Pubblicata la relazione annuale 2024 dell’EDPB

Tempo di lettura stimato:3 Minuti, 2 Secondi

Il Rapporto Annuale 2024 del Comitato Europeo per la Protezione dei Dati (EDPB) pubblicato ieri, mercoledì 23 aprile 2025 (premere qui per leggere), si presenta come un documento articolato e penetrante, che cristallizza gli orientamenti giurisprudenziali e regolatori più significativi nell’ambito del trattamento dei dati personali.

1. Il principio cardine: consenso autentico e libertà di scelta

L’EDPB ha chiarito definitivamente la sua posizione contro i modelli “Consent or Pay” adottati dalle grandi piattaforme on-line. Questi modelli, ormai diffusi, pongono gli utenti di fronte a un’alternativa illusoria: accettare il tracciamento per fini pubblicitari o pagare un abbonamento.4 G

L’EDPB ritiene che, nella maggior parte dei casi, tale scelta non configuri un consenso “libero e informato” ai sensi dell’art. 4(11) GDPR.

Secondo l’Opinion 08/2024, la mera esistenza di una forma di pagamento alternativa non è sufficiente se questa risulta sproporzionata o se non viene offerta una terza opzione meno intrusiva (es. pubblicità contestuale senza profilazione).

2. Intelligenza Artificiale sotto la lente: legittimo interesse e anonimizzazione

Nel dicembre 2024, con l’Opinion 28/2024 l’EDPB ha affrontato un altro nodo nevralgico: l’utilizzo dei dati personali per addestrare modelli di intelligenza artificiale.

Il Comitato, sostanzialmente, ammette la possibilità di fondare tale trattamento sul legittimo interesse (art. 6(1)(f) GDPR), ma a condizione che sia superato il test tripartito: finalità legittima, necessità del trattamento e bilanciamento degli interessi contrapposti.

Inoltre, l’anonimizzazione dei dataset deve essere effettiva, comprovabile e documentata: non basta una semplice dichiarazione, ma è richiesto un serio controllo tecnico-giuridico sulla re-identificabilità dei dati.

3. Riconoscimento facciale negli aeroporti: solo con garanzie robuste

Il parere n. 11/2024 ha analizzato invece la compatibilità dell’uso di tecnologie biometriche negli aeroporti per snellire i flussi dei passeggeri.

Le tecnologie di riconoscimento facciale, se non supportate da un’effettiva necessità giuridica e da sistemi di conservazione sicuri, rischiano di violare i principi di minimizzazione, integrità e sicurezza dei dati (artt. 5, 25, 32 GDPR).

Le uniche soluzioni compatibili sono quelle in cui l’utente mantiene il controllo esclusivo della propria chiave di cifratura o con un sistema di archiviazione decentralizzato conforme ai principi “privacy by design and by default”.

4. Cooperative enforcement e azione coordinata

Nel 2024, il Coordinated Enforcement Framework si è focalizzato sul diritto di accesso ai sensi dell’art. 15 GDPR. È emerso che le PMI sono meno conformi rispetto alle grandi imprese, spesso per mancanza di risorse e competenze.

Sono stati valutati 1.185 titolari del trattamento: molti si sono dimostrati impreparati nella gestione delle richieste di accesso e nella predisposizione di strumenti adeguati.

L’EDPB ha fornito raccomandazioni concrete per migliorare uniformità, trasparenza ed efficacia dell’enforcement, rafforzando il ruolo delle autorità di controllo nazionali.

5. Un nuovo equilibrio nel sistema regolatorio europeo

Con l’entrata in vigore dell’AI Act, del Data Act, del Digital Services Act e del Digital Markets Act, l’EDPB ha assunto nuove funzioni strategiche all’interno di un ecosistema normativo sempre più interconnesso.

Il Board collabora attivamente con l’EU AI Office, il Comitato per i Servizi Digitali e l’European Data Innovation Board, divenendo un fulcro di interoperabilità tra discipline normative.

Insomma, possiamo dire che il 2024 ha sancito un cambio di paradigma: la protezione dei dati personali non è più un vincolo, ma una condizione imprescindibile per l’innovazione responsabile.

Le aziende tecnologiche, le piattaforme digitali e ogni attore economico devono prepararsi a una stagione in cui la compliance non è facoltativa, ma costitutiva della fiducia nel mercato digitale europeo.

In assenza di trasparenza, equilibrio e autodeterminazione informativa, non può esserci un uso etico della tecnologia.

Bio
Ultimi Post

Daniele Giordano

⚖️ IT Law a Studio Legale Nappi

*Avvocato, PhD Law, Science and Technology

Ultimi post di Daniele Giordano (vedi tutti)

Lo Studio Legale Nappi diventa sede dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 3 Giugno 2025
L’Avv. Nicola Nappi è il nuovo Presidente dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 28 Maggio 2025
Pubblicata la relazione annuale ACN 2024 - 14 Maggio 2025
Garante Privacy e modello “Pay or Ok”: la consultazione pubblica che può ridefinire l’equilibrio tra consenso e monetizzazione - 14 Maggio 2025
Obbligo di alfabetizzazione in materia di Intelligenza Artificiale: cosa cambia dal 2025 - 14 Maggio 2025

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.