Il lavoratore può accedere ai messaggi del proprio account email aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali.

È quanto ha affermato il Garante per la protezione dei dati personali accogliendo il reclamo di un ex dipendente di una compagnia assicurativa, che aveva chiesto copia dei messaggi della propria casella di posta elettronica aziendale e dei documenti salvati nel pc.

La società, si legge nel comunicato del Garante, aveva effettuato un accesso alla posta elettronica dell’ex dipendente e, dopo averne esaminato il contenuto, aveva fornito esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli legati all’attività lavorativa.

Secondo il Garante, sì legge nella nota, il diritto di accesso riguarda tutti i dati personali, comprese le comunicazioni intercorse tramite un account aziendale individualizzato. Non è quindi legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale.

L’Autorità ha inoltre rilevato criticità nella gestione dei dati, in particolare per la mancanza di trasparenza nelle informative e per i tempi di conservazione delle email (5 anni) e dei dati di navigazione (12 mesi), ritenuti non proporzionati rispetto alle finalità dichiarate.

Per le violazioni accertate è stata inflitta una sanzione di 50mila euro. Il Garante ha inoltre ordinato di consentire l’accesso integrale ai dati richiesti e di adeguare informative e policy interne alla normativa privacy.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/garante-privacy-ok-ad-accesso-proprie-email-dopo-fine-rapporto-lavoro/569929/

Un data breach protratto per più di due anni, migliaia di accessi indebiti e sistemi di controllo ritenuti inadeguati. Con queste motivazioni il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo con una multa da 31,8 milioni di euro, una delle più rilevanti in ambito bancario.

Accessi abusivi e controlli inefficaci

L’istruttoria dell’Autorità, avviata dopo la notifica del data breach nel luglio 2024, ha accertato che un dipendente della banca ha consultato senza alcuna giustificazione le informazioni bancarie di 3.573 clienti. Gli accessi indebiti sono stati oltre 6.600 e si sono verificati tra il 21 febbraio 2022 e il 24 aprile 2024.

Il dato più critico riguarda l’assenza di rilevazione: i sistemi interni di monitoraggio non sono stati in grado di individuare tempestivamente l’anomalia, evidenziando lacune strutturali nei meccanismi di prevenzione e controllo.

Coinvolti anche clienti ad alto rischio

Tra i soggetti interessati figurano anche clienti definiti “ad alto rischio”, inclusi individui con ruoli pubblici di rilievo. Secondo il Garante, in questi casi sarebbero stati necessari presidi di sicurezza rafforzati, che invece non risultano adeguatamente implementati.

L’episodio evidenzia un deficit nella gestione dei profili più sensibili, che richiedono livelli di protezione differenziati.

Violazioni dei principi GDPR

L’Autorità ha rilevato la violazione di principi cardine del GDPR, in particolare quelli di integrità e riservatezza dei dati, oltre al principio di accountability.

Il modello operativo adottato dalla banca, che consentiva agli operatori un accesso esteso e trasversale all’intera base clienti, non era accompagnato da controlli efficaci per prevenire o individuare utilizzi impropri. Una configurazione ritenuta non proporzionata rispetto ai rischi.

Gestione del data breach sotto accusa

Ulteriori criticità sono emerse nella gestione dell’incidente. La notifica del data breach è stata giudicata tardiva e incompleta rispetto agli obblighi normativi. Anche la comunicazione agli interessati è avvenuta in ritardo, solo dopo un intervento del Garante del 2 novembre 2024.

Secondo l’Autorità, questi ritardi hanno compromesso la possibilità di un intervento tempestivo a tutela dei diritti degli utenti coinvolti.

Sanzione e misure correttive

Nel quantificare la sanzione, il Garante ha considerato la gravità e la durata delle violazioni, il numero elevato di clienti coinvolti e la natura dei dati trattati.

È stato tuttavia valutato anche l’intervento successivo della banca, che ha introdotto misure correttive per rafforzare i sistemi di controllo interno e i presidi di sicurezza.

Nonostante ciò, la condotta complessiva è stata ritenuta illecita, portando all’applicazione della sanzione da 31,8 milioni di euro.

Il precedente Isybank: profilazione illecita su 2,4 milioni di clienti

La sanzione si inserisce in un contesto recente già critico per l’istituto. Solo due settimane fa, il Garante privacy aveva inflitto a Intesa Sanpaolo una multa da 17,6 milioni di euro per il trattamento illecito dei dati di circa 2,4 milioni di clienti coinvolti nel trasferimento verso la controllata digitale Isybank. In quel caso, l’Autorità ha accertato una profilazione effettuata senza adeguata base giuridica, utilizzata per selezionare i correntisti da migrare sulla nuova banca sulla base di criteri come età, utilizzo dei canali digitali e disponibilità finanziarie. Un provvedimento che, insieme a quello sul data breach, rafforza il quadro di attenzione del Garante sulle pratiche di gestione e utilizzo dei dati personali nel settore bancario.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/intesa-sanpaolo-multa-da-318-milioni-per-un-data-breach-durato-oltre-due-anni/561035/

However, some British iPhone owners are concerned about potential security and privacy risks associated with the proliferation of age checks.

“Myself and everyone I know… are doing everything to bypass these over-reaching age checks,” said one Reddit user in a discussion about Apple’s update. “I definitely do not want to grant my OS permission to decide that I’m happy to share my proven age status, under any situation.”

Apple did not respond to a request for comment about which services its new age checks will cover.

After upgrading to the latest version of iOS 26.4, iPhone owners in the UK will be presented with several options to prove their age, including checking the credit card stored in their digital wallet or taking a photo of their driving license or passport. Apple can also use the length of time that digital accounts have been active to confirm a customer’s age.

After installing the update, an on-screen notice tells users: “UK law requires you to confirm you are an adult to change content restrictions.”

Failure to complete the age check will limit which apps the user can access or download, though Apple’s support pages do not specify all of the affected services.

“Adults will have to confirm that they’re 18 or older to use certain services or features, or take certain actions on their account,” an Apple support page states.

Ofcom said it had “worked closely with Apple” and other services to protect users.

“This will build on the strong foundations of the Online Safety Act, from widespread age checks that keep young people away from harmful content, to blocking high-risk sites and stepping up action against child sexual abuse material,” the UK regulator said.

© 2026 The Financial Times Ltd. All rights reserved. Not to be redistributed, copied, or modified in any way.

https://arstechnica.com/tech-policy/2026/03/apple-begins-age-checks-in-the-uk-with-latest-ios-update/

Sessantuno autorità di protezione dei dati di tutto il mondo, tra cui il Garante privacy italiano e l’European Data Protection Board (EDPB), hanno firmato una dichiarazione congiunta per affrontare uno dei rischi più delicati legati allo sviluppo dell’intelligenza artificiale (AI): la generazione di immagini e video realistici di persone reali senza il loro consenso.

Il documento, coordinato dal Gruppo di lavoro sulla cooperazione internazionale per l’applicazione delle norme (International Enforcement Cooperation Working Group – IEWG) della Global Privacy Assembly (GPA), rappresenta un segnale forte della crescente attenzione globale verso le conseguenze sociali e giuridiche delle nuove tecnologie di generazione di contenuti basate sull’AI.

A firmare la dichiarazione per il Comitato europeo per la protezione dei dati è stata la presidente dell’EDPB Anu Talus, a testimonianza dell’impegno dell’Europa nel promuovere un dialogo internazionale sulla protezione dei dati e dei diritti fondamentali nell’era dell’intelligenza artificiale.

Un problema globale che cresce con l’AI generativa. A rischio minori e soggetti fragili

Negli ultimi anni, i progressi dell’intelligenza artificiale generativa hanno reso possibile creare immagini e video estremamente realistici partendo da semplici istruzioni testuali. Strumenti sempre più accessibili, spesso integrati direttamente nei social network o in piattaforme online, consentono oggi di produrre contenuti che riproducono fedelmente il volto o il corpo di persone reali.

Il problema nasce quando queste tecnologie vengono utilizzate a insaputa e senza il consenso delle persone ritratte.

Secondo le autorità firmatarie, la diffusione di immagini intime false, video manipolati o contenuti diffamatori che raffigurano individui reali, rappresenta una minaccia concreta per la privacy, la reputazione e la dignità delle persone.
Un rischio che diventa ancora più grave quando riguarda minori o soggetti particolarmente vulnerabili, esposti a fenomeni come cyberbullismo, molestie digitali o sfruttamento.

L’allarme riguarda soprattutto la rapidità con cui questi contenuti possono essere prodotti e diffusi online, spesso prima che le vittime riescano a intervenire per rimuoverli.

Il nostro Garante per la protezione dei dati personali aveva già adottato a gennaio un provvedimento di avvertimento nei confronti degli utilizzatori di servizi basati sull’intelligenza artificiale, come Grok, ChatGPT e Clothoff (quest’ultima piattaforma già destinataria di un provvedimento di blocco nell’ottobre scorso) e altri servizi analoghi disponibili online, proprio perché consentivano di generare e condividere contenuti a partire da immagini o voci reali, arrivando anche a “spogliare” persone senza il loro consenso.

I quattro principi per uno sviluppo responsabile dell’AI

Pur riconoscendo il grande potenziale dell’intelligenza artificiale per l’innovazione e lo sviluppo economico, le autorità mondiali della privacy ricordano che la tecnologia deve essere progettata e utilizzata nel rispetto delle normative sulla protezione dei dati e dei diritti fondamentali.

Nel documento vengono indicati quattro principi fondamentali che dovrebbero guidare lo sviluppo e l’uso dei sistemi di AI generativa:

introdurre misure efficaci di prevenzione degli abusi, in particolare per impedire l’uso improprio di dati personali e la creazione non consensuale di immagini intime o contenuti lesivi;

garantire massima trasparenza, perché le aziende che sviluppano o utilizzano sistemi di AI devono spiegare chiaramente come funzionano queste tecnologie, quali sono gli utilizzi consentiti e quali possono essere le conseguenze di un uso improprio;

la necessità di offrire strumenti semplici ed efficaci per chiedere la rimozione dei contenuti dannosi, soprattutto quando coinvolgono dati personali o rappresentazioni non autorizzate;

l’importanza di gestire in modo specifico i rischi per i minori, che rappresentano una delle categorie più esposte agli effetti negativi delle tecnologie digitali.

Pensare l’AI a partire dalla privacy by design

La dichiarazione è rivolta principalmente alle aziende che sviluppano o utilizzano sistemi di intelligenza artificiale per la generazione di contenuti, dalle grandi piattaforme digitali alle start-up tecnologiche.

Il messaggio delle autorità è chiaro: la tutela della privacy e della dignità delle persone deve essere integrata fin dalla progettazione delle tecnologie.

Per questo motivo i garanti della privacy invitano le imprese a collaborare in modo proattivo con le autorità di regolamentazione, adottando fin da subito sistemi di sicurezza e meccanismi di protezione efficaci.

L’obiettivo è evitare che l’innovazione tecnologica si trasformi in uno strumento di abuso o di violazione dei diritti fondamentali.

Cooperazione internazionale contro i rischi digitali

La dichiarazione rappresenta anche un esempio concreto di cooperazione globale nella regolazione delle tecnologie emergenti. Il fatto che oltre sessanta autorità di diversi continenti abbiano deciso di prendere una posizione comune dimostra quanto il problema sia percepito come urgente.

Le autorità firmatarie si sono impegnate a condividere informazioni, strategie di intervento e buone pratiche, con l’obiettivo di contrastare in modo più efficace i rischi legati alla diffusione di contenuti generati dall’intelligenza artificiale.

In un ecosistema digitale globale, infatti, i problemi non si fermano ai confini nazionali. Per questo la cooperazione tra autorità di regolazione diventa uno strumento essenziale per garantire una tutela effettiva dei diritti delle persone.

Innovazione sì, ma senza sacrificare privacy e diritti fondamentali

Il messaggio che emerge è uno solo: l’intelligenza artificiale può portare grandi benefici alla società, ma il suo sviluppo non può avvenire a discapito dei diritti fondamentali. Privacy, dignità, sicurezza e tutela dei minori devono restare principi non negoziabili anche nell’era delle tecnologie più avanzate.

Per questo le autorità mondiali della privacy chiedono che la progettazione dell’AI segua un principio semplice ma essenziale: il progresso tecnologico deve sempre rimanere al servizio delle persone, e non il contrario.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/ai-e-immagini-generate-senza-consenso-il-documento-di-61-autorita-mondiali-della-privacy-a-difesa-di-minori-e-fragili/567718/

“You understand that it is someone’s private life you are looking at, but at the same time you are just expected to carry out the work,” an anonymous Sama employee reportedly said.

Meta confirms use of data annotators

In statements shared with the BBC on Wednesday, Meta confirmed that it “sometimes” shares content that users share with the Meta AI generative AI chatbot with contractors to review with “the purpose of improving people’s experience, as many other companies do.”

“This data is first filtered to protect people’s privacy,” the statement said, pointing to, as an example, blurring out faces in images.

Meta’s privacy policy for wearables says that photos and videos taken with its smart glasses are sent to Meta “when you turn on cloud processing on your AI Glasses, interact with the Meta AI service on your AI Glasses, or upload your media to certain services provided by Meta (i.e., Facebook or Instagram). You can change your choices about cloud processing of your Media at any time in Settings.”

The policy also says that video and audio from livestreams recorded with Ray-Ban Metas are sent to Meta, as are text transcripts and voice recordings created by Meta’s chatbot.

“We use machine learning and trained reviewers to process this data to improve, troubleshoot, and train our products. We share that information with third-party vendors and service providers to improve our products. You can access and delete recordings and related transcripts in the Meta AI App,” the policy says.

Meta’s broader privacy policy for the Meta AI chatbot adds: “In some cases, Meta will review your interactions with AIs, including the content of your conversations with or messages to AIs, and this review may be automated or manual (human).”

https://arstechnica.com/gadgets/2026/03/workers-report-watching-ray-ban-meta-shot-footage-of-people-using-the-bathroom/

Both statements verified that the integration never launched and that no Ring customers’ videos were ever sent to Flock.

Ring did not credit users’ privacy concerns for its change of heart. Instead, they claimed that a joint decision was made “following a comprehensive review” where Ring “determined the planned Flock Safety integration would require significantly more time and resources than anticipated.”

Separately, Flock said that “we believe this decision allows both companies to best serve their respective customers and communities.”

The only hint that Ring gave users that their concerns had been heard came in the last line of its blog, which said, “We’ll continue to carefully evaluate future partnerships to ensure they align with our standards for customer trust, safety, and privacy.”

Sharing his views on X and Bluesky, John Scott-Railton, a senior cybersecurity researcher at the Citizen Lab, joined critics calling Ring’s statement insufficient. He posted an image of the ad frame that Markey found creepy next to a statement from Ring, writing, “On the left? A picture of mass surveillance from #Ring’s ad. On the right? A ring [spokesperson] saying that they are not doing mass surveillance. The company cannot have it both ways.”

Ring’s statements so far do not “acknowledge the real issue,” Scott-Railton said, which is privacy risks. For Ring, it seemed like a missed opportunity to discuss or introduce privacy features to reassure concerned users, he suggested, noting the backlash showed “Americans want more control of their privacy right now” and “are savvy enough to see through sappy dog pics.”

“Stop trying to build a surveillance dystopia consumers didn’t ask for” and “focus on shipping good, private products,” Scott-Railton said.

He also suggested that lawmakers should take note of the grassroots support that could possibly help pass laws to push back on mass surveillance. That could help block not just a potential future partnership with Flock, but possibly also stop Ring from becoming the next Flock.

“Ring communications not acknowledging the lesson they just got publicly taught is a bad sign that they hope this goes away,” Scott-Railton said.

https://arstechnica.com/tech-policy/2026/02/after-creepy-super-bowl-ad-sparks-outrage-ring-abandons-flock-deal/

In statements made by investigators, the video was apparently “recovered from residual data located in backend systems.” It’s unclear how long such data is retained or how easy it is for Google to access it. Some reports claim that it took several days for Google to recover the data.

In large-scale enterprise storage solutions, “deleted” for the user doesn’t always mean that the data is gone. Data that is no longer needed is often compressed and overwritten only as needed. In the meantime, it may be possible to recover the data. That’s something a company like Google could decide to do on its own, or it could be compelled to perform the recovery by a court order. In the Guthrie case, it sounds like Google was voluntarily cooperating with the investigation, which makes sense. Publishing video of the alleged perpetrator could be a major breakthrough as investigators seek help from the public.

It’s not your cloud

There is a temptation to ascribe some malicious intent to Google’s video storage setup. After all, this video expired after three hours, but here it is nine days later. That feels a bit suspicious on the surface, particularly for a company that is so focused on training AI models that feed on video.

We have previously asked Google to explain how it uses Nest to train AI models, and the company claims it does not incorporate user videos into training data, but the way you interact with the service and with your videos is fair game. “We may use your inputs, including prompts and feedback, usage, and outputs from interactions with AI features to further research, tune, and train Google’s generative models, machine learning technologies, and related products and services,” Google said.

https://arstechnica.com/google/2026/02/google-recovers-deleted-nest-video-in-high-profile-abduction-case/

Do you feel popular? There are people on the Internet who want to know all about you! Unfortunately, they don’t have the best of intentions, but Google has some handy tools to address that, and they’ve gotten an upgrade today. The “Results About You” tool can now detect and remove more of your personal information. Plus, the tool for removing non-consensual explicit imagery (NCEI) is faster to use. All you have to do is tell Google your personal details first—that seems safe, right?

With today’s upgrade, Results About You gains the ability to find and remove pages that include ID numbers like your passport, driver’s license, and Social Security. You can access the option to add these to Google’s ongoing scans from the settings in Results About You. Just click in the ID numbers section to enable detection.

Naturally, Google has to know what it’s looking for to remove it. So you need to provide at least part of those numbers. Google asks for the full driver’s license number, which is fine, as it’s not as sensitive. For your passport and SSN, you only need the last four digits, which is enough for Google to find the full numbers on webpages.

The NCEI tool is geared toward hiding real, explicit images as well as deepfakes and other types of artificial sexualized content. This kind of content is rampant on the Internet right now due to the rapid rise of AI. What used to require Photoshop skills is now just a prompt away, and some AI platforms hardly do anything to prevent it.

https://arstechnica.com/gadgets/2026/02/upgraded-google-safety-tools-can-now-find-and-remove-more-of-your-personal-info/

Il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza. Tale garanzia, riconosciuta anche dalla Costituzione, salvaguarda la dignità della persona e il suo pieno sviluppo nelle relazioni sociali.

Lo ha ribadito il Garante per la protezione dei dati personali, che ha inflitto una sanzione di 40mila euro a una società per violazione della segretezza dell’account email di un amministratore delegato dopo la cessazione del rapporto di lavoro.

Nel reclamo presentato al Garante l’amministratore lamentava che, dopo aver ricevuto una lettera di contestazione disciplinare cui è seguito il licenziamento, l’azienda gli aveva negato l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva.
Esercitando i propri diritti, aveva chiesto alla società di disabilitare l’account di posta elettronica, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo email personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo email. Richiesta tuttavia rimasta inevasa sebbene formulata correttamente ai sensi del GDPR.

Nel corso dell’istruttoria, il Garante ha accertato che l’azienda non solo continuava a ricevere le email indirizzate al lavoratore, ma addirittura le inoltrava ad un altro account di posta elettronica aziendale.
Una pratica scorretta che si era protratta per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.

Tale modalità prolungata nel tempo ha determinato l’accesso e la conservazione di email personali, in violazione della normativa privacy.

L’Autorità ha pertanto ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.

Nel definire l’ammontare della sanzione, il Garante ha considerato la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/laccesso-allemail-del-lavoratore-licenziato-e-violazione-della-privacy/563583/

Garante, si metta fine allo stato di incertezza.
Antefatto: sei giorni fa, il 17.1.2026, si dimetteva Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali.
Situazione attuale:
Il presidente, Stanzione, era tenuto a darne immediata comunicazione ai presidenti di Camere e Senato, per l’elezione del nuovo componente (art. 4.7 reg. 1/2000 GPDP). È stato fatto? Nessun aggiornamento sul sito dell’Autorità, né su quelli del Parlamento.

Le dimissioni hanno effetto quando sono accettate dal Garante (art. 4.6 reg. 1/2000 GPDP), anche qui nessuna notizia di aggiornamento e il profilo di Guido Scorza è regolarmente presente, al momento in cui si scrive, sul sito dell’Authority alla pagina dedicata ai membri del Collegio: https://lnkd.in/dShhSYbQ.

Sono valide le decisioni di un Collegio di tre membri? Assai dubbio: un conto è la mancata presenza di uno dei componenti che regolarmente lo compongono (art. 5.5, reg. cit.), altro è l’inesistenza giuridica del quarto componente, perché il Collegio è diventato di sole tre persone. A norma dell’art. 153.1 cod. privacy, “il Collegio è costituito da quattro componenti“, non da tre.

Né credo si possa prolungare ad infinitum un atto di mera forma come l’accettazione delle dimissioni o non darne notizia sul sito istituzionale. È di mera forma, perché non è neppure collegato con la già detta comunicazione immediata al Parlamento affinché si proceda all’elezione del nuovo componente.

Quanto si può seriamente pensare di prolungare questo stato di incertezza? L’immagine dell’Authority, già irreparabilmente compromessa non solo agli occhi dei cultori della materia ma a quelli dell’opinione pubblica, ha bisogno di ulteriori ferite?

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/garante-privacy-perche-in-parlamento-non-si-vota-per-il-successore-di-scorza/562889/