Giovedì 2 luglio 2026, il Garante per la protezione dei dati personali ha presentato in Parlamento la Relazione sull’attività svolta nel sesto anno di mandato del Collegio, composto da Pasquale Stanzione, Ginevra Cerrina Feroni e Agostino Ghiglia.
Il documento fotografa un anno segnato dalla rapida diffusione dell’intelligenza artificiale e dalle nuove sfide poste dalla trasformazione digitale, con interventi che hanno riguardato innovazione, sanità, scuola, lavoro, tutela dei minori e contrasto al telemarketing aggressivo (in copertina: immagine di repertorio creata con l’intelligenza artificiale).
Il garante della privacy: “IA con ruolo geostrategico centrale nei conflitti”
L’intelligenza artificiale è stata al centro dell’attività dell’Autorità. Tra i principali interventi figura la decisione di limitare il trattamento dei dati degli utenti italiani da parte delle società cinesi che gestiscono DeepSeek, il sistema di IA conversazionale che aveva registrato milioni di download in pochi giorni.
Particolare attenzione è stata dedicata anche alla prevenzione dell’utilizzo di dati raccolti tramite tecniche di web scraping per l’addestramento dei sistemi di intelligenza artificiale generativa.
“L’intelligenza artificiale, nuova infrastruttura del potere, è divenuta il terreno primario di competizione geopolitica, con una corsa all’indipendenza e alla supremazia tecnologica che riflette una nuova idea di sovranità” ha dichiarato il presidente del Garante per la Privacy Pasquale Stanzione.

Ha inoltre sottolineato come l’uso degli algoritmi si sia intensificato in guerra, dall’Ucraina all’Iran.
“Nel drammatico moltiplicarsi dei fronti di guerra l’IA assume un ruolo anche geostrategico sempre più centrale. Da un lato, la progressiva estensione della guerra (appunto cognitiva) nel quinto dominio operativo pone le democrazie in svantaggio rispetto alle autocrazie, dovendo salvaguardare – per non tradire se stesse – istanze pluraliste, non consentendo la manipolazione algoritmica dell’informazione. Dall’altro lato se l’uso degli algoritmi si è progressivamente intensificato nel passaggio tra la guerra in Ucraina e il conflitto mediorientale l’attacco israelo-statunitense Epic Fury all’Iran ha rappresentato la prima guerra ‘AI First’ in cui l’IA ha assunto una priorità non solo cronologica nelle azioni belliche, spostando sempre più la conflittualità nel quinto dominio operativo.
La difficile comprensibilità delle logiche algoritmiche e la conseguente scarsa prevedibilità dei comportamenti degli attori statali ridefiniscono, quindi, in senso multilivello quella deterrenza su cui per decenni si era fondato l’equilibrio geostrategico, in una sorta di nuova guerra fredda“.
Deepfake e deepnude
Nel corso del 2025 il Garante ha avviato un’istruttoria sul fenomeno dei deepfake, rilevando la diffusione di numerose piattaforme capaci di generare contenuti audio, fotografici e video realistici utilizzando immagini e voci di altre persone.
Per questo motivo è stato adottato un provvedimento di avvertimento nei confronti degli utilizzatori di piattaforme come Grok, ChatGPT e Clothoff, richiamando anche i fornitori di questi servizi a progettare strumenti conformi alla normativa sulla protezione dei dati personali.
L’Autorità è intervenuta inoltre contro il fenomeno dei cosiddetti deepnude, disponendo la limitazione provvisoria del trattamento dei dati personali nei confronti della società con sede nelle Isole Vergini Britanniche che gestisce l’applicazione Clothoff, in grado di creare immagini artificiali di persone prive di indumenti senza il loro consenso.
Intelligenza artificiale a scuola
Sul fronte dell’istruzione il Garante ha espresso parere favorevole sul decreto del Ministero dell’Istruzione e del Merito relativo all’introduzione di un servizio basato sull’intelligenza artificiale nella Piattaforma Unica.
Contestualmente sono state adottate le Linee guida per l’impiego dell’IA nelle scuole, con l’obiettivo di promuovere un utilizzo sicuro, etico e rispettoso dei diritti fondamentali, ponendo al centro la tutela della persona.
Stop al FaceBoarding
Tra i provvedimenti più significativi figura anche la sospensione del sistema di riconoscimento facciale FaceBoarding dell’aeroporto di Milano Linate.
L’Autorità ha ritenuto il sistema non conforme al Regolamento europeo sulla protezione dei dati (GDPR), accertando che i dati biometrici di oltre 24.500 passeggeri venivano conservati in un archivio centralizzato senza adeguate garanzie per gli interessati.
Privacy nella sanità
Nel settore sanitario il Garante ha espresso 28 pareri su decreti e regolamenti, ribadendo l’importanza dei principi di “privacy by design“, minimizzazione dei dati, trasparenza e responsabilizzazione.
Sono inoltre emerse criticità nella gestione dei dossier sanitari, nelle procedure di identificazione dei pazienti e nella prevenzione degli accessi abusivi ai sistemi informativi. Prosegue anche il confronto con il Ministero della Salute e Agenas sul progetto di una piattaforma di intelligenza artificiale destinata all’assistenza primaria.
Digitalizzazione della PA
Nel corso del 2025 il Garante ha continuato l’attività consultiva sui processi di digitalizzazione della Pubblica amministrazione, con particolare attenzione al Sistema IT Wallet e al futuro Portafoglio europeo di identità digitale (EUDI Wallet), contribuendo ad assicurarne la conformità alla normativa sulla protezione dei dati personali.
Tutela dei minori
L’Autorità ha proseguito l’attività di vigilanza sull’accesso dei minori ai social network, anche attraverso sistemi di verifica dell’età (age verification).
Grande attenzione è stata riservata anche al fenomeno dello sharenting, ovvero la condivisione online da parte dei genitori di immagini e contenuti riguardanti i figli. Per sensibilizzare famiglie e cittadini sono state promosse la campagna “La sua privacy vale più di un like” e il podcast “Foto di minori online: consigli pratici per genitori troppo social”.
Controlli nei luoghi di lavoro
Numerosi anche gli interventi in materia di lavoro, con verifiche sull’utilizzo della posta elettronica aziendale, della videosorveglianza e degli strumenti basati sull’intelligenza artificiale.
Tra i casi più rilevanti figura il divieto imposto, in via d’urgenza, ad Amazon Italia Logistica di trattare dati personali di oltre 1.800 lavoratori dello stabilimento di Passo Corese, riguardanti salute, attività sindacale e vita privata, raccolti e conservati per un periodo ritenuto non conforme alla normativa.
L’Autorità ha inoltre richiamato l’attenzione sui rischi legati ai sistemi di videosorveglianza nelle piccole imprese e ha inviato un avvertimento a una start-up italiana che aveva sviluppato un plug-in per Slack e Teams capace di analizzare, tramite intelligenza artificiale, il livello di stress psicologico dei lavoratori.
Telemarketing e consumatori
Anche nel 2025 è proseguita l’azione contro il telemarketing aggressivo, con pesanti sanzioni soprattutto nel settore energetico, dove sono stati contestati trattamenti di dati effettuati senza il consenso degli utenti.
Il Garante ha concentrato la propria attività sui call center che operano attraverso banche dati acquisite illecitamente o comunque in violazione della disciplina sulla protezione dei dati personali.
Privacy e diritto di cronaca
La Relazione dedica infine spazio al delicato equilibrio tra diritto all’informazione e tutela della privacy.
In più occasioni il Garante è intervenuto per richiamare media e operatori dell’informazione a evitare eccessi di dettagli, spettacolarizzazione e morbosità nella narrazione di vicende tragiche, ribadendo la necessità di rispettare la dignità e la riservatezza delle persone coinvolte.