Il Garante Privacy ha pubblicato la propria relazione relativa alle attività svolte nel 2025.
Gli interventi si sono realizzati sia in settori più innovativi, come l’IA relazionale, i deepfake, e l’utilizzo dell’IA delle istituzioni scolastiche, ma anche in alcuni più tradizionali, quali la tutela dei lavoratori e la protezione dei dati sanitari.
Dapprima, si evidenzia come il Garante abbia limitato il trattamento di dati da parte di due società che gestiscono un sistema di IA conversazionale volto a comprendere ed elaborare il linguaggio naturale.
In tema di deepfake, invece, a seguito di numerose segnalazioni, ha realizzato un’attività istruttoria tramite la quale si è scoperta la sussistenza di differenti piattaforme che consentono di utilizzare la voce e le immagini di altri soggetti per generare contenuti apparentemente reali. Il Garante ha, quindi, dapprima emesso un avvertimento destinato agli utilizzatori di specifiche piattaforme circa la rischiosità delle stesse, per poi invitare gli sviluppatori a progettare siti che garantiscano, fin dalla loro progettazione, il rispetto della tutela dei dati personali.
Nel contesto dei deepfake, il Garante ha analizzato il fenomeno dei deepnude, ossia contenuti rappresentanti soggetti privati degli indumenti attraverso il software ovvero immagini o video artificiosi a contenuto sessualmente esplicito. Ad una delle società che gestisce un sito che crea deepnude, il Garante ha emesso un provvedimento di limitazione temporanea del trattamento dei dati personali.
Altro fenomeno affrontato dal Garante è stato quello dello web scraping, ossia la raccolta massima di informazioni attraverso sistemi di IA generativa.
Per quanto concerne l’IA nel contesto scolastico, il Garante ha manifestato il proprio parere favorevole allo schema di decreto del MIM tramite cui sono state adottate anche delle linee guida per un utilizzo consapevole e sicuro dell’IA nel contesto in questione.
Attenzione è stata dedicata anche ai sistemi di riconoscimento facciale. In tale contesto il Garante ha sospeso un sistema facciale adottato presso un aeroporto in quanto non conforme al GDPR.
Nel contesto sanitario, invece, sono stati espressi differenti pareri su schemi di decreti e regolamenti. Dal punto di vista dei controlli sono emerse criticità relative alla gestione dei dossier sanitari e nelle misure di prevenzione agli accessi abusivi. È stato, inoltre, realizzato un confronto tra il Garante, il Ministero della Salute e AGENAS relativamente alla realizzazione di una piattaforma di IA a supporto dell’assistenza primaria nell’ambito dei servizi sanitari regionali.
Il Garante ha, poi, proseguito la propria attività di consultazione nei processi di digitalizzazione della PA.
Con riguardo alla tutela dei minori online, è stata proseguita la vigilanza sull’età degli utenti nei social network anche attraverso sistema di age verification. In tema di sharenting, invece, sono state promosse attività di sensibilizzazione tramite campagne informative e podcast.
Con riguardo ai rapporti di lavoro, il Garante ha adottato diversi provvedimenti relativi all’utilizzo della posta elettronica, ai sistemi di videosorveglianza e all’utilizzo di sistemi di IA.
In tema di tutela dei consumatori, il Garante è intervenuto con riguardo a pratiche di telemarketing aggressivo tramite l’applicazione di importanti sanzioni.
Il Garante privacy è altresì intervenuto in tema di diritto di cronaca richiamando l’attenzione sul necessario bilanciamento tra diritto all’informazione e tutela della dignità e riservatezza dei soggetti coinvolti.

