GDPR 7 anni dopo fino al 2026: tra IA Act, Data Act, Cookie e la sfida aperta del Chat Control

A sette anni dalla sua prima applicazione, il GDPR (Regolamento Generale sulla Protezione dei Dati) resta il pilastro della protezione dei dati personali in Europa.
Nonostante sia una normativa consolidata, continua ad evolversi di pari passo con le nuove tecnologie, dall’intelligenza artificiale ai complessi meccanismi di tracciamento online. Il GDPR non è solo privacy ma una vera infrastruttura che guida l’economia digitale europea, integrandosi con i nuovi regolamenti su AI Act, Data Act e sicurezza informatica. Vediamo come si è evoluto fino al 2026.

GDPR, cos’è e origini: un po’ di storia

Tutto ha inizio nel 1995 con la direttiva 95/46/CE, sancendo per la prima volta le regole sulla circolazione dei dati personali in Europa. Aggiornato poi con il nuovo regolamento 679/2016 con l’introduzione del GDPR, entrato in vigore nel maggio del 2018.

L’obiettivo: bilanciare la circolazione e la protezione dei dati, nello specifico quelli personali, quei frammenti di informazioni che, combinati tra loro, permettono di identificare una persona
fisica o giuridica.
Il principio cardine? Il CONSENSO informato, la trasparenza e la responsabilizzazione del titolare del trattamento o il responsabile.

I principi fondamentali del trattamento dei dati

L’art.5 del GDPR definisce le fondamenta su cui poggia tutta la normativa.

I dati devono essere:

• Trattati in modo lecito, corretto e trasparente.
• Raccolti per finalità determinate, esplicite e legittime.
• Conservati solo per il tempo necessario al perseguimento delle finalità (minimizzazione e
  limitazione della conservazione).
• Trattati in maniera sicura rispettandone l’integrità e la riservatezza.
• Adeguati, pertinenti ed esatti.

Il titolare del trattamento deve essere sempre in grado di dimostrare di aver ottenuto un consenso valido (art.7) e che l’utente può revocarlo in qualsiasi momento con la stessa facilità con cui l’ha fornito.
(Parentesi minori, già ampiamente regolamentata: il GDPR rende lecito il trattamento dei dati solo se hanno compiuto 16 anni o se il consenso è fornito da un genitore/tutore).

La rivoluzione dell’Accountability

Il GDPR ha introdotto strumenti concreti per garantire la conformità:

• Registro delle attività di trattamento, un documento interno, obbligatorio per la maggior parte delle aziende, che mappa il flusso dei dati, facilitando i controlli da parte del Garante.
• Data Protection Officer (DPO), la figura del “vigilante”interno, obbligatoria per molti soggetti, che assicura la corretta applicazione del regolamento a fa da tramite con le autorità e gli interessati.
• Notifica dei Data Breach, in caso di violazione dei dati, come attacchi hacker, perdite accidentali, l’obbligo di notifica al garante (in casi specifici anche all’interessato) entro 72 ore è perentorio.
• Valutazione d’Impatto (DPIA), analisi preventiva dei rischi per trattamenti ad alto rischio, come l’uso di nuove tecnologie o la profilazione su larga scala.
  I pilastri tecnologici: Privacy by Design e Privacy by Default. Nell’era della rivoluzione digitale, la fiducia degli utenti resta l’asset più prezioso.
  Il GDPR lo ha compreso a fondo rendendolo obbligatori due pilastri tecnologici disciplinati dall’art.25:
• Privacy by Design (protezione dei dati fin dalla progettazione), i sistemi e i processi devono nascere con la privacy già integrata. Ad esempio attraverso misure e tecniche come la PSEUDONIMIZZAZIONE, ovvero il trattamento dei dati personali in modo che non possano essere attributi a un interessato specifico senza informazioni aggiuntive.
• Privacy by Default (privacy dei dati per impostazione predefinita), garantisce che le impostazioni dei sistemi siano quelle che massimizzano la tutela della riservatezza, senza richiedere interventi attivi da parte dell’utente. (Es. condivisione social, le impostazioni rendono i post visibili solo agli amici per impostazione predefinita; spetta all’utente, con un’azione attiva, modificare questa impostazione).

COOKIE e TRACCIAMENTO: Una riforma ritirata e un nuovo approccio

La gestione dei Cookie è il punto più visibile e, spesso, il più confuso, dell’attuale panorama normativo europeo. I banner che compaiono ovunque sono il risultato dell’incrocio tra due normative distinte ma interconnesse, il GDPR e la Direttiva e-Privacy.

• La direttiva e-Privacy, nota anche come Cookie Law, è la legge che disciplina l’uso di qualsiasi tecnologia per l’archiviazione o l’accesso alle informazioni sul dispositivo dell’utente, inclusi cookie, pixel e Device fingerprinting. Richiede un consenso preventivo e informato (opt-in) per qualsiasi utilizzo non strettamente necessario al funzionamento del servizio.
• Il GDPR si applica ogni volta che i cookie raccolgono dati personali per scopi di profilazione o trattamenti complessi. Stabilisce che il consenso per essere valido, deve essere libero, specifico, informato e inequivocabile. Non sono accettabili consensi impliciti come “continuando a navigare acconsenti”.

La sfida tecnica dal 2024 al 2026: come misurare senza invadere.

Con la progrediva eliminazione dei cookie di terze parti e le restrizioni dei browser, le aziende hanno dovuto adottare nuove tecniche per non perdere la visibilità sulle proprie campagne.
La risposta si è concentrata su due tecnologie che oggi rappresentano lo standard per ogni strategia digitale:

• Google Consent Mode v2, diventa obbligatoria per chi fa ADV, già da marzo 2024. La normativa stabilisce che se l’utente rifiuta i cookie, il sistema non traccia l’individuo ma invia segnali anonimi,
  ping, e grazie all’IA è possibile recuperare e modellare le conversioni senza violare la privacy dell’utente.
• Server-Side Tracking, è la vera rivoluzione del 2025, dove il tracciamento viene spostato dal dispositivo dell’utente, ad un server di proprietà dell’azienda. Questo garantisce un controllo totale sui dati prima che vengano inviati a piattaforme come Google, Facebook, Instagram, migliorando la sicurezza e l’accuratezza delle statistiche.

La criticità pratica: Banner invasivi e Dark Patterns

La sovrapposizione tra le due normative ha portato alla diffusione dei “banner cookie” ovunque. Il problema principale è che questi banner spesso presentano richieste di consenso poco chiare o ingannevoli, note come dark patterns. Si tratta di trucchi grafici che ingannano l’utente, spingendolo ad accettare tutti i cookie e rendendo difficile il rifiuto, ad esempio posizionando i pulsanti “Accetta” e “Rifiuta” in modo da non essere cliccabili. Questo ha causato molta confusione tra gli utenti e sanzioni per chi non rispetta le regole del Garante.

La sfida è bilanciare la privacy degli utenti con gli interessi economici delle aziende che si basano sulla pubblicità targetizzata. Il quadro normativo è orientato a dare il controllo dei propri dati agli utenti, ponendo in capo alle aziende la responsabilità di garantire tale controllo attraverso trasparenza e sicurezza.

Data Act

Dal 12 settembre è diventato pienamente applicabile il Data Act, un regolamento che si affianca al GDPR e cambia il modo in cui i dati sono accessibili e condivisi; incentrato non sulla privacy ma sulla governance dei dati.

• Accesso ai dati, gli utenti, ora possono accedere in tempo reale ai dati generati dai propri dispositivi connessi (IoT) come auto, elettrodomestici, e richiederne la condivisione con terze parti.
• Switching Cloud, facilita il passaggio da un fornitore di servizi cloud all’altro, rimuovendo ogni ostacolo economico e tecnico.
• Interoperabilità, obbliga i servizi di elaborazione dati a standard comuni per facilitare la comunicazione tra sistemi diversi.
• Consente agli enti pubblici di richiedere l’accesso a dati detenuti da privati in casi di necessità o urgenza. Per le aziende, questo apre scenari inediti, non ci si basa più solo si cookie, ma su dati reali di utilizzo dei prodotti, sempre previo consenso esplicito da parte dell’utente.

Intelligenza Artificiale e GDPR

Finalmente è arrivato anche per l’IA il momento di sottoporsi a regolamentazione. Il 2025 non è stato un anno come gli altri, ha segnato il passaggio a un’era di maggiore responsabilità e controllo, grazie all’AI Act europeo e alle leggi nazionali come quella Italiana 132/2025. L’obiettivo non è stato quello di frenare l’innovazione, ma darle una direzione chiara e sicura.

L’approccio si basa sul rischio:

• Rischio Inaccettabile (VIETATO), quelle pratiche che non vedremo e non dovremmo più vedere in Europa, come il social scoring di massa da parte dei governi, in quanto limitazione dei diritti umani e delle libertà individuali, o il riconoscimento facciale indiscriminato in luoghi pubblici.
• Alto rischio, sistemi usati in ambiti delicati come la sanità, la selezione del personale o l’istruzione. Questi richiedono controlli severi, documentazione accurata e la supervisione di una persona fisica.
• Rischio Minimo, tratta della maggior parte dell’intelligenza artificiale che usiamo quotidianamente, come filtri antispam, chatbot; qui l’obbligo principale è la trasparenza. L’utente deve sempre sapere se sta interagendo con una macchina o se un contenuto è generato con l’IA (watermarking).

Il dibattito sul “Chat Control”

Mentre il GDPR tutela la privacy e i dati degli utenti e l’AI Act regola gli algoritmi, la crittografia end-to-end è stata messa al centro di un acceso dibattito a causa della proposta di regolamento CSAR, nota come “Chat Control”.

La normativa (dopo il rinvio del voto europeo previsto per ottobre) nasce con l’obiettivo chiaro di contrastare la diffusione di materiale pedopornografico online, ma il modo in cui intende farlo ha sollevato non poche critiche da parte di esperti, garanti della privacy e associazioni per i diritti digitali, creando il più grande paradosso degli ultimi anni.

Per attuarlo infatti, si è discusso sull’indebolire o aggirare la crittografia end-to-end, l’unica che garantisce la segretezza della corrispondenza digitale, permettendo ai servizi di messaggistica di scansionare automaticamente i contenuti delle comunicazioni private tra gli utenti.

Il rischio è quello di creare una forma di sorveglianza preventiva di massa, dove ogni messaggio, immagine o file verrebbe analizzato da algoritmi prima ancora di essere inviato o ricevuto.
Le principali criticità sollevate riguardano:

• l’impatto sulla privacy e sulla riservatezza delle comunicazioni.
• la possibile violazione del GDPR.
• i dubbi sulla reale efficacia degli algoritmi nel distinguere contenuti espliciti da quelli leciti.
• la paura per l’aggiunta di ulteriori controlli in futuro. Molti paesi europei si sono opposti al testo, spingendo per un rinvio, quindi per ora il provvedimento resta in sospeso, in attesa di riscrittura, che concili la tutela dei minori con il rispetto dei diritti fondamentali degli utenti.

Prospettive per il 2026: la privacy come vantaggio competitivo

Il 2025 è stato l’anno in cui tutto ciò che era attorno al GDPR è cambiato e continuerà a cambiare nei prossimi due anni, dalle regole sui cookie, alla governance dei dati, all’impatto sull’intelligenza artificiale.

Per le aziende la parola d’ordine non è più solo reazione, ma proattività. Non basta adeguarsi alle normative; è fondamentale comprendere in anticipo come la regolamentazione possa trasformarsi in un vantaggio competitivo e in una nuova leva di fiducia con il cliente.

Per gli utenti la consapevolezza che la privacy, non è burocrazia ma un diritto di difesa e libertà digitale. La privacy è il pilastro della libertà e della fiducia digitale su cui costruire il futuro della
comunicazione.

Siete pronti a farvi guidare attraverso il panorama normativo del 2026?

 

 

********

Se hai bisogno di una Consulenza per il tuo sito web  non esitare a contattarci. RICHIEDI UN PREVENTIVO PERSONALIZZATO SENZA IMPEGNO, fornendoci le indicazioni base sulle attività che vuoi intraprendere.