Non poteva essere altrimenti: l’AI è al centro della relazione annuale del Garante privacy. Il rapporto, presentato il 2 luglio 2026 alla Camera e relativo all’attività svolta dall’autorità nel corso dell’anno precedente, “si è focalizzato sulle ricadute in termini di tutela del trattamento dei dati personali nel contesto dell’intelligenza artificiale e sulle conseguenze che un uso massivo di tale tecnologia, può avere sulla tutela dei diritti fondamentali”, spiega Fulvio Sarzana di S.Ippolito, avvocato e docente universitario, che ha partecipato all’evento di presentazione.Indice degli argomenti
Relazione annuale 2026 Garante PrivacyI numeri dell’attività del Garante privacyIntelligenza artificiale e privacyIl caso DeepSeekGli avvertimenti a Grok, ChatGPT e ClothoffAI e guerraPrivacy, lavoro e impreseVideosorveglianza sul posto di lavoroStrumenti di AI per ottenere informazioni sensibiliArmonia tra privacy e diritto di cronacaLo scenarioRelazione annuale 2026 Garante PrivacyLa relazione arriva, per citare le parole del discorso introduttivo del presidente dell’autorità Pasquale Stanzione, in “una fase particolarmente importante per il diritto alla protezione dei dati e la sua evoluzione, inscritta all’interno di un contesto sociale fortemente segnato da un’innovazione così profonda e rapida da delineare, quasi, un mutamento d’epoca”. Nel discorso ha riportato i dati dell’Osservatorio Artificial Intelligence del Politecnico di Milano, ricordando come “nel 2025 il mercato dell’IA abbia registrato in Italia un incremento del 50% rispetto al 2024” e come “il 71% delle grandi imprese, a fronte dell’8% delle PMI, abbia avviato almeno un progetto di IA, ma solo il 9% disponga di una governance strutturata”.Ed emerge anche il tema della sovranità digitale. Nel suo discorso introduttivo, Stanzione ha definito l’AI “nuova infrastruttura del potere, divenuta il terreno primario di competizione geopolitica, con una corsa all’indipendenza (e alla supremazia) tecnologica che riflette una nuova idea di sovranità. L’autonomia strategica, tutt’altro che protezionista, perseguita dall’Europa con il Chips Act e il Cloud and AI Development Act, esprime un’esigenza di sottrazione delle infrastrutture tecnologiche europee al potere di veto di attori esteri“.I numeri dell’attività del Garante privacyNel 2025 il Garante privacy ha adottato 807 provvedimenti collegiali. Le sanzioni riscosse ammontano a oltre 37 milioni di euro.AmbitoDato 2025Dettagli / NoteReclami con riscontro dell’Autorità4.288Riguardanti, tra l’altro, marketing e reti telematiche; dati online delle pubbliche amministrazioni; sanità; giustizia; cyberbullismo e revenge porn; sicurezza informatica; settore bancario e finanziario; lavoroSegnalazioni con riscontro dell’Autorità145.846Riguardanti, tra l’altro, marketing e reti telematiche; dati online delle pubbliche amministrazioni; sanità; giustizia; cyberbullismo e revenge porn; sicurezza informatica; settore bancario e finanziario; lavoroPareri del Collegio su atti regolamentari e amministrativi65Hanno riguardato digitalizzazione della Pubblica amministrazione; sanità; fisco; giustizia; istruzione; funzioni di interesse pubblicoComunicazioni di notizie di reato all’autorità giudiziaria65In notevole aumento rispetto alle 16 del 2024; hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al GaranteComunicazioni relative alla diffusione non consensuale di immagini o video sessualmente espliciti54Delle 65 comunicazioni di notizie di reato, 54 hanno riguardato questa fattispecieProvvedimenti correttivi e sanzionatori506—Data breach notificati all’Autorità2.415In aumento del 10% rispetto al 2024Data breach nel settore pubblico514Hanno riguardato principalmente Comuni, istituzioni scolastiche e strutture sanitarieData breach nel settore privato1.901Hanno interessato soprattutto piccole e medie imprese, professionisti e società operanti nei settori delle telecomunicazioni, dell’energia, delle banche e dei serviziSegnalazioni relative alla diffusione o minaccia di diffusione non consensuale di materiale intimo854In aumento rispetto al 2024; la tipologia più ricorrente è stata la sextortion, con minacce di diffusione del materiale intimo qualora non fossero state corrisposte somme di denaro o inviati ulteriori contenuti sessualmente esplicitiIspezioni effettuate130Numero sostanzialmente in linea con quello dell’anno precedente; gli accertamenti hanno riguardato numerosi settori pubblici e privati, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di FinanzaPer Rocco Panetta, avvocato, chairman di Panetta Consulting Group e managing partner di Panetta Studio Legale, “tutti i settori della società, del diritto, delle scienze e dell’economia sarebbero immobili, ingessati ed in perenne crisi, senza l’attenta attività di regolazione imposta dal GDPR e sapientemente modulata dal lavoro di questa autorità. Le aziende i cittadini e le pubbliche amministrazioni leggendo la relazione possono trovare innumerevoli chiavi di lettura per comprendere fenomeni complessi come l’intelligenza artificiale, la sicurezza cibernetica, e l’economia dei dati“.Intelligenza artificiale e privacyCitando l’appello di Amodei e l’enciclica Magnifica Humanitas del Papa, Stanzione ha affermato l’importanza di evitare “la marginalizzazione dell’uomo”, un rischio “proprio dell’IA in ogni ambito, distinguendosi essa proprio per la capacità emulativa del pensiero umano, al punto da sostituirlo con un sempre maggiore grado di autonomia”. Va inoltre “evitato – rispetto a forme avanzate di decodificazione dell’attivitàneurologica – il rischio di una “colonizzazione del pensiero”, proteggendo la privacy mentale: presupposto ineludibile di libertà, non solo cognitiva”.Spiega Panetta che “il tema dell’AI come sappiamo è complesso e controverso e allo stato non è interamente imputabile al controllo di questa autorità per volere del legislatore nazionale che pur facendo salve le competenze del Garante sui dati a inteso individuare nell’AGID e nella ACN le due autorità di controllo e certificazione sulle AI. Nonostante ciò il tema come emerge chiaramente dalle ultime tre relazioni annuali del garante dei dati, è un tema altamente impattato dalla regolamentazione introdotta 10 anni fa dal GDPR in quanto l’intelligenza artificiale non può prescindere, per operare, per allenarsi, per generare valore dai dati”.Gli interventi dell’Autorità nel 2025 in questo campo hanno riguardato: l’AI relazionale,i deepfake,L’introduzione dell’AI a scuola,age verificationtutela dei lavoratoriprotezione dati sanitaricontrasto al telemarketing aggressivo.Il caso DeepSeekIl 2025 si era aperto con la decisione del Garante sulla limitazione del trattamento dei dati degli utenti italiani da parte di due società cinesi che gestiscono l’AI conversazionale DeepSeek, a pochi giorni dai numeri record di download che l’app aveva realizzato.Gli avvertimenti a Grok, ChatGPT e ClothoffIl Garante aveva inoltre avviato un’attività istruttoria contro la generazione illecita di deepfake, adottando avvertimenti nei confronti delle piattaforme come Grok, ChatGPT e Clothoff.AI e guerraCome commenta Sarzana, è stato sottolineato che “il recente conflitto in medio-oriente sia stato il primo AI-first con le conseguenze, anche in termini di vite umane, che ciò comporta”.Privacy, lavoro e impreseSul rapporto tra AI, diritti e lavoro, Stanzione ha commentato che “la progressiva penetrazione dell’IA nelle strutture aziendali e nelle dinamiche organizzative del mondo del lavoro è un fenomeno di cui non possiamo limitarci a prendere atto. Esso può, infatti, offrire, straordinarie opportunità di miglioramento della qualità del lavoro, liberando l’uomo dal peso di mansioni ripetitive e alienanti, ma dev’essere governato con lungimiranza, perché non determini una regressione sociale tale da eludere i traguardi di secoli di battaglie per i diritti e le libertà dei lavoratori”.Sul fronte della tutela della privacy nei rapporti di lavoro, il Garante nel corso del 2025 ha adottato provvedimenti in particolare su:utilizzo della posta elettronicasistemi di videosorveglianzauso di strumenti AI based.In particolare, il Garante ha vietato ad Amazon Italia Logistica con urgenza il trattamento dei dati di più di 1800 lavoratori in servizio a Passo Corese, con particolare riguardo alle informazioni sullo stato di salute, l’attività sindacale, la vita personale, che erano state raccolte in modo sistematico durante il rapporto di lavoro e oltre, conservate per un decennio da quando questo era cessato. L’attività veniva svolta attraverso una piattaforma collegata al rilevamento delle presenze e molti manager potevano accedervi.Videosorveglianza sul posto di lavoroIl Garante ha inoltre sottolineato i rischi legato all’uso della videosorveglianza sul posto di lavoro, in particolare riferendosi a piccole imprese e negozi. L’Autorità ha scritto al Presidente di Confcommercio–Imprese per l’Italia per aprire un dialogo volto alla creazione di consapevolezza negli associati.L’anno scorso, infatti, si è registrato un aumento dell’uso delle telecamere sul lavoro utilizzate anche durante l’orario di apertura del negozio e che consentivano il monitoraggio da remoto tramite app. Una modalità che configura una forma di controllo a distanza dei lavoratori e viola il relativo Statuto.Strumenti di AI per ottenere informazioni sensibiliIl Garante ha inoltrato anche un avvertimento a una start-up italiana che ha sviluppato un plug in destinato ai sistemi di messaggistica aziendale Teams e Slack che permetteva di rilevare il livello di stress psicologico dei lavoratori, che decidessero di servirsene per avere suggerimenti personalizzati. Il sistema è basato su AI e analisi semantica delle chat.Armonia tra privacy e diritto di cronacaIl Garante nel 2025 più volte è intervenuto per portare l’attenzione sulla necessità di bilanciare il diritto di cronaca con la tutela della dignità e della riservatezza delle persone coinvolte. Stigmatizzati in particolare la morbosità e i dettagli che non aggiungono nulla all’informazione.Lo scenarioPer Panetta, l’attività svolta “rappresenta solo l’ultimo tassello di un lavoro intenso, continuo, conforme e crescente svolto da questa importante autorità di controllo e garanzia a partire dal 1997, quando a guidarla c’era Stefano Rodotà, nel campo difficile e minato, dove si incontrano tutela dei diritti, tecnologia e mercati. Da anni l’occhio attento di chi legge non può non cogliere la centralità e l’importanza dell’attività del garante dei dati nelle democrazie liberali e ancor più in un paese complesso e con la storia tragica del secolo scorso, qual è l’Italia”.Emerge però, come priorità, una maggiore sinergia con il legislatore: “I numeri dell’azione del Garante sono costantemente in crescita nonostante le scarse risorse umane ed economiche a disposizione dell’autorità, ma la crescente domanda di sicurezza, di conoscenza e di tutela dei diritti non può restare a lungo inascoltata dal legislatore”, aggiunge Panetta, dunque l’obiettivo è il “rafforzamento del perimetro di azione dell’ufficio del Garante anche in ragione del prossimo rinnovo del collegio nel 2027”.







