L’approccio alla conformità al Regolamento generale sulla protezione dei dati nel 2026 non può più essere qualificato come una questione di novità normativa.
I principi stabiliti dal Regolamento (UE) 2016/679 sono ormai stati ampiamente interpretati attraverso linee guida, azioni di enforcement coordinate e un significativo corpus di decisioni adottate dalle autorità di controllo a livello nazionale ed europeo. La persistenza di carenze di conformità non può quindi essere ragionevolmente attribuita a un’incertezza circa il contenuto delle norme.
Il problema è più profondo. Riguarda il modo in cui gli obblighi giuridici, in particolare quelli espressi in termini ampi come negli articoli 5, 24, 25 e 32, vengono tradotti in processi decisionali interni capaci di operare in tempo reale.
In questo senso, le principali criticità possono essere ricondotte a tre dimensioni tra loro strettamente connesse: visione, tempestività e crescita.
Visione
La prima questione riguarda il modo in cui le organizzazioni comprendono la conformità.
Accade spesso che le regole del GDPR siano trattate come requisiti esterni, da gestire attraverso la predisposizione di policy, registri e procedure formali. Questo approccio non è di per sé errato, ma conduce frequentemente a una conformità che ha valore soprattutto probatorio, più che operativo.
Gli articoli 5, paragrafo 2, e 24 introducono il principio di accountability non solo come prova della conformità ex post, ma come criterio per organizzare la governance interna in modo tale da garantire la conformità fin dall’inizio. Nella pratica, tuttavia, l’accountability viene spesso ridotta alla disponibilità della documentazione, piuttosto che all’esistenza di meccanismi di controllo effettivi.
Questo aspetto emerge chiaramente nel ruolo del Responsabile della protezione dei dati.
Gli articoli da 37 a 39 descrivono il DPO come una figura che dovrebbe operare in modo indipendente e avere accesso diretto al vertice aziendale. Tuttavia, la prassi applicativa continua a evidenziare criticità ricorrenti: risorse insufficienti, coinvolgimento tardivo nei processi decisionali e, in alcuni casi, conflitti di interesse di natura strutturale.
Una simile frammentazione concettuale si riscontra nel rapporto tra l’articolo 25, protezione dei dati fin dalla progettazione e per impostazione predefinita, e l’articolo 32, sicurezza del trattamento. Queste disposizioni sono spesso affrontate separatamente. I modelli di sicurezza, spesso allineati a standard come ISO/IEC 27001, vengono sviluppati indipendentemente dalla governance privacy.
La logica del Regolamento suggerisce però un approccio diverso. La valutazione delle misure adeguate non può essere limitata al solo rischio tecnico, ma deve essere orientata alla tutela dei diritti e delle libertà delle persone fisiche. Quando questo collegamento non è esplicito, le misure di sicurezza possono apparire solide ma risultare insufficienti sotto il profilo giuridico.
In questo senso, la visione richiede la capacità di interpretare il GDPR non come un insieme di obblighi isolati, ma come un sistema di regole di governance che determina come il rischio viene identificato, valutato e, in ultima analisi, accettato all’interno dell’organizzazione.
Tempestività
Se la visione riguarda la struttura, la tempestività riguarda l’esecuzione.
Il GDPR prevede obblighi che hanno una chiara dimensione temporale. L’articolo 35 richiede che le valutazioni d’impatto sulla protezione dei dati siano effettuate prima dell’avvio del trattamento nei casi in cui vi sia un rischio elevato. Gli articoli 33 e 34 prevedono termini stringenti per la notifica e la comunicazione delle violazioni dei dati personali.
Nonostante la chiarezza di tali disposizioni, la prassi continua a discostarsene.
Le DPIA vengono spesso effettuate dopo che le principali decisioni sul trattamento sono già state adottate, compromettendone la funzione preventiva. In altri casi vengono svolte come esercizi standardizzati, con un’attenzione limitata ai rischi specifici del trattamento.
Questo riflette un fraintendimento della DPIA, considerata come un documento più che come un processo decisionale. Se correttamente intesa, dovrebbe invece documentare non solo i rischi individuati ma anche le ragioni delle misure adottate e dell’eventuale accettazione del rischio residuo.
Una problematica analoga si riscontra nella gestione delle violazioni dei dati personali.
Sebbene il termine di 72 ore previsto dall’articolo 33 sia ampiamente noto, la questione più complessa riguarda la determinazione del momento in cui un’organizzazione può dirsi a conoscenza della violazione e le modalità di azione in presenza di informazioni incomplete o in evoluzione.
Le autorità di controllo hanno chiarito che la notifica può avvenire per fasi e che l’incertezza non giustifica l’inazione.
Tuttavia, molte organizzazioni continuano a trattare le violazioni come eventi eccezionali, invece che come processi strutturati con ruoli definiti, meccanismi di escalation e coordinamento tra funzioni tecniche e legali.
Il problema non è quindi la velocità.
È la capacità di assumere decisioni giuridicamente rilevanti in condizioni di incertezza, assicurando al tempo stesso che tali decisioni siano tracciabili e giustificabili alla luce del Regolamento.
Crescita
La terza dimensione riguarda la capacità dell’organizzazione di evolvere.
Un elemento ricorrente nella prassi applicativa è che le carenze di conformità raramente sono isolate. Tendono piuttosto a riflettere debolezze strutturali che emergono in contesti diversi.
Questo risulta particolarmente evidente nel trattamento da parte di terzi.
L’articolo 28 stabilisce un quadro dettagliato per il rapporto tra titolari e responsabili del trattamento. Nella pratica, tuttavia, tale rapporto viene spesso ridotto alla negoziazione di clausole contrattuali. Una volta concluso il contratto, la verifica continuativa della conformità è limitata.
Questo approccio non tiene conto della natura dinamica degli ambienti di trattamento, soprattutto nei contesti cloud o multi-fornitore. Le indicazioni delle autorità evidenziano che i rischi non derivano solo dagli accordi iniziali ma anche dal funzionamento concreto dei servizi, inclusi accessi, localizzazione dei dati e trasferimenti verso terzi.
Una debolezza simile si osserva anche nella formazione interna.
L’articolo 39 richiama espressamente il compito di sensibilizzare e formare il personale coinvolto nei trattamenti. Tuttavia, in molte organizzazioni la formazione è ancora considerata un adempimento periodico, più che uno strumento per incidere sui comportamenti.
Le ricerche mostrano che la formazione, se non supportata da adeguate misure organizzative, ha un impatto limitato sulla pratica. Questo è coerente con quanto emerge dall’enforcement del GDPR, dove l’errore umano, come comunicazioni errate, gestione impropria delle richieste o ritardi nell’escalation, continua a essere rilevante.
La crescita non può quindi essere ridotta all’accumulazione di controlli.
Richiede la capacità di individuare problemi ricorrenti, misurarne l’impatto e integrare correttivi nei processi organizzativi.
Conclusione
Nel 2026, il GDPR ha superato la fase iniziale di interpretazione ed è entrato in una fase di maturità operativa.
Gli obblighi sono ben compresi. Le aspettative delle autorità sono più coerenti. Le aree di non conformità ricorrente sono chiaramente individuabili.
Ciò che resta difficile non è la norma ma la sua attuazione. Gli errori più persistenti, che si tratti di accountability formale, valutazioni tardive o apprendimento insufficiente, non sono di natura dottrinale. Sono di natura organizzativa.
Riflettono la difficoltà di costruire sistemi capaci di tradurre principi giuridici in decisioni concrete, tempestive e misurabili.
In questo senso, la conformità al GDPR non è più una questione di conoscenza delle norme.
È una questione di struttura organizzativa e di capacità di darvi attuazione nella pratica.
