La fine di febbraio 2026 porta con sé due importanti novità legislative che toccano direttamente il mondo del commercio elettronico e della gestione dei dati personali. Da un lato, il nuovo Decreto Sicurezza introduce obblighi specifici per chi vende online strumenti da taglio e da punta; dall’altro, il decreto attuativo del PNRR semplifica le procedure di notifica dei data breach per le microimprese. Ecco cosa c’è da sapere
DL Sicurezza: obbligo di verifica dell’età per la vendita online di articoli da taglio e da punta
Nella Gazzetta Ufficiale n. 45 del 24 febbraio è stato pubblicato il Decreto-legge n. 23 del 24 febbraio 2026 (cd. DL Sicurezza), recante “Disposizioni urgenti in materia di sicurezza pubblica, di attività di indagine dell’autorità giudiziaria in presenza di cause di giustificazione, di funzionalità delle forze di polizia e del Ministero dell’interno, nonché di immigrazione e protezione internazionale”.
L’articolo 1 del decreto interviene sulla Legge n. 110/1975, in materia di controllo delle armi, delle munizioni e degli esplosivi, introducendo alcune disposizioni inedite. In particolare, il nuovo articolo 4-quater prevede che i gestori di siti web e i fornitori di piattaforme di vendita elettronica adottino sistemi efficaci di verifica della maggiore età dell’acquirente, prima della conclusione dell’acquisto di strumenti da punta o da taglio atti ad offendere. La vigilanza sul corretto adempimento di questo obbligo è affidata all’AGCOM.
Il provvedimento è entrato in vigore il 25 febbraio 2026.
È stata inoltre già avviata la fase di conversione in legge del decreto (S. 1818): il dossier è stato assegnato alla Commissione Affari Costituzionali del Senato per l’avvio dell’esame parlamentare.
Seguiranno ulteriori aggiornamenti sugli sviluppi del percorso di conversione.
Decreto PNRR: procedura semplificata di notifica data breach per le microimprese
Il Decreto-legge 19 febbraio 2026, n. 19 — “Ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR) e in materia di politiche di coesione” (GU Serie Generale n. 41 del 19 febbraio 2026) — introduce una serie di semplificazioni amministrative a favore di imprese e cittadini.
Tra le misure di maggiore interesse, l’Art. 12 – “Misure urgenti in materia di microimprese” modifica il Codice in materia di protezione dei dati personali (D.lgs. 30 giugno 2003, n. 196), inserendo il nuovo Art. 2-quaterdecies.1, dedicato alla procedura di notifica delle violazioni di dati personali da parte di microimprese.
In concreto, le imprese con meno di cinque dipendenti potranno avvalersi di una procedura speciale di notifica del data breach ai sensi dell’art. 33 del GDPR. Le modalità operative saranno definite con un apposito provvedimento del Garante per la protezione dei dati personali, che dovrà prevedere:
- strumenti di autovalutazione guidata;
- un canale di assistenza semplificato per supportare i soggetti tenuti alla notifica.
Attenzione: si tratta di una semplificazione procedurale, non di un’esenzione. L’obbligo di notifica delle violazioni di dati personali resta pienamente in vigore per tutte le imprese, indipendentemente dalla dimensione.
Il decreto è entrato in vigore il 20 febbraio 2026. Per l’operatività della nuova procedura occorre tuttavia attendere il provvedimento attuativo del Garante Privacy.
