L’utilizzo di dispositivi personali del lavoratore per scopi professionali richiede la predisposizione di una specifica policy BYOD. Sul piano organizzativo, il principio di minimizzazione impone alle aziende di adottare un approccio di Privacy by Design e Privacy by Default nello sviluppo o nella selezione di qualsiasi applicazione o sistema di monitoraggio.

L'Autorità francese per la protezione dei dati ha pubblicato sul proprio sito istituzionale una guida dedicata alla relazione periodica delle attività del Data Protection Officer, corredata da un modello scaricabile gratuitamente. Si tratta di un contributo significativo per tutti i professionisti della privacy, che arriva in un momento in cui la funzione del DPO risulta sottoposta a varie pressioni interne/esterne.

Il caso Intesa Sanpaolo è scomodo non perché eccezionale, ma perché, purtroppo, comune. Quasi ogni organizzazione convive con sistemi di accesso ai dati che, se sottoposti a un controllo rigoroso, rivelerebbero criticità analoghe. Le misure di prevenzione che le aziende dovrebbero adottare per proteggere i dati ed evitare sanzioni dell'Autorità.

Nel lessico della sicurezza informatica e della compliance GDPR, i termini "data breach" e "data leak" vengono spesso usati come sinonimi. Si tratta però di un errore concettuale che ha ricadute pratiche significative, in particolare rispetto agli obblighi di notifica, alla valutazione del rischio e alla gestione documentale degli incidenti. 

L’art. 83 del GDPR disciplina il regime sanzionatorio applicabile alle violazioni del GDPR, prevedendo sanzioni amministrative e pecuniarie. Tuttavia, lo stesso articolo contempla una serie di circostanze attenuanti che il titolare del trattamento può azionare per ridurre significativamente l’entità della sanzione.

Per anni, molte organizzazioni hanno interpretato la conformità al GDPR come un esercizio prevalentemente documentale. Questi adempimenti, pur necessari, rappresentano però solo la superficie di un sistema che deve essere vivo, funzionante e costantemente aggiornato.

L’art. 5 del GDPR ha introdotto un cambio di paradigma rispetto alla normativa in materia di privacy previgente. Purtroppo però l’accountability resta frequentemente un concetto astratto e non calato nelle realtà operative aziendali.

Nell’ambito dei sistemi di AI assumono un ruolo rilevante i rischi connessi al trattamento dei dati personali. Nulla di nuovo. Ma quali sono? cerchiamo di esplorarne due tra i più significativi e le conseguenti misure da mettere in atto per mitigarli.

Il 14 ottobre 2025, l’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno annunciato il rilascio della seconda edizione della norma ISO/IEC 27701, lo standard internazionale per i Sistemi di Gestione delle Informazioni sulla protezione dei dati personali (PIMS - Privacy Information Management Systems).