Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.



Relazione Garante Privacy 2024: Rischi, provvedimenti e azioni da intraprendere

PrintMailRate-it

​​​​​​​​​​​​​​​​Ultimo aggiornamento del 23.07.2025 | Tempo di lettura ca. 4 minuti


La Relazione annuale 2024 del Garante per la protezione dei dati personali,  pubblicata il 15 luglio 2025, rappresenta un punto di riferimento essenziale per imprese, pubbliche amministrazioni e professionisti della privacy. Il documento delinea con chiarezza le aree di maggiore rischio, i settori sotto osservazione e le azioni correttive adottate o raccomandate dall’Autorità. L’approccio del Garante è sempre più orientato alla responsabilizzazione sostanziale dei titolari e alla valutazione effettiva dell’adeguatezza delle misure adottate, al di là della mera conformità formale.

Tra i punti di attenzione, si segnalano i seguenti.

Cybersecurity e violazioni di dati personali: numeri in crescita, difese inadeguate

Nel 2024, il Garante ha ricevuto 2.204 notifiche di data breach di cui 498 da soggetti pubblici e 1.706 da soggetti privati.

Le violazioni più comuni hanno riguardato:
  • Accessi non autorizzati;
  • Attacchi ransomware;
  • Errate configurazioni dei sistemi;
  • Backup assenti o non funzionanti;
  • Aggiornamenti di sicurezza trascurati.

I settori più colpiti sono la sanità, la pubblica amministrazione locale, i trasporti, le assicurazioni e i servizi digitali.

Azioni raccomandate:

  • Segmentare le reti interne e applicare il principio del privilegio minimo;
  • Abilitare autenticazione a più fattori per ruoli critici;
  • Implementare sistemi di rilevamento delle intrusioni;
  • Garantire log di sistema completi e conservati secondo policy trasparenti;
  • Aggiornare regolarmente le componenti software, eliminando le vulnerabilità note.

Sanità digitale: accessi illeciti, gestione del dossier sanitario, vulnerabilità diffuse

Il settore sanitario è al centro della Relazione per numero e gravità degli incidenti. Il Garante ha evidenziato casi di accessi non autorizzati al dossier sanitario elettronico da parte di operatori non coinvolti nel trattamento del paziente. Il provvedimento esemplare è il Provv. n. 10144184/2024 – Operatore sanitario ha consultato cartelle cliniche di soggetti non assegnati.

Azioni raccomandate:​

  • Profilare in modo puntuale gli accessi in base ai ruoli;
  • Attivare alert per accessi anomali e fuori contesto;
  • Rendere i log accessibili ai DPO e sottoposti a controllo periodico;
  • Applicare il principio di minimizzazione nei sistemi clinici;
  • Inserire misure preventive già in fase di progettazione (privacy by design).

Intelligenza Artificiale: attenzione al web scraping e ai flussi di dati verso l’estero​​

Il Garante ha concentrato parte delle attività ispettive sull’utilizzo dell’IA generativa, con particolare riferimento a:
  • Trasferimento di dati personali a soggetti extra-UE;
  • Addestramento di algoritmi su dataset raccolti tramite scraping del web;
  • Responsabilità degli operatori nazionali che forniscono dati a sistemi IA.

È stato avviato un procedimento nei confronti di un soggetto italiano per aver comunicato dati personali a OpenAI in assenza di una base giuridica adeguata.

Azioni raccomandate:

  • Verificare la base giuridica dei trattamenti che implicano il trasferimento o l’uso di dati in contesti di IA;
  • Vietare il web scraping indiscriminato su siti web o database senza consenso o informativa;
  • Effettuare DPIA ai sensi dell’art. 35 GDPR per ogni impiego di IA con impatto sugli interessati;
  • Monitorare l’uso secondario dei dati da parte di fornitori terzi.

Telemarketing e data broker: il consenso va dimostrato, non presunto

Nel 2024 il Garante ha inflitto sanzioni per oltre 6 milioni di euro per violazioni legate al marketing aggressivo. Le criticità principali sono state:
  • Utilizzo di elenchi di numeri di telefono non verificabili;
  • Mancanza della prova del consenso;
  • Call center esterni non adeguatamente contrattualizzati.

Azioni raccomandate:

  • Raccogliere e archiviare la prova documentale del consenso per la cessione dati a fini marketing, con finalità specifica e distinta per ogni canale;
  • Verificare le condizioni contrattuali e la liceità dei dati acquisiti da broker;
  • Aggiornare l’informativa privacy con linguaggio chiaro e riferimenti al Registro delle Opposizioni;
  • Introdurre audit periodici sui fornitori di servizi outbound.

Diritti degli interessati: ancora ritardi e inadempimenti, specie nella PA

Il Garante ha ricevuto numerosi reclami per mancato riscontro alle richieste di accesso, rettifica o cancellazione da parte di enti pubblici, aziende sanitarie, istituti scolastici e soggetti privati.

Azioni raccomandate:​

  • Stabilire canali dedicati e digitalizzati per ricevere e gestire le richieste (es. portali, moduli elettronici);
  • Designare referenti privacy con responsabilità specifica per il monitoraggio dei termini;
  • Garantire risposta completa entro 30 giorni come previsto dal GDPR (art. 12.3);
  • Prevedere flussi interni per la raccolta tempestiva della documentazione richiesta.

Minori e comunicazione digitale: focus su sharenting e contesti scolastici

L’Autorità ha rilanciato la campagna “La sua privacy vale più di un like”, invitando genitori, educatori e media a riflettere sulla condivisione di immagini e dati dei minori. Sono state segnalate diverse violazioni da parte di istituti scolastici che hanno pubblicato online foto o video senza informativa o consenso.

Azioni raccomandate:

  • Adottare policy interne specifiche per la gestione delle immagini di minori;
  • Richiedere il consenso scritto e informato di entrambi i genitori, ove previsto;
  • Garantire possibilità di revoca semplice e immediata;
  • Evitare la diffusione non necessaria e non contestualizzata di contenuti riferiti a minori.

Conclusione: Privacy come leva di fiducia e resilienza​

La Relazione 2024 conferma che l’azione del Garante si concentra su effettività, responsabilità e prevenzione. Il messaggio è chiaro: la privacy non è solo rispetto di una regola, ma presidio di un diritto fondamentale.

Per le organizzazioni, questo si traduce in:
  1. Documentare ogni decisione privacy-relevant;
  2. Integrare i principi della data protection nella progettazione dei processi;
  3. Prevenire piuttosto che gestire le conseguenze.

​La costruzione di un modello di governance integrata ed efficace, flessibile e adeguato alle attività operative, in linea con le linee guida e i provvedimenti dell’Autorità, può essere la carta vincente, sia in un’ottica di riduzione del rischio sanzionatorio, che in quello di valorizzazione del business aziendale.​



Garante per la protezione dei dati personali, Relazione annuale 2024 – Docweb n. 10148845​;
Provvedimenti citati: n. 10144184/2024 (accessi non autorizzati).

autore

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu