Con la deliberazione del 30 dicembre 2025, il Garante per la protezione dei dati personali ha definito il piano delle attività ispettive per il periodo gennaio–luglio 2026, annunciando almeno quaranta accertamenti, anche con il supporto della Guardia di Finanza. Il numero, tuttavia, è il dato meno significativo. A colpire è piuttosto la selezione delle aree oggetto di controllo, che restituisce una fotografia nitida delle priorità di enforcement per il prossimo futuro.
Data breach su banche dati pubbliche, sicurezza dei sistemi, utilizzo dell’intelligenza artificiale in ambito scolastico, dossier sanitario, telemarketing illecito, big data delle Telco e tecniche di anonimizzazione: non si tratta di ambiti scelti a caso, né di novità improvvise. Sono settori in cui l’Autorità ha già riscontrato criticità strutturali e nei quali la distanza tra adempimento formale e conformità sostanziale resta elevata.
Il piano ispettivo 2026, più che un elenco di controlli, è un messaggio regolatorio: il Garante chiarisce non solo cosa verrà verificato, ma soprattutto come verrà valutata la compliance.
A quasi dieci anni dall’entrata in vigore del GDPR, la fase di “apprendimento” può dirsi conclusa. L’enforcement non è più orientato a verificare l’esistenza di policy, informative o registri dei trattamenti, bensì la loro effettiva capacità di governare il rischio. La responsabilizzazione del titolare, prevista dall’articolo 24 del Regolamento, assume oggi una dimensione pienamente sostanziale: non basta adottare misure adeguate, occorre dimostrare che esse funzionino nella pratica.
In questo senso, il piano ispettivo si inserisce in un contesto di integrazione sempre più stretta tra GDPR, sicurezza informatica e nuove normative tecnologiche. Le verifiche sui data breach e sulla sicurezza delle banche dati, in particolare pubbliche, indicano che l’attenzione dell’Autorità non sarà rivolta esclusivamente alla gestione dell’incidente, ma alla catena decisionale che lo ha reso possibile: gestione degli accessi, segregazione dei ruoli, monitoraggio, logging, aggiornamento delle misure tecniche e organizzative. La domanda non sarà semplicemente “cosa è successo”, ma “perché il sistema consentiva che accadesse”.
Analogo discorso vale per gli applicativi di whistleblowing. L’adozione di una piattaforma conforme non esaurisce l’obbligo di protezione: ciò che verrà valutato è la reale capacità del sistema di garantire riservatezza, integrità e limitazione degli accessi, anche sul piano organizzativo. La compliance tecnologica, se non accompagnata da una governance coerente, rischia di restare vuota.
Particolarmente significativo è il focus sull’uso di strumenti di intelligenza artificiale in ambito scolastico. Qui il Garante anticipa, di fatto, la logica dell’AI Act, applicando già oggi criteri di valutazione del rischio, trasparenza e tutela rafforzata dei diritti fondamentali, in un contesto che coinvolge soggetti vulnerabili come i minori. L’idea di un utilizzo “sperimentale” dell’IA, giuridicamente neutro, non è più sostenibile.
Non meno rilevante è il riferimento alle politiche di anonimizzazione dei big data delle Telco, alla luce della sentenza della Corte di giustizia del 4 settembre 2025. L’anonimizzazione, sempre più spesso invocata come presupposto per l’esclusione dal perimetro del GDPR, viene ricondotta alla sua reale natura: una qualificazione giuridico-tecnica che deve essere dimostrata, non dichiarata. In mancanza di garanzie effettive, il trattamento resta pienamente soggetto alle regole del Regolamento.
Le implicazioni per imprese e pubbliche amministrazioni sono evidenti. Il rischio non è solo quello di una sanzione, ma quello – ben più insidioso – di scoprire, in sede ispettiva, che il proprio modello di governance non regge alla prova dei fatti. Ruoli formalmente attribuiti ma privi di reali poteri, DPIA redatte come adempimento documentale, misure di sicurezza mai testate o non aggiornate, governance dell’IA frammentata tra IT, compliance e management: sono queste le frizioni che l’attività ispettiva tende oggi a far emergere.
In questo scenario, essere “audit-ready” non significa prepararsi all’ispezione, ma operare quotidianamente in modo tale da poterla sostenere. Significa disporre di processi chiari, decisioni tracciabili, integrazione effettiva tra protezione dei dati, sicurezza e gestione del rischio tecnologico. È una condizione ordinaria di esercizio del trattamento, non un’attività straordinaria.
