Garante Privacy: definito il piano ispettivo per il primo semestre 2026. Focus su data breach, whistleblowing, telemarketing e AI nelle scuole

Con il provvedimento n. 797 del 30 dicembre 2025, il Garante per la protezione dei dati personali ha approvato il piano delle attività ispettive per il primo semestre 2026. Nonostante il periodo turbolento attraversato dall’Autorità, le attività proseguiranno regolarmente.

La Deliberazione del 30 dicembre 2025, pubblicata ai sensi del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante, individua le priorità ispettive per la prima parte dell’anno.

Banche dati pubbliche e data breach

Proseguiranno le attività della task force interdipartimentale sui data breach che hanno coinvolto banche dati pubbliche di particolare rilievo e delicatezza. Le verifiche riguarderanno i sistemi di sicurezza e i profili di accessibilità, al fine di contrastare accessi abusivi e rivendita di informazioni riservate. Previsti inoltre approfondimenti tecnici sulle violazioni di dati personali comunicate all’Autorità, con particolare riguardo ai casi più estesi e delicati, in ambito pubblico e privato.

Whistleblowing, AI e dossier sanitario

Il piano contempla la prosecuzione delle verifiche sugli applicativi maggiormente diffusi per la gestione delle segnalazioni di whistleblowing e sui trattamenti di dati contenuti nel dossier sanitario.

Sono inoltre previste verifiche sull’utilizzo di strumenti di intelligenza artificiale in ambito scolastico, con riferimento ai trattamenti di dati personali connessi.

Telemarketing, settore energetico e Sistema informativo doganale

Continueranno le attività ispettive sull’illecito trattamento di dati a fini di telemarketing, con particolare attenzione al settore energetico.

Tra le priorità rientrano anche i trattamenti effettuati nell’ambito del Sistema informativo doganale, ai sensi dell’art. 154, comma 2, lett. c) del Codice, e gli approfondimenti sulle policy e sulle tecniche di anonimizzazione adottate dalle Telco per la condivisione dei big data, alla luce della sentenza della CGUE del 4 settembre 2025.

Modalità e numeri delle ispezioni

Le ispezioni potranno essere svolte sia presso le sedi dei soggetti interessati sia da remoto, anche tramite accertamenti online su trattamenti effettuati via web da titolari pubblici e privati.

I controlli riguarderanno i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali, con l’obiettivo di verificarne la conformità al GDPR e alla normativa di settore.

Come previsto dal protocollo del 30 marzo 2021, le attività saranno condotte anche in collaborazione con il Nucleo Speciale Tutela privacy e frodi informatiche della Guardia di finanza. Il piano prevede almeno 40 accertamenti ispettivi, ferma restando la possibilità di ulteriori attività d’ufficio o a seguito di segnalazioni e reclami.