Con il provvedimento n. 797 del 30 dicembre 2025, il Garante per la privacy ha varato il piano delle proprie  attività ispettive che, nonostante il periodo turbolento per l’Autorità, continueranno a svolgersi regolarmente durante il primo semestre del 2026.

Tra i trattamenti di dati personali saranno sotto la lente dell’Autorità quelli relativi ai data breach che hanno interessato banche dati pubbliche, gli applicativi per la gestione delle segnalazioni whistleblowing, gli strumenti di intelligenza artificiale (AI) in ambito scolastico, il dossier sanitario elettronico, il telemarketing con particolare riferimento al settore energetico, il Sistema informativo doganale, nonché le tecniche di anonimizzazione dei dati implementati dalle Telco per la condivisione dei big data.

Come previsto dal Regolamento del n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante per la protezione dei dati personali (doc. web. n. 1098801), l’Autorità ha infatti pubblicato la Deliberazione 30 dicembre 2025 rendendo note quelle che saranno le attività ispettive a cui sarà data la priorità nella prima parte dell’anno, che nel dettaglio sono le seguenti:

a) prosecuzione, nell’ambito dei lavori della task force interdipartimentale, delle attività di verifica relative ai data breach che hanno interessato banche dati pubbliche di particolare rilievo e delicatezza. Ciò, con specifico riferimento alla verifica dei sistemi di sicurezza ed ai profili di accessibilità delle banche dati stesse, al fine di arginare il fenomeno degli accessi abusivi e della rivendita di informazioni riservate;
b) prosecuzione delle verifiche sull’utilizzo degli applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni whistleblowing;
c) verifiche sull’utilizzo di strumenti di intelligenza artificiale utilizzati in ambito scolastico;
d) prosecuzione delle attività di verifica concernenti i trattamenti dei dati personali contenuti nel c.d. dossier sanitario;
e) prosecuzione delle attività ispettive concernenti l’illecito trattamento di dati a fini di telemarketing con particolare riferimento al settore energetico;
f) trattamenti di dati personali effettuati nell’ambito del Sistema informativo doganale, secondo le previsioni di cui all’art. 154, comma 2, lett. C) del Codice;
g) verifiche e approfondimenti volti ad acquisire un quadro di conoscenza unitario in ordine alle policy e alle tecniche di anonimizzazione dei dati implementati dalle Telco per la condivisione dei big data alla luce della sentenza della CGUE del 4 settembre 2025;
h) verifiche e approfondimenti tecnici in ordine alle violazioni di dati personali comunicate all’Autorità, con particolare riguardo ai casi più estesi e delicati in ambito sia pubblico che privato;
i) svolgimento di ulteriori attività di carattere ispettivo d’ufficio in ragione di situazioni di particolare urgenza o in relazione a segnalazioni o reclami proposti all’Autorità.

Anche se in linea di principio le ispezioni del Garante vengono effettuate fisicamente presso le sedi dei soggetti interessati, l’autorità può svolgere la propria attività anche da remoto con accertamenti online in riferimento a trattamenti di dati personali effettuati tramite siti internet da parte di titolari del trattamento pubblici e privati.

Le ispezioni del Garante consistono nella verifica della correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali trattati da un’azienda, e non si tratta di controlli puramente formali o documentali, ma sono volte ad accertare che i trattamenti di dati personali avvengano in conformità al GDPR e alla normativa correlata in materia di protezione dei dati personali.

Come previsto dal protocollo di intesa con la Guardia di finanza del 30 marzo 2021, le ispezioni saranno effettuate anche in collaborazione con il Nucleo Speciale Tutela privacy e frodi informatiche delle fiamme gialle, e oltre alle attività programmate il Garante ed il Nucleo Speciale potranno naturalmente condurre ulteriori attività ispettive a seguito di segnalazioni o di reclami da parte degli interessati.

Il provvedimento conclude definendo che “l’attività ispettiva programmata riguarderà, relativamente ai soggetti controllati, almeno 40 accertamenti ispettivi, effettuati anche a mezzo della Guardia di finanza”, precisando che “resta fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, o in relazione a segnalazioni o reclami proposti”.