Data & Technology Innovation | Insight Gennaio 2026

Insights
Privacy e diritto dell'innovazione

Data & Technology Innovation | Insight Gennaio 2026

Contenuti
Intro
Autori

Creazione obbligatoria di account per l’e-commerce: le nuove raccomandazioni dell’EDPB chiariscono i limiti per i titolari del trattamento

Data protection – eCommerce

Il 3 dicembre 2025, l’European Data Protection Board (EDPB) ha pubblicato le Raccomandazioni 2/2025 sull’obbligo di creazione di un account utente nei siti e-commerce. Attualmente in consultazione pubblica, il documento si propone di fare chiarezza su una prassi ormai comune: costringere gli utenti ad aprire un account per poter concludere un acquisto online.

Secondo l’EDPB, questa modalità – seppur giustificabile da esigenze commerciali – può comportare rischi non trascurabili per la privacy, soprattutto quando associata alla raccolta massiva di dati, alla profilazione non necessaria o a meccanismi di design ingannevole che spingono inconsapevolmente l’utente a fornire più informazioni del dovuto. Il principio guida è semplice: l’obbligo di creare un account deve essere un’eccezione, non la regola, e l’opzione di “guest checkout”, ovvero la possibilità di finalizzare l’acquisto senza registrarsi, rappresenta la modalità che meglio garantisce aderenza ai principi di necessità e minimizzazione del trattamento, sanciti dal GDPR (articoli 5 e 25).

Nel documento, l’EDPB analizza le principali basi giuridiche invocate dai titolari (esecuzione del contratto, obbligo legale, interesse legittimo), escludendo che queste – nella maggior parte dei casi – possano giustificare la creazione forzata di un account. Se l’utente intende acquistare un prodotto singolo, la transazione può benissimo essere completata senza alcuna registrazione; e anche obiettivi legittimi come la prevenzione delle frodi o la fidelizzazione possono essere raggiunti con modalità meno intrusive.

Restano pochi casi specifici in cui il requisito di un account può dirsi giustificato: servizi in abbonamento (che richiedono interazioni continue e autenticate), oppure accessi riservati a vere e proprie “comunità chiuse” con criteri di ammissione selettivi. Un generico programma fedeltà, invece, non basta a rendere lecita l’imposizione dell’account.

Per i titolari, il messaggio è chiaro: offrire una reale scelta all’utente è ormai una componente imprescindibile del principio di privacy by design. Ciò implica non solo dare evidenza della possibilità di acquistare come ospite, ma anche spiegare con chiarezza le finalità legate all’account e fondare ciascun trattamento su una base giuridica distinta e valida (come il consenso esplicito, se richiesto). In conclusione, le Raccomandazioni 2/2025 non introducono nuovi obblighi, ma fissano un chiaro standard operativo per tutti gli operatori del commercio elettronico: ripensare l’esperienza utente in modo da garantire trasparenza, controllo e rispetto della libertà individuale nelle scelte di acquisto.

AIMAG sanzionata dal Garante: misure di sicurezza insufficienti e consensi non validi

Data protection

Con provvedimento del 27 novembre 2025 (n. 10202135), il Garante per la protezione dei dati personali ha inflitto una sanzione di 300.000 euro ad AIMAG S.p.A., società multiutility attiva nei settori energetico, idrico e ambientale, per gravi violazioni del GDPR in materia di sicurezza e trattamento dei dati a fini promozionali

L’istruttoria è partita dalla segnalazione di un utente che lamentava falle nella procedura di registrazione all’area riservata del sito aziendale: il Garante ha accertato che bastava inserire il codice fiscale dell’intestatario e un qualunque indirizzo e-mail per creare un account e accedere ai suoi dati personali, tra cui indirizzo di residenza, storico dei consumi, recapiti e informazioni di fatturazione.

Una simile vulnerabilità ha portato l’Autorità a contestare ad AIMAG la violazione dell’art. 32 GDPR, per non aver adottato misure di sicurezza adeguate: in particolare, il sistema di autenticazione non garantiva la verifica dell’identità dell’utente, contravvenendo al principio di integrità e riservatezza (art. 5, par. 1, lett. f) GDPR).

Nel corso delle indagini sono emerse ulteriori irregolarità:

  • AIMAG trattava i dati degli utenti per finalità di marketing e customer satisfaction senza un valido consenso;
  • i checkbox relativi all’informativa privacy e all’uso dei dati per finalità commerciali risultavano già selezionati, in violazione del principio di azione positiva e inequivocabile richiesto dal GDPR;
  • i dati trattati a fini promozionali venivano conservati senza limiti di tempo documentati, violando il principio di limitazione della conservazione (art. 5, par. 1, lett. e)).

Il caso AIMAG conferma l’orientamento del Garante volto a rafforzare l’accountability dei titolari e a garantire l’effettiva adozione di misure di sicurezza adeguate. In particolare, questo caso ricorda a tutti gli operatori digitali la necessità di concentrare l’attenzione su tre fronti: autenticazione degli utenti, gestione del consenso e definizione dei tempi di conservazione.

AI Act: pubblicata la prima bozza del “Code of Practice on Transparency of AI-Generated Content”

Artificial Intelligence

Il 17 dicembre 2025 è stata pubblicata la prima bozza del Code of Practice on Transparency of AI-Generated Content (di seguito il “Codice”), strumento di adesione volontaria (per maggiori dettagli sulla natura di tali codici, ti invitiamo a consultare il nostro articolo cliccando qui) che fornisce indicazioni operative per adempiere agli obblighi di trasparenza sui contenuti generati con l’IA previsti dall’Articolo 50 del Regolamento UE 2024/1689 (“AI Act”).

Dopo un’introduzione, il Codice si articola in due sezioni con regole dedicate: (i) Sezione 1, rivolta ai fornitori (providers) di sistemi di IA generativa; (ii) Sezione 2, rivolta agli utilizzatori (deployers) dei sistemi di IA. Di seguito i principali elementi da tenere in considerazione per ciascuna categoria di soggetti.

Sezione 1 – Providers

  • Approccio multi-livello (multi-layered): il Codice richiede la combinazione delle seguenti tecnologie di tracciabilità dei contenuti: (i) metadati (embedding): firme digitali e informazioni sulla provenienza; (ii) watermarking: filigrane impercettibili; (iii) fingerprinting/logging (ove necessario): registri o impronte digitali per verificare la provenienza dell’output.
  • Responsabilità lungo la catena di provenienza: i fornitori a monte devono facilitare la conformità di chi integra i loro modelli; per i modelli “open-weight” (parametri disponibili pubblicamente) la marcatura strutturale dovrebbe essere incorporata nei “pesi” del modello in fase di addestramento.
  • Strumenti di verifica: i fornitorihanno l’obbligo di mettere a disposizione gratuitamente interfacce (API) o strumenti pubblici per consentire a terzi di rilevare i contenuti sintetici.

Sezione 2 – Deployers

  • Tassonomia della trasparenza: i contenuti devono essere classificati chiaramente in: (i) interamente generati dall’IA, senza alcun contributo umano significativo; (ii) assistiti dall’IA, dove l’IA ha alterato elementi fattuali, emotivi o stilistici.
  • Deepfake: il Codice prevede l’adozione di un’icona comune, visibile o adeguata al contesto (es. disclaimer visibile per i video e vocale per contenuti audio). In attesa di definizione, il Codice suggerisce l’uso provvisorio di acronimi come “AI” o “IA”.
  • Eccezione: l’obbligo di etichettatura per i testi di interesse pubblico non si applica se il contenuto ha subito una revisione umana sostanziale (assicurando la responsabilità editoriale tramite procedure di controllo interno).

Questa prima bozza del Codice costituisce una base sulla quale saranno sviluppati ulteriori perfezionamenti, ed è pertanto soggetta a modifiche. In vista della seconda bozza del Codice, la Commissione invita i soggetti interessati a trasmettere feedback entro il 23 gennaio 2026.

UE-Regno Unito: la Commissione Europea conferma le decisioni di adeguatezza fino al 2031

Data protection

Il 19 dicembre 2025, la Commissione Europea ha rinnovato le due decisioni di adeguatezza per la libera circolazione dei dati personali tra Unione Europea e Regno Unito: la decisione di adeguatezza 1772/2021 a norma del GDPR e la decisione di adeguatezza 1773/2021 a norma della direttiva (UE) 2016/680 (che concerne il trasferimento di dati personali nell’ambito delle attività di law enforcement), confermando ed emendando le valutazioni originarie del 2021.

Sulla base di tali nuove decisioni, i flussi di dati personali tra il Regno Unito e lo Spazio Economico Europeo (SEE) possono proseguire senza ostacoli, sotto la garanzia di un livello di protezione “sostanzialmente equivalente” a quello previsto dalla legislazione europea.

Le decisioni di rinnovo seguono un’estensione tecnica di sei mesi disposta il 24 giugno 2025, resasi necessaria per valutare, alla luce dei criteri di adeguatezza dell’Articolo 45(2) del GDPR, l’impatto del nuovo Data (Use and Access) Act sulla legislazione britannica in materia di protezione dei dati personali, costituita essenzialmente dal United Kingdom General Data Protection Regulation (UK GDPR) e dal Data Protection Act del 2018.

Nonostante le recenti riforme legislative nel Regno Unito, la Commissione ha concluso che il quadro giuridico d’oltremanica continua a offrire garanzie “sostanzialmente equivalenti” a quelle previste dal GDPR e dalla direttiva (UE) 2016/680, nota anche come direttiva LED (che si riferisce ai dati trattati da autorità di polizia e giustizia penale).

La Commissione ha in sintesi ritenuto, nella propria valutazione, che i meccanismi di controllo e le vie di ricorso previsti dalla legislazione del Regno Unito continuino a consentire l’individuazione e l’adeguata punizione delle violazioni dei diritti degli interessati nonché offrano a quest’ultimi rimedi giuridici per accedere ai dati personali che li riguardano ed, eventualmente, ottenere anche la rettifica o la cancellazione di tali dati. In quest’ottica, è stato sottolineato che la futura Information Commission, che sostituirà l’attuale Information Commissioner’s Office (ICO), continuerà a esercitare in maniera indipendente i compiti di autorità di controllo.

Un ulteriore elemento rilevante che ha influenzato la valutazione della Commissione è stato l’impegno del Regno Unito nei confronti della Convenzione Europea dei Diritti dell’Uomo (CEDU) e la sua sottoposizione alla giurisdizione della Corte Europea dei Diritti dell’Uomo (CEDU), garanzie internazionali di fondamentale importanza per la valutazione del livello di protezione.

Le nuove decisioni di adeguatezza avranno una durata di sei anni, con scadenza fissata per il 27 dicembre 2031. La Commissione, in collaborazione con l’European Data Protection Board (EDPB), effettuerà una revisione periodica almeno ogni quattro anni per assicurare che il livello di protezione equivalente non venga meno nel tempo.

Revisione del regolamento eIDAS: identità digitale paneuropea e wallet europei

Identità Digitale & Trust Services

Con il Regolamento (UE) 2024/1183, noto come eIDAS 2.0, l’Unione Europea ridisegna il quadro dell’identità digitale, puntando su un sistema interoperabile e sicuro a livello comunitario. In vigore dal 20 maggio 2024, la nuova disciplina aggiorna il regolamento del 2014 per superare la frammentazione tra i sistemi nazionali e costruire un modello unico di identificazione e autenticazione digitale.

Elemento chiave è il European Digital Identity Wallet (EUDI Wallet), che ogni Stato membro dovrà offrire gratuitamente a cittadini, residenti e imprese entro fine 2026. Questo strumento consentirà di dimostrare l’identità online e offline, conservare e condividere documenti digitali verificabili (es. certificati, patenti, titoli professionali) e firmare digitalmente con pieno valore legale.

Il wallet assicurerà un accesso più semplice e sicuro a servizi pubblici e privati, riducendo costi e rischi delle autenticazioni tradizionali, e garantendo pieno controllo da parte dell’utente su quali dati condividere e con chi. Privacy e sicurezza sono al centro del sistema, che adotta standard tecnici avanzati e il principio di minimizzazione dei dati.

Oltre al wallet, eIDAS 2.0 stabilisce regole comuni per identità elettroniche, attributi verificabili e servizi fiduciari qualificati, rafforzando la cooperazione tra Stati membri e con il settore privato. Vengono introdotti anche requisiti di interoperabilità e sicurezza, da attuarsi tramite appositi atti esecutivi in fase di adozione.

Uno dei tratti più innovativi del nuovo regolamento è il focus sugli attributi digitali verificabili: informazioni certificate – come data di nascita, qualifiche professionali o titoli di studio – che potranno essere integrate nel wallet e condivise in modo selettivo. Questo approccio apre a nuovi servizi digitali, ma impone anche una rigorosa governance basata sul privacy by design e sul rispetto delle norme del GDPR.

La roadmap è già tracciata: entro il 2026, gli Stati membri dovranno rendere disponibile almeno un wallet nazionale, mentre entro il 2027 determinati servizi regolamentati (es. banche, PA, telco) dovranno accettarlo come strumento di autenticazione sicura.

In sintesi, eIDAS 2.0 e il sistema dei wallet europei rappresentano una svolta strategica per il mercato digitale europeo, ponendo le basi per un’identità digitale sicura, trasparente e universalmente riconosciuta su scala UE.

Data
Articoli correlati
Guarda tutti +
Consulta i nostri professionisti
Contattaci