Febbraio 2026

 

Il Garante per la Protezione dei Dati Personali ha approvato il nuovo piano semestrale di accertamenti ispettivi, definito con la deliberazione n. 797 del 30 dicembre 2025.
Si tratta di attività ispettive programmate e svolte anche con il supporto del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, come anticipato dalle analisi specialistiche sul piano ispettivo 2026. 

Il programma conferma alcuni ambiti già nel mirino dell’Autorità e introduce nuovi fronti di controllo, soprattutto in settori caratterizzati da elevato rischio per i diritti e le libertà degli interessati.
Secondo le prime ricostruzioni, saranno almeno 40 i controlli mirati previsti nel semestre.  

Di seguito una sintesi ufficiale dei punti del piano. 

 

Aree di controllo previste dal Garante per il primo semestre  

a) Databreache sicurezza delle banche dati pubbliche 

Il Garante continuerà le verifiche nell’ambito della task force interdipartimentale dedicate ai data breach che hanno colpito banche dati pubbliche di elevata rilevanza e sensibilità.
L’attenzione sarà rivolta a: 

  • misure di sicurezza adottate; 
  • profili di accessibilità dei sistemi; 
  • contrasto a accessi abusivi e rivendita di dati personali. 

Questa linea di intervento riflette quanto anticipato nelle analisi sui principali rischi 2026, con focus su vulnerabilità e incidenti di sicurezza in banche dati pubbliche e private 

b) Whistleblowing: controlli sugli applicativi più diffusi

Proseguiranno le verifiche sugli strumenti per la gestione delle segnalazioni whistleblowing, in particolare sulle piattaforme maggiormente diffuse e adottate da imprese e pubbliche amministrazioni.
I controlli riguarderanno anonimato, sicurezza, accessi e corretto trattamento delle segnalazioni. 

c) Intelligenza artificiale nelle scuole

Nuovo tema del 2026: il Garante condurrà verifiche sull’utilizzo di strumenti di intelligenza artificiale in ambito scolastico.
Si tratta di un intervento coerente con il crescente utilizzo di tecnologie AI da parte degli istituti educativi e già evidenziato come area prioritaria nelle anticipazioni del Piano Ispettivo 2026  

 d) Dossier sanitario

Prosegue l’azione di vigilanza sul trattamento dei dati contenuti nel dossier sanitario, con un focus su: 

  • misure di sicurezza applicate; 
  • modalità di accesso ai dati clinici; 
  • corretto aggiornamento e conservazione. 

 e) Telemarketing energetico

Continua l’impegno dell’Autorità nel contrasto alle pratiche illecite di telemarketing, con particolare riferimento al settore energetico.
Il tema è stato indicato anche tra le priorità costanti dell’attività ispettiva, soprattutto in relazione all’uso improprio delle banche dati e dei consensi  

 f) Sistema informativo doganale

Saranno effettuati controlli sui trattamenti di dati personali all’interno del Sistema informativo doganale, ai sensi dell’art. 154, comma 2, lett. c) del Codice Privacy. 

 g) Telco e big data: tecniche di anonimizzazione

Il Garante svolgerà verifiche per ottenere un quadro unitario sulle policy e tecniche di anonimizzazione adottate dalle Telco per la condivisione dei big data, anche alla luce della recente sentenza della Corte di Giustizia UE del 4 settembre 2025.
Questa area è indicata come uno dei nuovi punti caldi del piano ispettivo 2026, soprattutto per l’impatto sul trattamento massivo di metadati e informazioni sensibili nel settore telecomunicazioni  

 h) Verifiche tecniche su violazioni di dati personali

Sono previsti approfondimenti su data breach notificati all’Autorità, con particolare riguardo agli incidenti più estesi o complessi che hanno coinvolto organizzazioni pubbliche e private.
Verrà valutata la qualità delle misure adottate e l’efficacia delle procedure di gestione dell’incidente. 

 i) Attività ispettive d’ufficio

Oltre ai controlli programmati, il Garante si riserva di avviare ispezioni d’ufficio in presenza di urgenze, segnalazioni o reclami meritevoli di intervento immediato, come previsto dal GDPR e dal Codice Privacy. 

 

Cosa devono fare aziende e PA 

Alla luce del nuovo piano semestrale, è essenziale che organizzazioni pubbliche e private: 

  • aggiornino le valutazioni dei rischi e le DPIA; 
  • verifichino la sicurezza delle banche dati e dei sistemi informativi; 
  • revisionino le procedure sui data breach; 
  • controllino la compliance dei fornitori (soprattutto Telco, cloud provider e piattaforme whistleblowing); 
  • verifichino le informative e le basi giuridiche utilizzate; 
  • adeguino i sistemi che utilizzano AI o trattano dati sanitari. 

Il 2026 si preannuncia un anno di controlli mirati, tecnici e ad alto impatto, che confermano la centralità della privacy all’interno dei processi organizzativi.

 

Ci puoi contattare per una revisione o adeguamento del tuo sistema privacy e per un adeguamento della struttura informatica a  o al 327 0283651 

 

Articoli correlati

Recepimento della Direttiva NIS 2 IL RISK MANAGEMENT NELLE GARE DI APPALTO ISO 31000 -2018 Avviso n. 1/2022 – Fondimpresa
Formazione a sostegno dell’innovazione digitale e/o tecnologica di prodotto e/o di processo nelle imprese aderenti L’ENTERPRISE RISK MANAGEMENT e le linee guida ISO 31000: 2018