Torna al blog
5 min di letturaprivacygdprcompliancedataarchitecture

L'obiettivo di enforcement 2026 dell'EDPB è la tua informativa sulla privacy

L'azione coordinata 2026 dell'EDPB verifica la trasparenza ai sensi degli Articoli 12-14 del GDPR. La via più breve è raccogliere così poco che l'informativa si scrive da sola.

Izac CavalheiroFounder

Per due anni la domanda costosa sul GDPR si è spostata. Prima i regolatori verificavano se avevi una base giuridica, poi se cancellavi i dati in tempo. Il 19 marzo 2026 il Comitato europeo per la protezione dei dati ha puntato la prossima campagna verso un terzo obiettivo: se la tua informativa sulla privacy è onesta riguardo a ciò che raccogli.

Cosa verifica l'azione coordinata 2026

Il Coordinated Enforcement Framework (CEF) dell'EDPB porta avanti ogni anno un unico tema condiviso in tutto il blocco. L'azione del 2025 esaminava il diritto alla cancellazione. L'azione del 2026 — la quinta — esamina gli obblighi di trasparenza e di informazione ai sensi degli Articoli 12, 13 e 14 del GDPR.

Partecipano venticinque autorità per la protezione dei dati. Il loro annuncio è netto sul metodo: le DPA partecipanti "contatteranno presto i titolari del trattamento di diversi settori in tutta Europa, sia attraverso azioni di enforcement sia attraverso attività di accertamento dei fatti." Le conclusioni confluiscono in un rapporto EDPB consolidato nella seconda metà del 2026, con "follow-up mirati sia a livello nazionale sia a livello UE."

Non si tratta di linee guida. È una richiesta coordinata di prove che il documento sul tuo sito corrisponda ai dati nel tuo database.

Cosa ti impone effettivamente di dichiarare l'Articolo 13

Il diritto a essere informati non è soddisfatto da un paragrafo che dice "teniamo alla tua privacy." L'Articolo 13 — che si applica quando raccogli i dati direttamente dal visitatore — elenca ciò che un'informativa deve dichiarare al momento della raccolta:

  • L'identità e i dati di contatto del titolare del trattamento.
  • Le finalità del trattamento e la base giuridica di ciascuna.
  • I destinatari o le categorie di destinatari dei dati.
  • Qualsiasi trasferimento verso un Paese terzo e le relative garanzie.
  • Il periodo di conservazione, o i criteri utilizzati per determinarlo.
  • I diritti dell'interessato: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità.
  • L'esistenza di un processo decisionale automatizzato, compresa la profilazione, con informazioni significative sulla logica utilizzata.

Ogni clausola corrisponde a un fatto relativo al tuo stack. Un'informativa è accurata solo se ciascuna dichiarazione è vera. È esattamente ciò che verifica un'attività di accertamento dei fatti — non se l'informativa esiste, ma se descrive la realtà.

Perché l'analytics di sorveglianza rende fragile l'informativa

Esegui una tipica integrazione analytics attraverso quell'elenco e le dichiarazioni si moltiplicano. Un tag comportamentale con identificatori cross-site significa che hai destinatari da nominare — il fornitore, i suoi partner pubblicitari, la sua rete di misurazione. Di solito significa un trasferimento verso un Paese terzo da dichiarare e garantire. Un identificatore stabile che segue un visitatore per mesi è profilazione, che chiama in causa la clausola sul processo decisionale automatizzato. Il periodo di conservazione è qualunque sia l'impostazione predefinita del fornitore, che ora devi conoscere e dichiarare correttamente.

Ciascuno di questi è una frase che può essere sbagliata. L'informativa diventa imprecisa nel momento in cui il fornitore aggiunge un sub-responsabile, cambia regione o estende la conservazione — e tu raramente lo vieni a sapere. Sotto un audit di trasparenza, un'informativa che sottostima i destinatari o la conservazione non è un refuso. È la violazione che il CEF è costruito per far emergere.

Un'informativa breve è quella difendibile

Il modo più economico per superare un audit di trasparenza è avere poco da dichiarare. È una proprietà del modello di dati, non un fatto di copywriting.

Un tracker senza cookie riduce la sezione analytics di un'informativa ai sensi dell'Articolo 13 a poche righe oneste. Non ci sono destinatari terzi perché nulla viene condiviso. Non c'è profilazione perché nessun identificatore persiste. L'identità del visitatore è un hash giornaliero a senso unico calcolato in memoria all'edge:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

L'IP grezzo e lo User-Agent sono usati solo per calcolare quel digest e non vengono mai scritti; D1 memorizza l'hash, non gli input. Poiché la data è un input, l'hash ruota a ogni mezzanotte, quindi non c'è alcun profilo cross-sessione da descrivere. La conservazione è un limite rigido e dichiarabile — le pageview vengono eliminate dopo 730 giorni — non un'impostazione predefinita del fornitore che devi andare a cercare.

La dichiarazione che ne risulta è breve perché il trattamento è ridotto. Dice: contiamo le pageview aggregate, ricaviamo il Paese e un tipo di dispositivo approssimativo all'edge, non condividiamo con nessuno, non costruiamo alcun profilo e conserviamo i dati per al massimo due anni. Ogni clausola è verificabile rispetto allo schema.

La metà dell'Articolo 30 dello stesso esercizio

La trasparenza verso il visitatore (Articoli 12-14) ha un gemello interno: i registri delle attività di trattamento dell'Articolo 30, il documento che un'autorità chiede per primo. Deve elencare finalità, destinatari, trasferimenti e conservazione — gli stessi fatti dell'informativa pubblica, dal lato del titolare.

Quando i due divergono, lo scarto è la conclusione. Uno stack che non memorizza alcun identificatore personale e non condivide nulla mantiene allineati entrambi i documenti, perché non c'è quasi nulla da registrare su nessuno dei due lati.

Un'informativa sulla privacy è una promessa sul tuo modello di dati. La campagna 2026 verifica se la promessa è vera. La promessa meno rischiosa è quella che puoi mantenere senza pensarci — perché non hai mai raccolto la cosa che altrimenti dovresti spiegare.

Fonti

Related posts

5 min di letturaLaw & Regulation

Quando un Hash È un Dato Personale? La Sentenza SRB della CGUE e l'Identità in Analytics

La sentenza EDPS contro SRB della CGUE ha reso l'identificabilità un test relativo e contestuale. Ecco cosa significa per l'analytics basato su hash, e perché un hash con salt che ruota ogni giorno regge sia alla lettura della corte sia a quella più rigida dell'EDPB.

Leggi di più
5 min di letturaLaw & Regulation

La Limitazione della Conservazione È la Frontiera del Controllo 2026 per l'Analytics

Le autorità hanno smesso di chiedere se hai raccolto i dati in modo lecito e hanno iniziato a chiedere quando li hai cancellati. Dopo la sanzione da 42 M€ del CNIL a Free e l'azione di controllo sulla cancellazione dell'EDPB, la conservazione dei dati di analytics è il bersaglio dell'audit.

Leggi di più
4 min di letturaLaw & Regulation

Il Digital Omnibus vuole esentare dal consenso l'analytics first-party

Il Digital Omnibus dell'UE, di novembre 2025, propone un'esenzione dal consenso per la misurazione dell'audience first-party a uso interno. Descrive il modello che l'analytics senza cookie già esegue.

Leggi di più

Comments

Loading comments…