Salta al contenuto
Novità Intelligenza artificiale Principi GDPR Privacy Cooperazione EDPB GDPR intelligenza artificiale Regolatori

L’EDPB chiede una base legale per la condivisione di informazioni tra regolatori

L’EDPB chiede una base legale per la condivisione di informazioni tra regolatori

In sintesi

Il Garante europeo per la protezione dei dati (EDPB) ha sollecitato la Commissione Europea a proporre una chiara base legale per la condivisione di informazioni tra diverse autorità regolatorie dell'UE. L'obiettivo è rafforzare la coerenza e l'efficienza nell'applicazione del GDPR, specialmente di fronte alla crescente complessità dei reclami legati all'uso dell'intelligenza artificiale. L'EDPB mira a migliorare la cooperazione tra le Autorità di Protezione Dati (DPA) attraverso nuove soluzioni pratiche e legislative.

Contesto

Durante una riunione ad alto livello tenutasi a Dublino il 16 e 17 luglio 2026, l'European Data Protection Board (EDPB) ha evidenziato la necessità di una chiara base legale che faciliti lo scambio di informazioni, anche confidenziali, tra autorità regolatorie con competenze diverse operanti sotto il diritto dell'UE. Questa richiesta è motivata dall'esperienza diretta nella cooperazione con altri regolatori digitali europei, che ha rivelato ostacoli all'efficacia della collaborazione e all'ottenimento di risultati coerenti nell'applicazione normativa.
Il Board ha inoltre discusso misure per espandere gli sforzi a supporto di un'applicazione consistente del Regolamento Generale sulla Protezione dei Dati (GDPR), promuovendo una più intensa cooperazione tra le Autorità di Protezione Dati (DPA). È stato rilevato un considerevole aumento del numero e della complessità dei reclami, in parte attribuibile al crescente utilizzo dell'intelligenza artificiale, che sta mettendo sotto pressione le risorse già limitate delle DPA e ne ostacola la capacità di svolgere efficientemente i propri compiti ai sensi del GDPR.
Per affrontare queste sfide, le DPA hanno sottolineato la necessità di soluzioni pratiche e legislative, inclusa la possibilità di raggruppare risorse per approfondire la cooperazione e l'organizzazione di workshop sugli enforcement e le pratiche nazionali. L'EDPB si è impegnato a espandere il dialogo con altri attori nell'ecosistema della protezione dei dati per supportare una maggiore coerenza nell'applicazione del GDPR e ha fatto il punto sulle azioni intraprese in seguito alla Dichiarazione di Helsinki del 2025, migliorando la qualità delle linee guida e l'engagement degli stakeholder.

Perché conta

Questa iniziativa è di grande rilevanza per le organizzazioni che trattano dati personali in quanto preannuncia un rafforzamento della coerenza e dell'efficacia nell'applicazione del GDPR a livello europeo. La richiesta di una base legale per la condivisione di informazioni tra autorità regolatorie diverse, implica che le aziende potrebbero trovarsi di fronte a indagini e azioni di enforcement più coordinate, superando frammentazioni tra settori e giurisdizioni. Questo richiederà un approccio più integrato e robusto alla compliance, riducendo le incertezze derivanti da interpretazioni divergenti delle normative.
L'aumento dei reclami correlati all'uso dell'intelligenza artificiale segnala una crescente attenzione delle autorità e del pubblico sui rischi per la privacy associati all'IA. Le organizzazioni che sviluppano o implementano soluzioni di IA dovranno rafforzare le proprie misure di conformità al GDPR e all'imminente AI Act, adottando principi di privacy by design e by default e conducendo rigorose valutazioni d'impatto sulla protezione dei dati (DPIA). La maggiore cooperazione e le operazioni congiunte tra DPA significano che le non conformità avranno conseguenze probabilmente più ampie e coordinate a livello transfrontaliero, rendendo essenziale per DPO e responsabili IT garantire un'elevata conformità al GDPR e considerare l'allineamento con standard di gestione della sicurezza delle informazioni.

Cosa fare

  • Rafforzare le misure di conformità al GDPR, in particolare per le operazioni di trattamento transfrontaliere e per i trattamenti complessi.
  • Monitorare gli sviluppi legislativi e le linee guida relative alla condivisione di informazioni tra autorità regolatorie e alla futura Regolamentazione Procedurale.
  • Valutare attentamente le implicazioni sulla privacy e i rischi per i dati personali derivanti dall'uso di sistemi di intelligenza artificiale, adottando principi di privacy by design e by default.
  • Prepararsi a un potenziale aumento delle indagini e delle azioni di enforcement coordinate tra diverse autorità regolatorie europee.

Cosa evitare

  • Ignorare le crescenti complessità dei reclami legati all'intelligenza artificiale e le relative implicazioni per la privacy.
  • Sottovalutare l'importanza della cooperazione tra diverse autorità regolatorie e la conseguente necessità di un approccio alla compliance integrato.
  • Non prepararsi a un enforcement del GDPR più coordinato e consistente a livello europeo, sia in termini di risorse che di processi.

Implicazioni pratiche

Le organizzazioni si troveranno a operare in un ambiente normativo in cui la cooperazione tra le autorità di protezione dei dati e altri regolatori sarà più forte e coordinata. Questo richiederà che la gestione della conformità non sia più frammentata per area di competenza, ma adotti un approccio olistico. L'uso dell'intelligenza artificiale sarà sotto un'attenzione sempre maggiore, aumentando la necessità di implementare misure tecniche e organizzative adeguate per la protezione dei dati sin dalla fase di progettazione e sviluppo dei sistemi.

Azioni da fare

  • Implementare processi interni per la gestione coordinata dei reclami e delle indagini da parte di più autorità (DPA, autorità settoriali, ecc.).
  • Formare il personale, in particolare DPO e team IT, sulle nuove sfide legate all'applicazione del GDPR e all'uso responsabile dell'intelligenza artificiale.
  • Verificare regolarmente la conformità delle proprie soluzioni di intelligenza artificiale con i principi di protezione dei dati e i requisiti normativi pertinenti, conducendo DPIA periodiche.

Errori da evitare

  • Considerare la privacy e la cybersecurity come ambiti isolati anziché interconnessi, specialmente in contesti regolatori che richiedono maggiore collaborazione tra autorità.
  • Ritardare l'adeguamento delle proprie politiche e procedure all'evolvere del quadro normativo, in particolare per l'intelligenza artificiale, attendendo l'entrata in vigore di nuove leggi senza anticipare i rischi.

Domande di self-assessment

  • La nostra organizzazione ha un processo robusto e integrato per la gestione delle indagini e dei reclami da parte di diverse autorità regolatorie (es. DPA e altre autorità settoriali o digitali)?
  • Come valutiamo e mitighiamo i rischi per la privacy derivanti dall'uso di sistemi di intelligenza artificiale, e le nostre DPIA sono aggiornate e complete?
  • Le nostre policy e procedure interne riflettono l'esigenza di una maggiore coerenza e cooperazione nell'applicazione del GDPR, specialmente in operazioni transfrontaliere o complesse?

Riferimenti

Normativa nazionale: Regolamento Generale sulla Protezione dei Dati (GDPR) · Futura Regolamentazione Procedurale

Leggi l'articolo originale su EDPB ↗

Leggi anche