Ogni volta che clicchi su “Accetta tutto” sui cookie, o che un’app ti chiede l’accesso ai contatti, stai cedendo una fetta della tua vita digitale. In Italia il quadro normativo che tutela questa sfera è ampio e articolato — ma pochi sanno esattamente cosa prevede, chi lo applica e come comportarsi quando qualcosa va storto. Questa guida mette a fuoco le norme attuali, i rischi concreti legati all’intelligenza artificiale e i passi pratici per non perdere il controllo dei propri dati.

4 articoli correlati

Data entrata in vigore GDPR: 25 maggio 2018 · Autorità di controllo Italia: Garante per la protezione dei dati personali · Direttiva base e-privacy: Quadri UE telecomunicazioni e dati · Nuovo regolamento previsto: Data Act dal 12 settembre 2025

Panoramica rapida

1Fatti confermati
2Cosa resta incerto
3Segnale temporale
  • novembre 2021: Programma Strategico IA Garante 2022-2024 (Garante Privacy — Timeline IA)
  • 13 giugno 2024: Approvazione AI Act (Garante Privacy — AI Act)
  • 12 settembre 2025: Data Act entra in vigore (Garante Privacy — Timeline IA)
4Cosa viene dopo
  • Obbligo di DPIA per sistemi AI ad alto rischio (Garante Privacy — Requisiti AI Act)
  • Verifica obbligatoria dell’età per piattaforme con accesso minori (ActaInfo — Parere Garante)
  • Sanzioni potenziali fino al 6% del fatturato globale per violazioni AI Act (Garante Privacy — Requisiti AI Act)

La tabella seguente raccoglie i riferimenti normativi e gli indicatori chiave che definiscono il quadro della privacy digitale in Italia.

Dati chiave sulla privacy digitale in Italia
Legge principale GDPR + D.Lgs. 196/2003
Autorità italiana Garante Privacy (www.garanteprivacy.it)
Direttiva UE e-Privacy su comunicazioni reti
Prossimo regolamento Data Act 2025
Normativa AI Reg. UE 2024/1689 (AI Act)
Obbligo DPIA Sistemi AI ad alto rischio
Age verification Richiesta per piattaforme minori
Sanzioni massime 20 milioni € o 4% fatturato (GDPR)

Cosa si intende per privacy digitale?

Privacy nell’era digitale

Per privacy digitale si intende l’insieme di diritti, norme e strumenti che permettono a ogni persona di controllare quali informazioni su di sé circolano online e come vengono utilizzate. Non si tratta di nascondersi — ma di decidere consapevolmente cosa condividere, con chi e per quanto tempo. In Italia questo concetto si radica nel diritto alla riservatezza, declinato attraverso il GDPR e la normativa nazionale sulla protezione dei dati personali.

Il Garante Privacy — Guida all’applicazione GDPR sottolinea che il regolamento è tecnologicamente neutro: si applica a qualsiasi trattamento di dati personali, che avvenga tramite un sito web, un’app mobile o un sistema di intelligenza artificiale. Questa agnosticità tecnologica garantisce che le tutele restino efficaci anche quando le tecnologie evolvono più rapidamente delle leggi.

La privacy digitale riguarda tanto le imprese quanto i cittadini: le aziende devono adottare misure di sicurezza adeguate al rischio (art. 32 GDPR) e dimostrare accountability, ovvero essere in grado di provare in qualsiasi momento che i dati sono gestiti correttamente.

Controllo dati da aziende e governi

Sia le aziende private sia la pubblica amministrazione trattano dati personali su larga scala. Per le imprese il principio di minimizzazione impone di raccogliere solo i dati strettamente necessari allo scopo dichiarato. Per la PA, il Piano Nazionale di Ripresa e Resilienza (PNRR) sta accelerando la digitalizzazione, richiedendo che ogni trasformazione tecnologica rispetti gli standard di privacy by design e by default.

Il principio di accountability, ribadito nella Guida Garante all’applicazione GDPR, obbliga i titolari del trattamento ad adottare comportamenti proattivi e dimostrabili: non basta dire “proteggiamo i dati”, bisogna poterlo provare con documentazione, registri e politiche interne.

L’implicazione

Il GDPR non è un insieme di regole rigide da seguire una tantum: è un approccio che richiede governance continua. Per le aziende italiane, questo significa aggiornare periodicamente le valutazioni dei rischi, formare il personale e coinvolgere il DPO in ogni nuova iniziativa digitale.

Il quadro normativo italiano impone dunque un equilibrio tra innovazione tecnologica e tutela dei diritti fondamentali: chi sviluppa o utilizza sistemi digitali è tenuto a dimostrare che la privacy non è un optional, ma un requisito strutturale.

Qual è l’attuale legge sulla privacy in Italia?

GDPR e D.Lgs. 196/2003

In Italia la protezione dei dati personali si basa su un doppio binario normativo. Il GDPR (Regolamento UE 2016/679) è direttamente applicabile dal 25 maggio 2018 e ha sostituito la maggior parte delle disposizioni del Codice Privacy italiano. Il D.Lgs. 196/2003 è stato riformato per integrarlo con le norme europee, mantenendo però specificità nazionali su alcuni aspetti.

La Guida Garante all’applicazione GDPR, aggiornata dopo 5 anni di applicazione, fornisce indicazioni pratiche per PMI e pubbliche amministrazioni, affrontando diritti degli interessati, doveri dei titolari, informative, gestione dei data breach e ruolo del DPO.

Il GDPR enfatizza l’approccio risk-based: le misure di sicurezza devono essere proporzionate al livello di rischio effettivo. L’ENISA Risk Assessment Tool per l’articolo 32 GDPR, sviluppato con la collaborazione del Garante Privacy (pubblicato nel dicembre 2019), offre uno strumento concreto per valutare e gestire i rischi di sicurezza.

Ruolo Garante Privacy

Il Garante per la protezione dei dati personali è l’autorità di controllo italiana. Gestisce l’Ufficio Relazioni con il Pubblico (URP) per quesiti su trattamenti di dati personali e ha il potere di emettere provvedimenti correttivi e sanzionatori. Nell’ambito dell’AI Act, è stato designato come autorità competente per i sistemi AI ad alto rischio in settori sensibili come law enforcement, biometria, riconoscimento delle emozioni, gestione delle frontiere, giustizia e processi democratici.

Il Garante ha espresso parere favorevole con cautele sullo schema di DDL governativo sull’AI, richiedendo integrazioni per tutelare i dati personali nei trattamenti AI, inclusa la verifica dell’età per limitare l’uso delle piattaforme da parte dei minori. Il parere evidenzia la necessità di limitazioni specifiche per l’AI ad alto rischio in ambito sanitario, con preferenza per dati sintetici o anonimizzati.

Da sapere

Il Garante può prescrivere misure correttive ai sensi dell’art. 58 GDPR quando rileva violazioni. Le sanzioni possono raggiungere 20 milioni di euro o il 4% del fatturato mondiale annuo per le violazioni più gravi.

Quali sono i dati sensibili da non pubblicare?

Definizione dati sensibili UE

Il GDPR classifica come sensibili alcune categorie particolari di dati che richiedono protezione rafforzata. Queste includono l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici e biometrici trattati per identificare univocamente una persona fisica, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale.

Pubblicare online anche uno solo di questi dati — ad esempio condividere informazioni sulla propria condizione di salute su un social network o rivelare le proprie convinzioni politiche in un forum — espone la persona a rischi concreti: discriminazione, furto d’identità, manipolazione, o semplicemente una perdita di controllo su informazioni che potrebbero essere usate contro di lei.

Esempi da evitare online

  • Numeri di previdenza sociale, codici fiscali o documenti d’identità scannersiti
  • Informazioni mediche, diagnosi o prescrizioni condivise pubblicamente
  • Dati bancari, numeri di carte di credito o estremi di conti correnti
  • Indirizzo di residenza abbinato a informazioni sulla routine quotidiana
  • Foto di minori in contesti identificabili senza consenso dei genitori
  • Appartenenza a organizzazioni politiche, sindacati o gruppi religiosi

Per le aziende, trattare dati sensibili senza base giuridica appropriata o senza aver condotto una valutazione d’impatto sulla protezione dati (DPIA) costituisce una violazione sanzionabile. Il Garante Privacy — Guida gestione rischi raccomanda un approccio risk-based che include l’identificazione delle responsabilità lungo l’intera catena di fornitura AI.

Il principio

Prima di condividere qualsiasi informazione online, poniti una domanda: questa informazione, se finisse nelle mani sbagliate, potrebbe danneggiarmi? Se la risposta è sì o “non lo so”, è meglio astenersi.

È meglio accettare o rifiutare i cookie?

Cosa significa accettare cookie

Accettare tutti i cookie significa consentire al sito web di installare file di testo sul tuo dispositivo che tracciano il comportamento di navigazione, memorizzano preferenze e, nei casi più invasivi, condividono questi dati con reti pubblicitarie terze. La direttiva e-privacy UE disciplina le comunicazioni elettroniche e stabilisce che il consenso deve essere espresso in modo libero, specifico, informato e inequivocabile.

I cookie tecnici necessari al funzionamento del sito (come quelli che ricordano cosa hai nel carrello di un e-commerce) non richiedono consenso. Tutti gli altri — cookie di profilazione, di marketing, di tracciamento per reti pubblicitarie — lo richiedono obbligatoriamente, e il rifiuto non deve pregiudicare l’accesso al servizio.

Impatto su privacy

Rifiutare i cookie non essenziali riduce significativamente il tracciamento online. Secondo il Garante Privacy — Orientamenti AI, l’utilizzo di sistemi AI generativa per analizzare i comportamenti degli utenti tracciati tramite cookie solleva questioni di minimizzazione dei dati e accuratezza: quando i dati vengono raccolti su larga scala senza controllo diretto, diventa impossibile garantire che siano trattati correttamente.

  • Accetta tutto: navigazione personalizzata, ma tracciamento completo e condivisione dati con terze parti
  • Rifiuta tutto: nessuna personalizzazione, ma privacy preservata e nessun tracciamento pubblicitario
  • Personalizza: scelta granulare, richiede tempo ma restituisce il controllo
Il trade-off

Rifiutare i cookie non significa navigare nel vuoto: i siti funzionano correttamente con i soli cookie tecnici. Il prezzo della “personalizzazione” è pagato in dati — e non sempre il risultato giustifica il sacrificio.

La direttiva e-privacy pone il cittadino in una condizione di controllo esplicito: scegliere di rifiutare cookie non è un atto di sfiducia, ma l’esercizio di un diritto riconosciuto.

L’intelligenza artificiale è un rischio per la privacy?

Rischi AI per aziende

L’intelligenza artificiale, in particolare quella generativa e i modelli linguistici di grandi dimensioni (LLM), presenta rischi specifici per la privacy. Il GEPD — Linee guida sull’intelligenza artificiale generativa e i dati personali ha pubblicato orientamenti articolati in 13 punti che delineano principi fondamentali, esempi di rischi e l’obbligo di DPIA quando applicabile.

Il web scraping per l’addestramento AI presenta rischi concreti: violazione del principio di minimizzazione, perdita di controllo sulle informazioni personali e inaccuratezza dei dati utilizzati. L’EDPB ha pubblicato ad aprile 2025 il documento “AI Privacy Risks & Mitigations Large Language Models”, mentre la Commissione Europea ha diffuso le linee guida sulle pratiche AI proibite a febbraio 2025.

Per le aziende italiane, il Programma Strategico IA del Garante (periodo 2022-2024, approvato nel novembre 2021) ha posto le basi per un approccio strutturato. L’AI Act (Reg. UE 2024/1689), approvato il 13 giugno 2024, introduce obblighi specifici per i sistemi ad alto rischio, richiedendo DPIA, documentazione tecnica e misure di trasparenza ai sensi del GDPR.

Opporsi a Meta AI su social

Una delle preoccupazioni più sentite riguarda l’utilizzo dei dati degli utenti per l’addestramento di sistemi AI su piattaforme come Facebook e Instagram. Il Garante Privacy italiano ha chiesto nel parere sul DDL AI l’integrazione di misure specifiche per tutelare i dati personali, inclusa la verifica dell’età per piattaforme con accesso di minori.

Per verificare che un sistema AI non elabori dati personali senza consenso, il GEPD consiglia di richiedere controlli specifici al fornitore. La creazione di una task force IA con il DPO è raccomandata per una governance efficace dei dati. Il principio di accountability richiede l’identificazione delle responsabilità lungo l’intera catena di fornitura AI.

Il rischio concreto

I dati condivisi pubblicamente online possono essere estratti, aggregati e utilizzati per addestrare modelli AI — spesso senza che l’utente ne sia a conoscenza o abbia dato un consenso esplicito. Una volta che un modello linguistico ha “appreso” determinate informazioni, non esiste un modo pratico per eliminarle dal suo comportamento.

L’evoluzione normativa — dall’AI Act alle linee guida EDPB — indica che il controllo sui dati nei sistemi AI diventerà un obbligo verificabile, non più una raccomandazione.

Passi pratici per proteggere i tuoi dati

Cinque azioni concrete che chiunque può intraprendere per rafforzare la propria privacy digitale, dalla gestione dei cookie alla conoscenza dei propri diritti.

  1. Configura le preferenze cookie con attenzione: quando un sito ti presenta il banner cookie, scegli “Rifiuta” o “Personalizza” invece di “Accetta tutto”. Verifica periodicamente queste impostazioni, perché molti siti le resettano dopo aggiornamenti.
  2. Limita le informazioni condivise sui social: evita di pubblicare dati sensibili (salute, posizione, appartenenza politica o religiosa). Controlla le impostazioni sulla privacy di Facebook, Instagram e LinkedIn — di default molte piattaforme impostano la visibilità pubblica.
  3. Esercita i tuoi diritti GDPR: hai il diritto di accedere ai tuoi dati, chiederne la cancellazione (“diritto all’oblio”), la rettifica o la portabilità. Puoi rivolgerti direttamente al titolare del trattamento o, se non ottieni risposta entro un mese, al Garante Privacy.
  4. Verifica come i tuoi dati vengono usati dall’AI: su piattaforme come Meta, controlla le impostazioni sulla privacy e, dove disponibile, attiva l’opzione di opt-out dall’utilizzo dei dati per l’addestramento AI. Il GEPD raccomanda di richiedere sempre chiarimenti al fornitore su come vengono trattati i dati personali.
  5. Mantieniti informato sulle evoluzioni normative: il Data Act entrerà in vigore il 12 settembre 2025 e l’AI Act introdurrà nuovi obblighi per le aziende. Consulta il sito del Garante Privacy (www.garanteprivacy.it) per aggiornamenti e linee guida ufficiali.
In sintesi: La privacy digitale in Italia è tutelata da un quadro normativo solido — ma la protezione funziona solo se anche i cittadini conoscono i propri diritti e li esercitano attivamente. Per le aziende: l’adeguamento non è un optional — il Garante può sanzionare chi non lo attua. Per i cittadini: rifiutare i cookie invasivi e limitare le condivisioni online non significa essere paranoici — significa essere consapevoli.

Cosa sappiamo con certezza e cosa resta incerto

Confermato

  • GDPR in vigore dal 2018; D.Lgs. 196/2003 aggiornato di conseguenza
  • AI Act approvato il 13 giugno 2024 (Reg. UE 2024/1689)
  • Garante Privacy designato autorità competente per AI ad alto rischio in Italia
  • Programma Strategico IA Garante attivo per il periodo 2022-2024
  • Parere Garante su DDL AI con focus su verifica età e dati sanitari
  • Obbligo di accountability per titolari e responsabili del trattamento
  • Sanzioni GDPR fino a 20 milioni € o 4% fatturato globale

Incerto

  • Modalità esatte di implementazione del DDL AI italiano
  • Impatto pratico del Data Act 2025 sulla privacy quotidiana degli italiani
  • Tempistiche di enforcement delle nuove linee guida EDPB sui modelli linguistici
  • Concretezza delle sanzioni previste dall’AI Act per le aziende italiane
  • Evoluzione dei rischi AI non ancora regolati specificamente

“Il Regolamento si applica integralmente qualora l’utilizzo di sistemi di IA generativa comporti il trattamento di dati personali.”

— GEPD (Garante Europeo della Privacy), Linee guida sull’intelligenza artificiale generativa e i dati personali

“Parere favorevole sullo schema di disegno di legge governativo su AI, recante anche delega legislativa per l’adeguamento al Regolamento Ue sull’Intelligenza Artificiale.”

— Garante Privacy italiano, Parere sullo schema di DDL AI

Risorse ufficiali da consultare

Sei fonti autorevoli per approfondire, rivolgere quesiti o segnalare violazioni.

  • Garante Privacy — Sito ufficiale — URP, guide, pareri, provvedimenti
  • Garante Privacy — Guida GDPR — Applicazione pratica per PMI e PA
  • Garante Privacy — Data breach — Definizioni e gestione violazioni
  • Garante Privacy — Misure di sicurezza — Art. 32 GDPR
  • Garante Privacy — Gestione rischi — ENISA tool e accountability
  • InSic — Linee guida GEPD — AI generativa e protezione dati

Sintesi e prossimi passi

Il quadro normativo italiano sulla privacy digitale si sta adattando rapidamente alle sfide poste dall’intelligenza artificiale. L’AI Act introduce obblighi stringenti per i sistemi ad alto rischio, il Garante Privacy rafforza il suo ruolo di autorità di controllo e il DDL AI italiano — pur con cautele — procede verso un recepimento che tenga conto delle specificità nazionali.

Per le aziende italiane, l’adeguamento non è più un progetto da rimandare: DPIA, governance dei dati, formazione del personale e accountability documentata diventeranno requisiti concreti, non solo raccomandazioni. Per i cittadini, la consapevolezza dei propri diritti — e la pratica quotidiana di rifiutare cookie inutili, limitare le condivisioni online e rivolgersi al Garante in caso di violazioni — è il primo strumento di protezione.

Il Data Act in arrivo il 12 settembre 2025 porterà ulteriori novità. Per tutti gli attori coinvolti — imprese, pubblica amministrazione e singoli cittadini — la parola d’ordine resta una: vigilare.

Letture correlate: Pa Digitale Italia – Guida Completa al Piano 2026 · Cybersecurity Italia: ACN, Stipendi e Aziende Principali

Fonti aggiuntive

garanteprivacy.it, garanteprivacy.it, garanteprivacy.it, garanteprivacy.it

Il Garante per la Protezione dei Dati Personali applica il GDPR in modo concreto, come spiegato nella guida alle normative privacy che integra regole europee con prassi italiane quotidiane.

Da non perdere

Domande frequenti

Cos’è un data breach?

Un data breach è una violazione della sicurezza che compromette la riservatezza, l’integrità o la disponibilità dei dati personali. Quando si verifica, il titolare del trattamento deve notificarla al Garante entro 72 ore e, se il rischio è elevato, comunicarla anche agli interessati. Il Garante può prescrivere misure correttive ai sensi dell’art. 58 GDPR.

Quali sono le competenze digitali per la privacy?

Le competenze digitali legate alla privacy includono la capacità di configurare impostazioni sulla privacy dei propri account, comprendere cosa significano i cookie e come gestirli, sapere come esercitare i diritti GDPR (accesso, rettifica, cancellazione, portabilità) e riconoscere tentativi di phishing o furto d’identità.

Come proteggere i dati su social media?

Imposta la visibilità dei profili su “privato” invece che “pubblico”, limita le informazioni condivise (evita dati sensibili, localizzazione in tempo reale, foto identificabili di minori), verifica periodicamente le app collegate al tuo account, attiva dove possibile l’autenticazione a due fattori e controlla se la piattaforma consente l’opt-out dall’uso dei dati per l’addestramento AI.

Quali multe per violazioni GDPR in Italia?

Le sanzioni GDPR possono raggiungere 20 milioni di euro oppure il 4% del fatturato mondiale annuo totale dell’impresa, qualora risulti più elevato. Il Garante Privacy ha inflitto sanzioni significative a importanti multinazionali tech per violazioni legate a trattamenti di dati non conformi.

Differenza tra cookie necessari e profiling?

I cookie tecnici necessari servono al funzionamento del sito (es. carrello acquisti, login) e non richiedono consenso. I cookie di profilazione e tracciamento raccolgono dati sul comportamento di navigazione per creare profili utente destinati a pubblicità mirata: richiedono consenso esplicito e possono essere rifiutati senza conseguenze per l’accesso al sito.

Come contattare Garante Privacy?

Il Garante Privacy gestisce l’Ufficio Relazioni con il Pubblico (URP) raggiungibile tramite il sito www.garanteprivacy.it. È possibile presentare segnalazioni, reclami o richieste di informazioni compilando i moduli online o inviando comunicazioni attraverso i canali ufficiali indicati sul sito.

Privacy digitale per aziende italiane?

Per le aziende italiane, la privacy digitale richiede l’adozione di misure tecniche e organizzative adeguate al rischio (art. 32 GDPR), la designazione di un DPO quando richiesto, la tenuta di un registro delle attività di trattamento, la conduzione di DPIA per trattamenti ad alto rischio, la formazione del personale e l’implementazione di procedure per la gestione dei data breach.