Bollettino Legale n. 89 – Novembre 2025. 

 

Semplificazione delle norme digitali europee: cosa possiamo aspettarci?

Fino a che punto si spingerà la Commissione europea nel suo desiderio di semplificare il quadro legislativo europeo?

Dalla pubblicazione del rapporto Draghi nel settembre 2024, e in un contesto economico internazionale turbolento, l'esecutivo europeo ha moltiplicato le misure a favore dell'industria.

La recente pubblicazione del pacchetto "Digital Omnibus" mira a rassicurare il settore privato in merito ai vincoli legali nel settore digitale, con grande disappunto della società civile, che teme un'erosione senza precedenti dei diritti fondamentali.

Il 19 novembre la Commissione ha pubblicato ufficialmente due proposte, la "Patto globale digitale" e la "Patto globale digitale sull'IA", e ha avviato una valutazione delle competenze digitali.

La proposta relativa alle tecnologie digitali introduce modifiche sia al GDPR che al regolamento sull'intelligenza artificiale, nonché alla direttiva ePrivacy. Il testo è denso; ecco alcuni punti chiave.

• • Per quanto riguarda la direttiva ePrivacy,

La Commissione propone, in particolare, modifiche alla politica sui cookie. L'obiettivo è ridurre il numero di volte in cui vengono visualizzati i banner e consentire agli utenti di dare il proprio consenso con un solo clic e di salvare le proprie preferenze tramite le impostazioni centralizzate dei propri browser e sistemi operativi. Questa disposizione è tra le meno contestate.

Il testo prevede inoltre un'interfaccia di segnalazione unificata che consenta alle aziende di adempiere a tutti i propri obblighi di notifica degli incidenti tramite un unico portale sicuro, con l'obiettivo di semplificare gli obblighi contrastanti della direttiva NIS2, del GDPR e del regolamento sulla resilienza operativa digitale.

È previsto un allentamento degli obblighi legali per le PMI e le piccole e medie imprese in materia di documentazione, sanzioni e norme relative al passaggio al cloud.

• • Per quanto riguarda il GDPR,

La proposta restringe la definizione di dati personali introducendo un approccio soggettivo all'identificabilità dei dati, che potrebbe escludere dall'ambito di applicazione del regolamento alcuni dati pseudonimi o numeri di identificazione.

La definizione di dati sensibili verrebbe modificata per riguardare solo quelli che rivelano "direttamente" informazioni riguardanti la salute, l'origine razziale, ecc., correndo il rischio di escludere quelli che potrebbero essere dedotti da un algoritmo, ad esempio.

La proposta mira inoltre a limitare il diritto degli individui di richiedere l'accesso ai propri dati solo per "finalità di protezione dei dati".

Una nuova definizione di "ricerca scientifica" potrebbe inoltre portare a esenzioni di vasta portata dal GDPR a vantaggio del settore privato: "qualsiasi ricerca suscettibile di supportare l'innovazione, come lo sviluppo e la dimostrazione tecnologica" potrebbe quindi essere esentata dagli obblighi di informazione e di limitazione delle finalità.

La proposta include modifiche che facilitano il processo decisionale automatizzato e consentono l'utilizzo dei dati personali per addestrare e gestire sistemi di intelligenza artificiale sulla base di un interesse legittimo.

Il testo prevede anche un periodo transitorio di sei mesi per l'articolo 50(2) del regolamento sull'IA (obblighi di trasparenza).

Il pacchetto omnibus digitale rimane aperto ai commenti per un periodo di otto settimane, prorogato giornalmente fino a quando la proposta non sarà disponibile in tutte le lingue dell'UE, attualmente fino al 29 gennaio 2026.

La proposta seguirà quindi l'iter legislativo ordinario dell'UE presso il Parlamento europeo e il Consiglio, dove sarà certamente oggetto di un acceso dibattito.

Per quanto riguarda nello specifico il GDPR, alcuni paesi si sono detti disponibili a rivedere le proposte della Commissione, mentre altri, tra cui Slovenia, Estonia e Austria, hanno già indicato che, a loro avviso, il GDPR "non richiede ulteriori modifiche in questo momento".

Il processo includerà anche i pareri del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati, due posizioni che, sebbene non vincolanti, dovrebbero influenzare le discussioni successive.

 

Dopo un primo rapporto che valutava la disponibilità dei francesi a pagare per servizi online senza pubblicità mirata, la CNIL ha pubblicato il 17 novembre una seconda parte riguardante l'atteggiamento dei francesi nei confronti della monetizzazione dei loro dati.

Il 65% degli intervistati (%) ha indicato di essere disposto a vendere i propri dati. La valutazione più frequente è risultata compresa tra 10 e 30 euro al mese, preferita dal 28% di questi intervistati (%).

D'altro canto, il 35% degli individui non desidera vendere i propri dati, a nessun prezzo, esprimendo un rifiuto di principio della monetizzazione dei dati personali.

A questo proposito, la CNIL sottolinea che, sebbene sia possibile trasferire il diritto d'uso dei propri dati, "una pratica di 'monetizzazione' dei dati personali, intesa come trasferimento dei diritti di proprietà sugli stessi, non è possibile nell'attuale quadro giuridico, poiché non è possibile rinunciare ai propri diritti sui dati".

Il 20 novembre 2025, la CNIL ha multato la casa editrice francese Condé Nast per 750.000 euro per non aver rispettato le normative vigenti in materia di cookie installati sui terminali degli utenti che visitano il sito web "vanityfair.fr".

La società aveva già ricevuto una diffida formale a seguito di una denuncia presentata dall'associazione Noyb nel 2019, ma non si era conformata.

La sanzione tiene conto della mancata risposta dell'azienda, del numero di persone coinvolte e delle varie carenze: mancata acquisizione del consenso, mancata informazione degli utenti e malfunzionamento dei meccanismi per rifiutare e revocare il consenso.

Il 27 novembre 2025, la CNIL ha inoltre inflitto una sanzione di 1,5 milioni di euro alla società American Express Carte France per la mancata osservanza delle normative vigenti in materia di cookie.

Il 26 novembre, l'ANSSI ha pubblicato un rapporto sullo stato della minaccia per i telefoni cellulari.

Il rapporto evidenzia lo sfruttamento, da parte degli aggressori, di vulnerabilità che possono colpire reti, sistemi operativi o applicazioni, e identifica una minaccia specifica: le operazioni di spionaggio e sorveglianza condotte da attori statali.

Anche i telefoni cellulari rappresentano un obiettivo primario per i criminali informatici, che, compromettendoli, riescono a rubare denaro alle loro vittime.

I telefoni cellulari vengono inoltre utilizzati impropriamente per attività di sorveglianza privata o operazioni di destabilizzazione.

Il rapporto fornisce anche raccomandazioni di sicurezza per gli utenti.

Tra queste precauzioni figurano spegnere e riaccendere regolarmente il telefono senza utilizzare la funzione di riavvio, evitare di cliccare su link o aprire file in messaggi non richiesti, prestare attenzione quando si aprono link trasmessi tramite codici QR, applicare gli aggiornamenti del sistema operativo, disattivare le interfacce Wi-Fi e Bluetooth quando non in uso ed evitare di connettersi a reti Wi-Fi pubbliche.

 

istituzioni e organismi europei

Il 26 novembre, i rappresentanti degli Stati membri dell'UE hanno raggiunto un accordo sulla posizione del Consiglio in merito al regolamento volto a prevenire e combattere gli abusi sessuali sui minori.

Il testo si propone di imporre alle aziende del settore digitale l'obbligo di prevenire la diffusione di materiale pedopornografico e il reclutamento di minori.

Le autorità nazionali competenti avranno il potere di obbligare le aziende a rimuovere e bloccare l'accesso a determinati contenuti o, nel caso dei motori di ricerca, a rimuovere determinati risultati di ricerca.

Il regolamento prevede inoltre la creazione di una nuova agenzia europea, il Centro europeo sulla pornografia infantile, incaricata di assistere gli Stati membri e i fornitori di servizi online nell'attuazione della legge.

Il Consiglio desidera inoltre rendere permanente una misura attualmente temporanea che consente alle aziende di sottoporre volontariamente i propri servizi a scansione per individuare eventuali abusi sessuali su minori.

Sebbene meno invasivo della versione precedente, il testo è ancora considerato dai suoi detrattori un attacco alla crittografia end-to-end e alla riservatezza delle comunicazioni.

Il progetto deve ancora essere discusso in triloghi con la Commissione e il Parlamento europeo.

Il 5 dicembre, la Commissione europea ha multato X per 120 milioni di euro per non aver rispettato gli obblighi di trasparenza previsti dal Digital Services Act (DSA).

Tra le carenze si annoverano la progettazione fuorviante del suo sistema di "validazione blu" per gli account verificati, la mancanza di trasparenza nella sua directory pubblicitaria e l'impossibilità di fornire ai ricercatori l'accesso ai dati pubblici.

Nella sentenza Russ Media del 2 dicembre, la Corte di giustizia dell'Unione europea (CGUE) ha stabilito che un editore di marketplace è responsabile del trattamento degli annunci pubblicitari pubblicati sulla sua piattaforma e deve verificare, prima della pubblicazione, se questi contengono dati sensibili e se il loro trattamento è conforme al GDPR.

1/ Il gestore di una piattaforma di compravendita è responsabile del trattamento degli annunci pubblicati: diversi elementi giustificano questa classificazione per la Corte di giustizia dell'Unione europea:

• L'annuncio è accessibile solo online grazie al servizio offerto dalla piattaforma.
• L'editore persegue i propri scopi, in particolare commerciali e pubblicitari, e non si limita a fornire un servizio tecnico.
• Determina i mezzi essenziali: presentazione, durata della pubblicazione online, sezioni, classificazione, metodi di distribuzione.
• Pertanto, l'operatore e l'inserzionista sono congiuntamente responsabili del trattamento dei dati effettuato sugli annunci pubblicitari.

2/ In qualità di titolare del trattamento, l'operatore deve individuare i potenziali rischi del trattamento dei dati e attuare misure e garanzie adeguate al rischio individuato: la CGUE indica che l'operatore deve, a monte:

• Verifica se un annuncio pubblicitario contiene dati sensibili.
• Verifica se questi dati si riferiscono all'inserzionista o se quest'ultimo gode di un'esenzione, in particolare un consenso esplicito da parte dell'interessato.
• La pubblicazione verrà rifiutata qualora queste condizioni non vengano soddisfatte.

Nell'ambito dei suoi obblighi di sicurezza, l'operatore deve inoltre attuare misure per limitare la copia e la riproduzione illegali di annunci pubblicitari contenenti dati sensibili.

Il 20 novembre, la Corte di giustizia dell'Unione europea si è pronunciata nel caso Policejní prezidium in merito alle prassi della polizia ceca di raccogliere e conservare a tempo indeterminato i dati biometrici e genetici di tutte le persone sospettate di aver commesso reati intenzionali.

L'obiettivo era determinare se la direttiva europea "Polizia" richieda una valutazione caso per caso della necessità di conservazione, se siano consentiti periodi di conservazione indefiniti e quali garanzie legali debbano disciplinare il trattamento di questi dati sensibili.

La Corte non ravvisa un divieto di principio, ma impone una serie di condizioni: il titolare del trattamento deve rispettare tutti i principi e i requisiti specifici applicabili al trattamento dei dati sensibili, e la legislazione nazionale deve stabilire termini adeguati per una revisione periodica della stretta necessità di conservare tali dati.

Il 4 dicembre, l'Agenzia dell'Unione europea per i diritti fondamentali ha pubblicato un rapporto sulla tutela dei diritti fondamentali nell'utilizzo dell'intelligenza artificiale in aree ad alto rischio. Il rapporto evidenzia una scarsa consapevolezza in merito a tali diritti.

 

Notizie dai paesi membri dell'Unione europea.

Il Tribunale regionale di Vienna per le questioni civili ha stabilito che le azioni legali contro un titolare del trattamento dei dati non stabilito nell'UE devono essere notificate al titolare stesso e non al suo rappresentante nell'UE.

Una notifica al rappresentante ai sensi dell'articolo 27 del GDPR non è sufficiente, a meno che la legislazione processuale nazionale non preveda tale opzione.

Il 14 novembre, l'Autorità croata per la protezione dei dati (APD) ha inflitto una sanzione amministrativa di 4.500.000 euro a un operatore di telecomunicazioni, in qualità di titolare del trattamento dei dati, per il trasferimento di dati personali verso un paese terzo in violazione del GDPR.

Il trasferimento a un subappaltatore serbo è stato effettuato senza una valida base giuridica e senza informare in modo trasparente le persone interessate, il trattamento delle copie delle carte d'identità e dei certificati penali dei dipendenti è avvenuto senza fondamento giuridico e in assenza di adeguati controlli preventivi sul subappaltatore.

L'Università Internazionale di Valencia, in Spagna, è stata multata di 750.000 euro per aver utilizzato il riconoscimento facciale e l'intelligenza artificiale per identificare i partecipanti agli esami senza una valida base giuridica.

Anche in Spagna, l'APD ha multato una clinica medica di 30.000 euro per aver violato l'articolo 5, paragrafo 1, lettera f) del GDPR, divulgando i numeri di telefono e i dati sanitari di circa 90 pazienti in un gruppo WhatsApp senza il loro previo consenso e senza adeguate misure di riservatezza.

Un tribunale ha condannato Meta al pagamento di oltre 480 milioni di euro di risarcimento danni a favore di 87 testate giornalistiche spagnole, dopo aver concluso che Meta aveva utilizzato illegalmente i dati personali raccolti sui suoi social network per creare profili utente dettagliati e offrire pubblicità personalizzata più efficace rispetto alla concorrenza, ottenendo così un ingiusto vantaggio competitivo.

La Corte ha ritenuto che il trattamento dei dati personali sia un fattore chiave di competitività nell'economia digitale e che le violazioni del GDPR possano configurarsi come concorrenza sleale quando conferiscono un vantaggio significativo.

L'Autorità Garante per la Protezione dei Dati Personali (APD) ha multato la provincia di Bolzano per 32.000 euro per la gestione illegale di una rete di telecamere per il monitoraggio del traffico. La provincia non disponeva di una valida base giuridica per il trattamento dei dati personali, in particolare dei numeri di targa.

 

Nel Regno Unito, 73 accademici, avvocati, esperti di protezione dei dati e organizzazioni non governative hanno chiesto, in una lettera indirizzata alla Camera dei Comuni, un'indagine sull'autorità britannica per la protezione dei dati (ICO), a seguito di quello che definiscono un "collasso delle misure di applicazione" dopo lo scandalo della violazione dei dati in Afghanistan.

Avvertono della presenza di "fallimenti strutturali più profondi" che vanno oltre questa violazione dei dati.

Ciò ha costituito una fuga di notizie particolarmente grave riguardante gli afghani che avevano collaborato con le forze britanniche prima che i talebani prendessero il controllo del paese nell'agosto 2021, mettendo in pericolo la vita delle 100.000 persone i cui nomi erano stati resi pubblici dal Ministero della Difesa.

L'ICO è criticata per non aver avviato procedimenti legali formali contro il ministero, nonostante le ripetute mancanze. 

In Argentina, alcuni tribunali si sono pronunciati negli ultimi mesi sull'utilizzo dell'intelligenza artificiale negli atti e nelle memorie difensive degli avvocati.

I casi riguardavano avvocati che avevano incluso citazioni di giurisprudenza rivelatesi false o imprecise a causa di allucinazioni generate dall'intelligenza artificiale.

Così come negli Stati Uniti in particolare, anche i tribunali argentini stanno iniziando a valutare la portata della responsabilità professionale degli avvocati: persino quando agiscono in buona fede, la presentazione di memorie che citano precedenti giurisprudenziali inesistenti mina i principi fondamentali della professione, tra cui onestà, lealtà e sincerità, come sancito dai codici deontologici delle diverse giurisdizioni argentine.

Nei casi specifici esaminati, i tribunali hanno deciso di non imporre sanzioni dirette agli avvocati.

Ciononostante, hanno ritenuto opportuno informare gli ordini degli avvocati locali per sensibilizzare sui rischi e le responsabilità connessi all'uso dell'IA e per promuovere un dibattito più ampio sull'uso responsabile dell'IA nella pratica legale.

Il governo australiano è l'ultimo ad aver presentato una tabella di marcia per l'intelligenza artificiale.

Dopo aver valutato una strategia incentrata sulla sicurezza, il governo ha infine scelto di dare priorità agli investimenti e all'economia.

Anziché istituire misure di sicurezza obbligatorie in ambienti ad alto rischio, l'Australia si baserà sui solidi quadri giuridici e normativi già esistenti.

Il Piano nazionale annunciato il 2 dicembre mira a rafforzare la reputazione dell'Australia come polo di attrazione per gli investimenti nell'intelligenza artificiale e promuove obiettivi per un'ampia diffusione dell'IA in tutto il paese, e in particolare nei servizi pubblici.

Il documento descrive inoltre il ruolo dell'Istituto per la sicurezza dell'IA nella sperimentazione e nella condivisione di informazioni sulle capacità, i rischi e i pericoli dell'intelligenza artificiale.

Anche in Australia, a partire dal 10 dicembre, ai bambini e agli adolescenti di età inferiore ai 16 anni non sarà più consentito utilizzare i social media.

Le piattaforme sono tenute ad implementare misure di verifica dell'età.

La mancata osservanza potrebbe comportare sanzioni pecuniarie fino a 28 milioni di euro.

A questo divieto potrebbero seguirne altri: il 26 novembre, il Parlamento europeo ha chiesto di fissare a 16 anni l'età minima per l'utilizzo di social network, piattaforme di condivisione video e assistenti virtuali basati sull'intelligenza artificiale in tutta l'Unione europea, consentendo l'accesso ai ragazzi dai 13 ai 16 anni con il consenso dei genitori.

Pur esprimendo il loro sostegno alla Commissione in merito a un'app europea per la verifica dell'età e a un portafoglio di identità digitale europeo (eID), i deputati europei insistono sul fatto che i sistemi di verifica dell'età debbano tutelare la privacy dei minori.

Negli Stati Uniti, solo due dei cinque commissari della Federal Trade Commission (FTC) sono rimasti in carica.

Una terza dimissione, quella di Melissa Holyoak, è stata infatti annunciata dalla FTC il 17 novembre 2025.

Queste dimissioni fanno seguito al licenziamento, da parte del presidente Trump, di due commissari democratici, lasciando in carica solo due commissari repubblicani.

La Corte Suprema si è occupata della questione e la sua decisione potrebbe avere implicazioni più ampie per il potere del presidente sulle agenzie indipendenti.           

Secondo una proposta presentata il 9 dicembre dalla U.S. Customs and Border Protection (CBP), i viaggiatori provenienti da paesi come Gran Bretagna, Francia o Corea del Sud, che beneficiano del Programma di esenzione dal visto statunitense, potrebbero presto dover sottoporsi a una verifica della propria attività sui social media risalente fino a cinque anni prima.

La CBP prevede inoltre di richiedere ai richiedenti una lunga lista di dati personali, inclusi gli indirizzi email degli ultimi dieci anni, nonché i nomi, le date di nascita, i luoghi di residenza e i luoghi di nascita dei genitori, dei coniugi, dei fratelli, delle sorelle e dei figli.

Il 13 novembre 2025, il Ministero indiano dell'Elettronica e dell'Informatica ha promulgato le norme di attuazione della Legge sulla protezione dei dati personali digitali del 2023.

Secondo la società Nishith Desai Associates, vengono specificati i requisiti in materia di trasparenza, consenso e registrazione, gli obblighi di notifica in caso di violazione dei dati, i diritti delle persone interessate e i dettagli relativi al Consiglio indiano per la protezione dei dati.