CLAVIS Il Radar N° 04 · Luglio 2026 · Quindicinale
GDPR · Nuovo modello EDPB data breach · Operativo da subito

Due norme, due obblighi nuovi.
Entrambi operativi adesso.

Questo periodo non ha prodotto nuove scadenze NIS2, AI Act o 231 — ma ha chiuso due capitoli aperti da mesi. L'EDPB ha adottato il nuovo modello standardizzato per la notifica dei data breach: operativo da subito, sostituisce i format nazionali. E le Linee Guida 1/2026 sulla ricerca scientifica sono ora formalmente adottate — non più in consultazione, ma testo definitivo da implementare.

01Novità del periodo
GDPR / EDPB ● OPERATIVO DA SUBITO

Nuovo modello EDPB per la notifica dei data breach — sostituisce i format nazionali

L'EDPB ha adottato un modello comune standardizzato per la notifica delle violazioni di dati personali alle autorità di controllo. Sostituisce i precedenti format nazionali e le linee guida 9/2022. Per le strutture sanitarie, che trattano dati particolari su larga scala, è un aggiornamento procedurale obbligatorio e immediato. Salvis Juribus · 5 lug

GDPR / EDPB ● ADOTTATE DEFINITIVAMENTE

LG EDPB 1/2026 ricerca scientifica: non più in consultazione — testo definitivo

Osborne Clarke conferma: le Linee Guida 1/2026 sul trattamento dei dati per la ricerca scientifica sono ora formalmente adottate. Chi gestisce dati clinici per ricerca, condivide dataset con università o ASL, o opera in trial clinici deve ora implementare — non più attendere. Osborne Clarke · 13 lug

AI Act UE ● 2 AGOSTO — 18 GIORNI

Scadenza AI Act trasparenza: il conto alla rovescia continua

Nessuna novità normativa in questo periodo sull'AI Act, ma la scadenza del 2 agosto resta invariata. Dal 2 agosto obbligo di etichettatura per tutti i contenuti generati con AI distribuiti a terzi — comunicazioni ai pazienti, report clinici, modulistica assistita da AI. 18 giorni. AI Act — Omnibus VII

EDPB · In iter ● DA MONITORARE

Nuove LG EDPB su AI e minori: ancora in iter, ma il perimetro si definisce

Il riepilogo Osborne Clarke del II trimestre 2026 conferma che le nuove linee guida EDPB su AI, data breach avanzato e tutela dei minori sono ancora in fase di esame. Per strutture che trattano dati di pazienti minori o usano AI diagnostica: monitorare l'iter — l'adozione è prevista entro l'anno. Osborne Clarke · 13 lug

Sotto la lente
▸ GDPR · NUOVO MODELLO DATA BREACH · OPERATIVO DA SUBITO

Il modello EDPB per i data breach è cambiato.
Le tue procedure interne lo sanno?

L'EDPB ha adottato un modello comune standardizzato per la notifica delle violazioni di dati personali alle autorità di controllo nazionali — incluso il Garante italiano. Il nuovo format sostituisce i precedenti modelli nazionali e le linee guida 9/2022. Non è un aggiornamento facoltativo: è il formato che devi usare da adesso.

Per una struttura sociosanitaria questo significa una cosa concreta: la procedura interna di gestione dei data breach — quella che definisce cosa fare, chi avvisa, entro quanto e con quale format — va aggiornata adesso. Il Garante riceverà le notifiche nel nuovo formato; chi usa ancora il vecchio crea un disallineamento procedurale che può essere contestato in caso di ispezione.

Il timing conta: le strutture sanitarie sono tra i soggetti più esposti agli obblighi di notifica data breach per via del volume e della sensibilità dei dati trattati. Un incidente — anche minore — senza procedura aggiornata diventa immediatamente un problema di compliance documentale, oltre che operativo.

03Scadenziario — prossimi 30 giorni
2 AGO 2026
AI Act — obbligo trasparenza contenuti AI. 18 giorni. Etichettatura obbligatoria per tutti i contenuti generati con AI distribuiti a terzi. Incluse comunicazioni cliniche, report automatici, modulistica.
ADESSO
GDPR — aggiornamento procedura data breach al nuovo modello EDPB. Operativo da subito. Aggiornare le procedure interne e il registro delle violazioni con il nuovo format standardizzato.
DA IMPLEMENTARE
GDPR — LG EDPB 1/2026 ricerca scientifica adottate definitivamente. Non più in consultazione. Chi tratta dati clinici per ricerca o condivide dataset con enti terzi deve implementare le misure previste.
AGO 2026
AI Act — inventario sistemi ad alto rischio. Classificazione formale dei sistemi AI in uso. Sistemi diagnostici, di triage e allocazione risorse: categoria stringente invariata dopo Omnibus VII.
DA MONITORARE
EDPB — nuove LG su AI e minori. Ancora in iter. Impatto su strutture con pazienti minorenni o AI diagnostica. Adozione prevista entro fine 2026.
04Cosa ordinare al tuo team entro venerdì
A
Aggiorna la procedura interna di gestione dei data breach al nuovo modello EDPB. Recupera il nuovo format dal sito EDPB o tramite il tuo DPO. Verifica che chi deve notificare sappia esattamente cosa compilare, a chi inviarlo e entro quanto — 72 ore dall'evento.
→ DPO / Responsabile Qualità
B
Se la struttura tratta dati clinici per ricerca o condivide dataset con università o ASL: avvia l'implementazione delle LG EDPB 1/2026. Non è più orientamento — è testo definitivo. Le misure di salvaguardia previste per il consenso ampio vanno documentate nel registro dei trattamenti.
→ DPO / Responsabile Qualità / Ricerca
C
2 agosto AI Act: mancano 18 giorni — verifica lo stato della mappatura dei contenuti AI. Se non hai ancora identificato dove usi AI per produrre comunicazioni verso pazienti e famiglie, fallo questa settimana. Il tempo per un'implementazione ordinata si sta esaurendo.
→ Responsabile Qualità / Comunicazione / IT
D
Aggiorna il registro dei trattamenti con le modifiche procedurali derivanti dal nuovo modello EDPB data breach e dalle LG 1/2026. Un registro aggiornato è la prima cosa che un ispettore del Garante chiede in caso di violazione.
→ DPO
05Dal Radar

Il monitoraggio di questo periodo ha prodotto un dato anomalo: su 12 alert, 10 riguardavano tariffe e rette RSA. Non è la prima volta — il numero 03 aveva già segnalato tensioni in 4 regioni. In queste due settimane il fenomeno si è allargato: adeguamenti tariffari entrati in vigore il 1° luglio in molte regioni, gestori che dichiarano di lavorare comunque in perdita, famiglie in difficoltà, sindacati in allarme.

Il Radar rimane focalizzato sulla compliance normativa — non è questa la sede per analizzare la politica tariffaria sociosanitaria. Ma registriamo il segnale perché ha una ricaduta indiretta sulla compliance: una struttura sotto pressione economica strutturale tende a posticipare gli investimenti in adeguamento normativo. Il rischio è che le due crisi — economica e compliance — si alimentino a vicenda proprio quando le scadenze si moltiplicano. È un tema che monitoreremo, senza farne il centro del Radar.

Vuoi smettere di gestire la compliance a mano?
CLAVIS trasforma ogni aggiornamento normativo in un'azione tracciabile per la tua struttura.

CLAVISAPP.IT