The EU-U.S. Data Privacy Framework and international data transfers: insights from the updated EDPB FAQs for European businesses
6 Febbraio 2026
For many European organizations, transferring personal data to the United States has long been one of the most legally sensitive aspects of GDPR compliance. The invalidation of previous legal framework created uncertainty and forced companies to rely heavily on Standard Contractual Clauses (“SCC”) and complex transfer assessments. The EU-U.S. Data Privacy Framework (“DPF”) reshapes this […]
Uso distorto dell’AI: il sottile equilibrio tra efficienza e abuso comunicativo
16 Dicembre 2025
Oltre la metà dei messaggi indesiderati viene oggi generata da sistemi di intelligenza artificiale (“IA”), con incrementi significativi di anno in anno[1]. Infatti, se nel 2024 la quota di spam prodotto da strumenti di IA si attestava intorno al 40%, nel 2023 non superava nemmeno il 10%. Si tratta di un incremento di natura esponenziale, […]
Chat control: obblighi, rischi e prospettive per i fornitori di servizi digitali
29 Settembre 2025
La recente Proposta di Regolamento UE per la prevenzione e la lotta contro l’abuso sessuale sui minori (il c.d. chat control – la “Proposta”) potrebbe incidere in modo significativo sull’operatività dei fornitori di servizi digitali che offrono i loro servizi in Europa. L’obiettivo dichiarato è quello di rafforzare gli strumenti di contrasto agli abusi online, […]
Data breach negli hotel: obblighi, rischi e tutele
10 Settembre 2025
Nell’estate 2025 diversi hotel italiani sono stati colpiti da gravi violazioni di dati personali: migliaia di scansioni digitali di passaporti, carte d’identità e altri documenti di riconoscimento sarebbero finite nelle mani dei cybercriminali. Secondo quanto comunicato dal Garante per la protezione dei dati personali, alcune strutture hanno notificato tempestivamente l’incidente, mentre altre sono state sollecitate […]
Garante Privacy: double opt-in e consenso per finalità di marketing
1 Settembre 2025
Il Garante Privacy, con il Provvedimento n. 330/2025 (doc. web 10143278 – il “Provvedimento”) ha recentemente inflitto una sanzione di 45mila euro a un rivenditore di auto online per trattamento illecito di dati personali a fini di marketing. In questi casi, per raccogliere consensi validi non è sufficiente spuntare una casella: il consenso deve essere […]
Registro dei trattamenti: verso l’esenzione per le imprese fino a 750 dipendenti? Il parere di EDPB ed EDPS
10 Luglio 2025
L’European Data Protection Board (“EDPB”) e l’European Data Protection Supervisor (“EDPS”) hanno recentemente pubblicato un parere congiunto (il “Parere”) sulla proposta di regolamento presentata dalla Commissione europea nel contesto del Quarto pacchetto Omnibus di semplificazione normativa (la “Proposta”). Tra le varie norme oggetto di revisione, la proposta prevede significative modifiche al Regolamento (UE) 2016/679 (“GDPR”), […]
Garante Privacy: prima applicazione operativa del documento di indirizzo sul trattamento dei metadati nel contesto lavorativo
30 Giugno 2025
Con il Provvedimento n. 243/2025 (doc. web. 10134221), il Garante Privacy ha sanzionato la Ragione Lombardia per 50.000 euro, contestando un trattamento illecito dei metadati relativo alle e-mail dei dipendenti. Per la prima volta, l’Autorità ha dato concreta applicazione al Documento di indirizzo n. 364/2024, dedicato ai metadati di posta elettronica nel contesto lavorativo[1] (il […]
Trasferimenti transfrontalieri di dati dalla Cina: le ultime FAQ
26 Giugno 2025
Negli ultimi anni, la disciplina della data governance in Cina ha assunto una crescente rilevanza per le imprese multinazionali, chiamate ad operare all’interno di un quadro normativo complesso e in continua evoluzione. Con l’obiettivo di fornire chiarimenti interpretativi di carattere operativo, la Cyberspace Administration of China (la “CAC”) ha recentemente pubblicato una serie di FAQ […]
Replika, sanzione da 5 milioni alla società statunitense: il Garante avvia una nuova indagine sull’addestramento dell’IA
20 Maggio 2025
Il Garante privacy ha sanzionato per 5milioni di euro la società statunitense Luka Inc. che gestisce la chatbot “Replika” e ha avviato una autonoma istruttoria per verificare il corretto trattamento dei dati personali effettuato dal sistema di intelligenza artificiale generativa alla base del servizio. Ma prima di procedere: cosa è “Replika”? “Replika” è una chatbot offre un’interfaccia […]
EDPB and EDPS Provide Preliminary Feedback on the European Commission’s Draft Proposal to Simplify GDPR Record-Keeping Obligations
10 Maggio 2025
The European Data Protection Board (“EDPB”) and the European Data Protection Supervisor (“EDPS”) have jointly responded to the European Commission’s draft proposal aimed at simplifying record-keeping obligations under the GDPR. The draft proposal, planned to be part of the Fourth Omnibus package scheduled for adoption in May 2025, suggests extending the current exemption from maintaining […]
