Bollettino Legale n. 85 – Luglio 2025. 

 

Conformità al GDPR: quali sono i vantaggi economici?

Studi condotti dall'Associazione per la Formazione Professionale degli Adulti (AFPA) e dalla CNIL confermano ormai i benefici economici legati alla presenza di un responsabile della protezione dei dati (DPO) all'interno delle aziende.

L'indagine statistica condotta dall'AFPE nel gennaio 2024, basata su oltre 3600 risposte di responsabili della protezione dei dati (DPO), è stata integrata da interviste approfondite realizzate dalla CNIL con dieci DPO proposti dall'Associazione francese dei corrispondenti per la protezione dei dati (AFCDP).

I risultati di queste analisi, presentati dalla CNIL alla fine di luglio, individuano quattro principali vantaggi per le aziende che si affidano a un DPO: competitività, prevenzione delle sanzioni, prevenzione delle fughe di dati e razionalizzazione della gestione dei dati.

Questi vantaggi sono percepiti da aziende di tutte le dimensioni, e in particolare nei settori "Ricerca, IT e consulenza" e "Bancario, assicurativo e mutualistico".

• In termini di competitività, la conformità al GDPR si configura quindi come una leva per aggiudicarsi appalti, soprattutto quando questi riguardano i dati.

In questo contesto, il DPO si configura come un punto di contatto chiave per gli acquirenti.

• Sebbene il DPO contribuisca a limitare i rischi di sanzioni, i suoi benefici si estendono non solo all'ammontare delle multe, ma anche agli aspetti reputazionali.

Oltre all'impatto sui ricavi aziendali, le sanzioni possono anche influenzare il rating finanziario delle aziende e, di conseguenza, la loro capacità di ottenere finanziamenti.

• In termini di sicurezza, il DPO, insieme al Chief Information Security Officer (CISO), svolge un ruolo centrale nell'aumentare la consapevolezza del personale e nell'implementare le politiche interne di protezione dei dati e di gestione degli incidenti.

A questo proposito, la CNIL sottolinea che il costo medio di una violazione dei dati è di 5 milioni di dollari, secondo uno studio IBM del 2024.

• Infine, la razionalizzazione della gestione dei dati ci consente di risparmiare sui costi dei server, potenzialmente diverse centinaia di migliaia di euro, e di migliorare l'efficienza del processo decisionale.

A questo proposito, uno studio del 2023 di Annual Reviews sugli aspetti economici della privacy digitale ha anche rilevato che "una quantità eccessiva di dati può ridurre il potere di mercato di un'azienda".

La relazione della CNIL tiene conto di come il titolare del trattamento percepisce le normative. 

Quanto più il responsabile della protezione dei dati (DPO) e l'azienda sono convinti dei vantaggi derivanti dal rispetto del GDPR e ne integrano i principi nei processi interni, tanto più si percepiscono gli effetti positivi, a differenza delle aziende che percepiscono la conformità come un vincolo.

Si instaurerebbe quindi un circolo virtuoso di motivazione e benefici, qualora si tenessero in considerazione i principi della regolamentazione.

Lo studio condotto in Francia non è l'unico ad aver individuato i benefici economici della regolamentazione dei dati. 

Ulteriori aspetti vengono inoltre evidenziati, ad esempio dal Comitato europeo per la protezione dei dati (EDPB), che sottolinea la fiducia che l'attuazione di una politica di protezione dei dati visibile genera tra gli individui, al di là del contesto dei bandi di gara.

All'inizio di quest'anno, l'OCSE ha anche pubblicato un'analisi dei flussi internazionali di dati, nella quale ha affermato che "i regimi che prevedono garanzie trovano un equilibrio tra i costi commerciali associati alla regolamentazione dei dati e i benefici in termini di fiducia forniti dalle garanzie sui dati".

In un contesto in cui il furto di dati si sta intensificando e lo sviluppo dell'intelligenza artificiale solleva un numero crescente di questioni etiche, conquistare – e mantenere – la fiducia degli individui rappresenta un vantaggio significativo agli occhi del pubblico.

 

        

Con decisione dell'8 agosto 2025, il Consiglio costituzionale ha dichiarato incostituzionale la prassi, adottata dalla CNIL a causa della sua struttura ristretta, di non notificare il diritto al silenzio alle persone che intende ascoltare durante le udienze o le richieste di audizioni.

Questa decisione si fonda sul diritto a non autoincriminarsi, sancito dall'articolo 9 della Dichiarazione dei diritti dell'uomo e del cittadino.

Al fine di porre fine a tale incostituzionalità a partire dalla data di pubblicazione della sua decisione, il Consiglio costituzionale ha stabilito che, fino all'entrata in vigore di una nuova legge o fino alla data di abrogazione delle disposizioni contestate, la persona interessata dinanzi alla struttura soggetta a restrizioni debba essere informata del suo diritto al silenzio.

A seguito della decisione della Corte di giustizia dell'Unione europea (CGUE), il Consiglio di Stato (CE) ha pubblicato il 31 luglio la sua decisione nel caso Mousse, che prende il nome dall'associazione che ha presentato il ricorso contro la SNCF.

Ritiene che SNCF Connect "non possa obbligare i propri clienti a comunicare la propria educazione".

Questo trattamento dei dati non è conforme al GDPR, che richiede la raccolta solo dei dati personali strettamente necessari.

La Commissione europea ritiene che la raccolta di informazioni sulle buone maniere non sia essenziale per la vendita dei biglietti o per i controlli di identità durante il viaggio e che debba essere facoltativa, fatta eccezione per alcuni servizi, come gli scompartimenti letto riservati alle donne single.

Pertanto, annulla la decisione della CNIL del 23 marzo 2021, che dovrà riesaminare il reclamo dell'associazione Mousse.

Il 6 agosto 2025, Bouygues Telecom ha confermato di aver subito un'intrusione informatica che ha permesso ai criminali informatici di accedere ai dati personali di oltre sei milioni di clienti.

Le password e i numeri delle carte di credito non sono stati compromessi, ma gli hacker hanno avuto accesso a numerose informazioni, tra cui nomi, indirizzi postali ed e-mail, data di nascita, numero di contratto e IBAN. 

A metà luglio, France Travail ha subito un'altra violazione dei dati personali, che ha interessato 340.000 fascicoli di persone in cerca di lavoro, inclusi dati identificativi, indirizzo, data di nascita e numero di telefono. Di fronte al crescente numero di violazioni dei dati, la CNIL (Autorità francese per la protezione dei dati) ha aggiornato le proprie raccomandazioni ai singoli individui.

 

istituzioni e organismi europei

Il 7 agosto la Commissione europea ha pubblicato il suo codice di buone pratiche per le aziende che gestiscono sistemi di intelligenza artificiale di uso generale (GPAI).

Questo documento è stato redatto in collaborazione con l'industria e la società civile e ha lo scopo di agevolare la conformità alla normativa sull'intelligenza artificiale.

L'elenco completo dei firmatari comprende 26 aziende, tra cui Amazon, Anthropic, Google, Microsoft, Mistral e OpenAI.

xAI, l'azienda di Elon Musk, ha firmato solo la parte del codice dedicata alle questioni di sicurezza. Pertanto, xAI dovrà dimostrare la propria conformità agli obblighi di trasparenza e di diritto d'autore previsti dalla normativa attraverso mezzi alternativi adeguati.

Avendo recentemente assunto la presidenza del Consiglio dell'Unione europea, la Danimarca si trova in una posizione privilegiata per influenzare le politiche dell'UE nei prossimi sei mesi.

Il 4 luglio, un documento informale del governo danese ha menzionato l'intenzione di proporre una revisione mirata del GDPR e della direttiva ePrivacy al fine di ridurre gli oneri di conformità per le imprese e garantirne la competitività.

Nei prossimi mesi la Commissione europea dovrebbe inoltre pubblicare una valutazione della qualità della legislazione digitale dell'UE, nonché un pacchetto omnibus sul digitale.

La revisione del GDPR non sembra essere scontata, stando a quanto emerge dal riassunto del "dialogo sull'attuazione" organizzato dalla Commissione a metà luglio e le cui conclusioni sono state pubblicate all'inizio di agosto.

Il settore privato ha indicato di aver "investito nella conformità e che una riapertura generale potrebbe creare incertezza, in particolare nel contesto dei trasferimenti internazionali di dati".

In una causa riguardante il trasporto pubblico svedese, l'Avvocato generale della Corte di giustizia dell'Unione europea ha chiarito il 1° agosto la portata degli articoli 13 e 14 del GDPR in merito alle informazioni degli interessati.

Il caso specifico riguardava la raccolta di immagini da parte delle telecamere di bordo dei controllori.

L'Avvocato Generale ritiene che l'articolo 13 si applichi ogniqualvolta l'interessato sia la fonte dei dati ("raccolti dall'interessato"), indipendentemente dal coinvolgimento di quest'ultimo nella raccolta dei dati e dal momento in cui non vi è alcun intermediario tra l'interessato e il titolare del trattamento.

L'articolo 14 si applica ogniqualvolta i dati vengono raccolti da una fonte diversa dall'interessato.

Pertanto, in caso di raccolta di immagini da parte di telecamere di bordo, l'obbligo di informare gli interessati deve essere immediato e non beneficia delle esenzioni di cui all'art. 14.

Il 28 luglio, il Garante europeo della protezione dei dati (EDPS) ha concluso positivamente la sua indagine sull'utilizzo di Microsoft 365 da parte della Commissione europea.

In una dichiarazione, la Commissione rileva il significativo miglioramento nella conformità alla protezione dei dati nell'utilizzo di Microsoft 365 e riconosce e apprezza inoltre "gli sforzi di Microsoft per conformarsi ai requisiti della Commissione derivanti dalla decisione del Garante europeo della protezione dei dati del marzo 2024".

Il rapporto dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA), pubblicato il 26 giugno, fornisce orientamenti tecnici a supporto dell'attuazione della direttiva NIS2 per diverse tipologie di soggetti operanti nei settori delle infrastrutture digitali NIS2, della gestione dei servizi ICT e dei fornitori di servizi digitali.

Esso raccoglie un inventario degli standard e dei quadri normativi europei e internazionali pertinenti (ISO 27001, NIST, ETSI o CEN).

 

Notizie dai paesi membri dell'Unione europea.

In Germania, il tribunale di Düsseldorf ha riconosciuto un risarcimento di 200 euro a un individuo per danni non patrimoniali a seguito di una violazione dei dati causata dal mancato rispetto da parte del titolare del trattamento dell'obbligo di cancellare i dati personali trattati dal suo subappaltatore entro i termini di legge.

Facendo eco al caso Mousse menzionato in precedenza, il tribunale di Francoforte ha stabilito che la compagnia ferroviaria nazionale tedesca aveva richiesto illegalmente ai propri clienti di fornire il proprio indirizzo email o numero di cellulare per l'acquisto dei biglietti.

Egli riteneva che ciò non fosse necessario per l'esecuzione del contratto e che il consenso dato non fosse sincero e libero.

L'Autorità croata per la protezione dei dati (APD) ha multato una società di servizi pubblici per 320.000 euro per non aver implementato le misure di sicurezza richieste nell'emissione di nuove password ai propri utenti e per non aver collaborato con l'autorità stessa.

L'Agenzia spagnola per la protezione dei dati (APD) ha multato di 96.000 euro una società che gestisce centri sportivi per aver implementato sistemi obbligatori di riconoscimento facciale per l'ingresso e l'uscita dalle strutture senza informare preventivamente i soci né ottenere il loro consenso.

Anche in Spagna, l'APD ha multato un fornitore di energia per 1.380.000 euro per aver assegnato per errore un contratto di fornitura di gas al cliente sbagliato e aver addebitato a quest'ultimo delle tariffe, in violazione dei principi di accuratezza dei dati e sicurezza del trattamento.

La Corte Suprema irlandese ha stabilito che le richieste di risarcimento per danni morali derivanti da angoscia, sconvolgimento o ansia possono rientrare direttamente nell'ambito di applicazione del GDPR e che le disposizioni nazionali che richiedono l'autorizzazione di un organismo indipendente prima di poter richiedere un risarcimento per lesioni personali non sono applicabili.

Il 22 luglio l'Autorità garante della concorrenza e del mercato ha avviato un'indagine su Meta Platforms in merito all'integrazione di servizi di intelligenza artificiale in WhatsApp senza il consenso degli utenti.

A titolo di promemoria, il 23 maggio 2025, la Corte d'appello di Colonia ha respinto un'ingiunzione contro Meta relativa all'addestramento della sua intelligenza artificiale.

La Corte aveva ritenuto che la combinazione di dati anonimizzati provenienti da Facebook e Instagram in un set di dati di addestramento non costituisse una "fusione" illecita di dati ai sensi dell'articolo 5, paragrafo 2, del Regolamento sui mercati digitali (DMA).

L'Autorità lituana per la protezione dei dati (DPA) ha ritenuto, in un caso che coinvolgeva due vicini, che la raccolta occasionale di dati personali tramite un drone, allo scopo di raccogliere prove per un procedimento legale, rientrasse nell'esenzione nazionale prevista dal GDPR.

L'APD indica di aver fatto riferimento alle linee guida del 2020 dell'EDPB su questo punto.

In Polonia, il Tribunale amministrativo federale si è schierato dalla parte del difensore civico e ha stabilito che la legislazione polacca che impone a giudici e pubblici ministeri di rivelare la propria affiliazione a organizzazioni religiose, sindacali e politiche è incompatibile con i loro diritti sanciti dalla Carta dei diritti fondamentali dell'UE e dalla Convenzione europea dei diritti dell'uomo.

Anche in Polonia, McDonald's Polska Sp. zoo è stata multata di 3.955.000 euro per non aver rispettato i principi generali in materia di trattamento dei dati, in particolare per aver adottato misure inadeguate a protezione dei dati personali.

 

Nel Regno Unito, il governo potrebbe, sotto pressione degli Stati Uniti, abbandonare il provvedimento che prende di mira la funzionalità avanzata di protezione dei dati di Apple.

La richiesta del Ministero dell'Interno è stata presentata ai sensi dell'Investigative Powers Act (IPA), che autorizza il governo del Regno Unito "a emettere ordini segreti che impongono ai fornitori di aggirare la crittografia inserendo delle backdoor nei loro prodotti software".

Secondo Ars Technica, funzionari statunitensi, tra cui il vicepresidente JD Vance, stanno facendo pressione sul Regno Unito affinché revochi la sua decisione. "Questa è una questione che infastidisce molto il vicepresidente e che deve essere risolta", avrebbe dichiarato un funzionario del ministero britannico.

WeTransfer, utilizzato da molti professionisti e privati per la condivisione di documenti, ha modificato i suoi termini e condizioni a metà luglio: l'azienda aveva infatti annunciato che a partire da agosto avrebbe utilizzato il contenuto dei dati dei suoi utenti per addestrare il proprio sistema di intelligenza artificiale.

A seguito delle reazioni suscitate da queste informazioni e dei dubbi sollevati in merito alla riservatezza dei dati, la società avrebbe fatto marcia indietro nei giorni successivi.

L'utilizzo di ChatGPT può portare alla divulgazione di dati all'insaputa degli utenti: è quanto rivela un articolo di Digital Digging del 31 luglio.

L'indagine riporta che 512 conversazioni di ChatGPT sono state rese pubbliche tramite ricerche mirate per parole chiave, rivelando informazioni compromettenti e dati riservati.

Grazie alla funzione "condividi", gli utenti hanno inconsapevolmente reso pubbliche le proprie interazioni con ChatGPT, consentendone l'indicizzazione da parte dei motori di ricerca.

Le conversazioni condivise avrebbero riguardato casi di insider trading, informazioni finanziarie dettagliate sulle aziende, confessioni di frode e prove di violazioni normative, il tutto conservato in archivi pubblici permanentemente accessibili.

In India, l'impatto della geopolitica sulla tecnologia digitale Secondo quanto riportato dall'IAPP, alla fine di luglio Nayara Energy, la terza raffineria più grande dell'India con 6.000 stazioni di servizio, si è vista negare l'accesso ai propri dati da Microsoft senza preavviso, nonostante avesse pagato interamente le licenze.

Rosneft, società russa, detiene una partecipazione del 49,13% in Nayara Energy. Si ritiene che questa mossa sia una conseguenza delle sanzioni imposte alla Russia nel contesto della guerra in Ucraina.

Un altro episodio riguarda la revoca dell'autorizzazione al servizio concessa dal Centro nazionale indiano per la promozione e l'autorizzazione spaziale a due satelliti della Asia Satellite Telecommunications Company dopo il 31 marzo 2026.

L'azionista principale di AsiaSat è un'entità di proprietà del governo cinese.

Questa decisione avrà ripercussioni su alcune delle più grandi emittenti di intrattenimento indiane, come Zee e Jiostar, che ora dovranno cercare delle alternative.

Questi eventi ricordano il blocco, avvenuto la scorsa primavera, dell'account di posta elettronica del Procuratore Generale della Corte Penale Internazionale (CPI) da parte di Microsoft.

Questo blocco è stato una diretta conseguenza delle misure adottate dal presidente statunitense Donald Trump contro la Corte dell'Aia a febbraio, dopo che un collegio di giudici della CPI aveva emesso mandati di arresto contro il primo ministro israeliano Benjamin Netanyahu e il suo ex ministro della Difesa Yoav Gallant per crimini di guerra nella Striscia di Gaza.

Il numero di agosto del PL&B International Report include un articolo di Maria Tzanou, docente di diritto presso l'Università britannica di Sheffield e responsabile del progetto di sorveglianza FemTech.

La studiosa solleva interrogativi sulla sorveglianza delle donne attraverso prodotti e servizi come le app per il monitoraggio della fertilità e del ciclo mestruale, affermando che si tratta di "pratiche di raccolta dati problematiche e spesso illegali".