CEF 2026: 25 DPA europee ispezionano le vostre informative privacy

Il CEF 2026: ispezioni coordinate sulle informative privacy

Il 19 marzo 2026 l’EDPB ha lanciato il Coordinated Enforcement Framework (CEF) 2026, dedicato agli obblighi di trasparenza e informazione sotto il GDPR. Tradotto: 25 autorità garanti europee condurranno ispezioni coordinate sulle informative privacy delle aziende nei rispettivi Paesi.

Non è la prima volta. Il CEF esiste dal 2022 — il primo ciclo ha riguardato l’uso dei servizi cloud nel settore pubblico, il secondo i DPO, il terzo il diritto di accesso. Ogni anno il tema cambia. Quest’anno è il turno degli articoli 12, 13 e 14 del GDPR: le informazioni che fornite agli interessati quando raccogliete i loro dati.

Se avete un sito web, un’app, un modulo contatti, un sistema di videosorveglianza o semplicemente dei dipendenti, avete un’informativa privacy. Ed è esattamente quello che le DPA andranno a leggere.

Cosa controllano esattamente

Gli articoli 12-14 GDPR sono il cuore della trasparenza. L’art. 12 stabilisce le modalità con cui le informazioni devono essere fornite: forma concisa, trasparente, intelligibile, facilmente accessibile, linguaggio chiaro e semplice. Gli artt. 13 e 14 elencano le informazioni specifiche da comunicare, rispettivamente quando i dati sono raccolti direttamente dall’interessato e quando provengono da terzi.

Le 25 DPA partecipanti — tra cui il Garante per la protezione dei dati personali italiano, la CNIL francese, l’ICO britannico (in qualità di osservatore), il BfDI tedesco, l’AEPD spagnola — verificheranno in concreto:

• Completezza: l’informativa contiene tutte le informazioni richieste dagli artt. 13-14? Base giuridica, finalità, destinatari, periodo di conservazione, diritti dell’interessato, dati del DPO?
• Accessibilità: l’informativa è facilmente raggiungibile? O è sepolta in 4 click nel footer, scritta in corpo 8, in un PDF non scaricabile?
• Comprensibilità: il linguaggio è chiaro? O è legalese incomprensibile copiato da un template del 2018?
• Aggiornamento: l’informativa riflette i trattamenti effettivi? O menziona ancora il Privacy Shield come meccanismo di trasferimento dati verso gli USA?

I 3 errori più comuni nelle informative privacy

Dopo anni di consulenza GDPR a PMI e grandi aziende, vi dico quali sono i problemi che trovo sistematicamente. Sono gli stessi che le DPA troveranno.

1. Base giuridica assente o sbagliata

L’art. 13(1)(c) richiede di indicare la base giuridica per ogni finalità di trattamento. La maggior parte delle informative che vedo elenca le finalità ma non la base giuridica corrispondente. O peggio: indica il “consenso” come base giuridica per tutto, incluso l’esecuzione contrattuale e gli obblighi di legge.

La CNIL ha sanzionato Criteo per 40 milioni di euro nel 2023 anche per carenze informative sulla base giuridica del legittimo interesse. L’AEPD spagnola irroga sanzioni a catena per informative incomplete. Non è teoria: è prassi sanzionatoria consolidata.

2. Periodo di conservazione generico o assente

L’art. 13(2)(a) richiede il periodo di conservazione o, in mancanza, i criteri per determinarlo. “I dati saranno conservati per il tempo necessario” non è un criterio. È una non-risposta. Le DPA vogliono vedere tempi specifici per finalità: dati contrattuali 10 anni (obblighi fiscali), dati di marketing 24 mesi dall’ultimo contatto, log di accesso 6 mesi.

3. Informativa fantasma per i dati raccolti da terzi

L’art. 14 GDPR — quello che quasi tutti dimenticano. Se acquisite dati personali da fonti diverse dall’interessato (lead list, data broker, partner commerciali, scraping), dovete fornire un’informativa specifica entro un mese dalla raccolta. La maggior parte delle aziende non sa nemmeno che questo obbligo esiste. Le DPA lo sanno benissimo.

Cosa fare adesso: checklist operativa

Il CEF 2026 significa che le ispezioni inizieranno nei prossimi mesi. Non domani, ma neanche tra un anno. Ecco cosa serve per un adeguamento GDPR aziende concreto sulla trasparenza.

Audit delle informative esistenti

Mappate tutte le informative attive nella vostra organizzazione. Non solo quella del sito web. Anche: informativa dipendenti, informativa fornitori, informativa videosorveglianza, informativa candidati, informativa app, informativa per dati raccolti da terzi (art. 14). Se ne manca una, createla.

Verifica punto per punto contro gli artt. 13-14

Prendete ogni informativa e verificate che contenga tutti gli elementi richiesti. L’EDPB ha pubblicato le Linee guida sulla trasparenza (WP260 rev.01) che spiegano esattamente cosa si aspettano le DPA. È il vostro benchmark. Se un elemento manca, aggiungetelo.

Test di leggibilità

Fate leggere l’informativa a qualcuno che non è un giurista. Se non la capisce, riscrivetela. L’art. 12 GDPR è chiaro: linguaggio semplice e chiaro. Un’informativa di 15 pagine in corpo 9 con rimandi normativi non è trasparente. Le DPA lo ripetono da anni. I layered notices (informativa a più livelli) sono la soluzione raccomandata.

Allineamento con il registro dei trattamenti

L’informativa deve rispecchiare il registro ex art. 30 GDPR. Se nel registro avete finalità, basi giuridiche e tempi di conservazione diversi da quelli nell’informativa, avete un problema. E le DPA controllano entrambi i documenti.

Il collegamento con il Digital Omnibus

Il CEF 2026 arriva in un momento specifico. Il Digital Omnibus Package, adottato dal Parlamento UE il 26 marzo 2026, modifica anche il GDPR. Tra le novità: la possibilità di esercitare i diritti degli interessati presso qualsiasi stabilimento del titolare (non solo quello principale), e la semplificazione delle procedure di reclamo transfrontaliero.

Questo significa che le sanzioni GDPR per carenze di trasparenza avranno un effetto più ampio. Se la vostra informativa non indica correttamente i diritti degli interessati — incluso dove e come esercitarli — il rischio sanzionatorio aumenta. Le modifiche del Digital Omnibus rendono più facile per gli interessati agire e per le DPA coordinarsi.

Il messaggio è chiaro: la trasparenza non è un adempimento formale. È il primo punto di contatto tra la vostra organizzazione e gli interessati. Ed è il primo documento che un’autorità garante legge quando apre un’istruttoria.

Non aspettate l’ispezione

Il CEF 2026 non è una minaccia generica. È un programma con 25 DPA che hanno concordato tempi, metodi e criteri. Le ispezioni arriveranno. La domanda non è se, ma quando.

Un avvocato GDPR con esperienza pratica può fare l’audit delle vostre informative in pochi giorni. Un’informativa privacy a norma non è un costo: è la prima difesa contro un procedimento sanzionatorio.

Se non avete rivisto le vostre informative dal 2018, questo è il momento. Non perché ve lo dico io, ma perché ve lo stanno dicendo 25 autorità garanti europee contemporaneamente.

Fonti

• EDPB — Coordinated Enforcement Framework
• EDPB — Linee guida sulla trasparenza (WP260 rev.01)
• Regolamento (UE) 2016/679 — GDPR, artt. 12-14
• Parlamento UE — Adozione posizione Digital Omnibus Package