali intelligenti, prodotti in collaborazione con il proprietario di Ray-Ban e Oakley, già a partire da quest'anno.

Questa funzionalità, denominata internamente "Name Tag", consentirebbe agli utenti di occhiali intelligenti di identificare le persone e ottenere informazioni su di esse tramite l'assistente di intelligenza artificiale di Meta. In una nota interna pubblicata lo scorso anno, Meta avrebbe affermato che i disordini politici negli Stati Uniti avrebbero distolto l'attenzione dalle critiche al rilascio di questa funzionalità.

Il 23 febbraio 2026, 61 autorità per la protezione dei dati hanno pubblicato una dichiarazione congiunta sulle immagini generate dall'intelligenza artificiale.

Questa dichiarazione congiunta affronta le preoccupazioni relative ai sistemi di intelligenza artificiale in grado di generare immagini e video realistici raffiguranti individui identificabili senza la loro conoscenza o il loro consenso.

Il 19 febbraio 2026, l'Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha pubblicato nuove linee guida per aiutare le organizzazioni ad attuare le Linee guida dell'OCSE per le imprese multinazionali e i Principi dell'OCSE sull'intelligenza artificiale.

Queste linee guida hanno lo scopo di aiutare le organizzazioni a gestire i rischi legati all'intelligenza artificiale e a conformarsi agli standard internazionali per una condotta aziendale responsabile.

Lo sviluppo di agenti di intelligenza artificiale, pur essendo destinato a facilitare numerose attività amministrative, solleva anche seri interrogativi in materia di sicurezza.

OpenClaw, l'ultimo arrivato, è un progetto open source incentrato su un agente di intelligenza artificiale autonomo in grado di pilotare un computer al posto dell'utente.

Acquisita di recente da OpenAI, OpenClaw è ora bersaglio di gravi attacchi alla sicurezza.

In poche settimane, oltre 30.000 istanze di OpenClaw sono state compromesse da criminali informatici, che hanno utilizzato script falsi per installare virus e malware in grado di registrare tutto ciò che veniva digitato sulla tastiera dei computer Windows. 

“Sempre più leader di startup stanno vietando gli agenti autonomi sui dispositivi aziendali, temendo fughe di dati riservati. Gli esperti di sicurezza esprimono serie preoccupazioni per la mancanza di audit, prospettiva, garanzie reali e trasparenza che circondano l'IA, mentre un numero crescente di dipendenti la sta già integrando nelle proprie attività quotidiane alla ricerca di una maggiore produttività.”

Questi avvertimenti sono stati diffusi il 12 febbraio dall'Autorità olandese per la protezione dei dati (APD), che mette in guardia utenti e organizzazioni dall'utilizzare OpenClaw e sistemi sperimentali simili a causa di gravi vulnerabilità di sicurezza.

Il 5 febbraio, l'Associazione internazionale dei professionisti della privacy (IAPP) ha pubblicato una versione aggiornata del suo elenco globale di leggi sulla privacy e autorità di protezione dei dati.

L'IAPP osserva che i regimi di protezione dei dati continuano a svilupparsi e a maturare in tutto il mondo. "Negli ultimi 12 mesi, l'India ha introdotto nuove norme di attuazione per implementare la legge sulla protezione dei dati personali digitali, il Bangladesh e il Gambia hanno adottato o stanno valutando l'adozione di nuove leggi complete, e altri paesi, tra cui Ecuador e Indonesia, hanno creato nuove agenzie per interpretare e far rispettare le leggi sulla privacy esistenti."