L’Autorità Garante per la protezione dei dati personali – composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – hanno presentato oggi la Relazione sull’attività svolta nel terzo anno di mandato del Collegio.
La Relazione illustra i diversi fronti sui quali è stata impegnata l’Autorità nel corso di un anno caratterizzato dal ricorso sempre più massiccio alle piattaforme on line e dallo sviluppo dell’intelligenza artificiale.
La necessità di assicurare, da una parte, un funzionale trattamento dei dati e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento al momento di fornire pareri o di indicare misure di garanzia per tutelare i diritti della persona.
Il 2022 è stato anche l’anno in cui l’Autorità ha celebrato il 25° anniversario della sua istituzione e dell’introduzione nel nostro Paese della normativa sulla privacy. Tale importante ricorrenza è stata l’occasione per dare nuovo impulso alla diffusione della cultura della privacy, per fare un bilancio del lavoro svolto in questo quarto di secolo e per delineare le sfide future.
L’attività di informazione e comunicazione è stata pertanto ricca di eventi ed iniziative che hanno coinvolto esperti, rappresentanti del mondo accademico e un gran numero di studenti.
Gli interventi più rilevanti
Il 2022 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori, i sistemi di age verification; i big data; l’intelligenza artificiale generativa, il Metaverso e le problematiche poste dagli algoritmi; gli scenari tracciati dalle neuroscienze; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la monetizzazione delle informazioni personali; i fenomeni del revenge porn, del cyberbullismo, dello sharenting, del social scoring.
Particolare attenzione è stata posta all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale. In questo ambito, in particolare, l’Autorità ha sanzionato per 20 milioni di euro la società statunitense Clearview, vietando l’uso dei dati biometrici e il monitoraggio degli italiani.
Sul fronte della tutela on line dei minori l’anno trascorso è proseguita l’azione di vigilanza sull’età di iscrizione ai social, anche attraverso sistemi di age verification. In questa direzione si muove il tavolo di lavoro istituito con il recente protocollo d’intesa tra Garante e Agcom.
Inoltre, dopo l’altolà del Garante Tik Tok ha sospeso l’invio di pubblicità personalizzata basata sul legittimo interesse. Oltre ad una base giuridica inadeguata vi erano, infatti, seri rischi che la pubblicità potesse raggiungere i giovanissimi con contenuti non appropriati.
Per quanto riguarda il caso Chatgpt l’intervento del Garante ha consentito di indirizzare lo sviluppo di questa forma di intelligenza artificiale generativa in una direzione compatibile con la tutela delle persone, specie se minori. Fondamentale anche lo stop nei confronti del chatbot Replika, una sorta di amico virtuale, che presentava troppi rischi per i minori e le persone emotivamente fragili.
Con 2 milioni di euro di multa il Garante ha poi sanzionato Clubhouse, il social delle chat vocali.
Per contrastare il fenomeno del revenge porn e aiutare le persone che temono la diffusione di foto e video a contenuto sessualmente esplicito il Garante ha introdotto un modello di segnalazione telematica e la possibilità di inviare alle piattaforme il codice hash delle immagini invece delle copie in chiaro. Le segnalazioni ricevute, circa 150, sono state trattate tempestivamente e nella maggior parte dei casi l’esame si è concluso con un provvedimento diretto alle piattaforme coinvolte per ottenere il blocco preventivo della diffusione delle foto e dei video.
Sul fronte della cybersecurity, l’Autorità ha avviato la collaborazione con la Agenzia nazionale per la sicurezza con la quale è stato firmato un protocollo di intesa.
Significativo a questo proposito il numero dei data breach notificati nel 2022 al Garante da parte di soggetti pubblici e privati: 1351. Nel settore pubblico (31,2% dei casi), le violazioni hanno riguardato soprattutto comuni, istituti scolastici e strutture sanitarie, nel settore privato (68,8% dei casi) sono stati coinvolte sia PMI e professionisti che grandi società del settore delle telecomunicazioni, energetico bancario e dei servizi. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio.
Nel settore della giustizia, l’Autorità è intervenuta, in particolare, sui temi delle intercettazioni e della digitalizzazione della giustizia penale. Rilevanti anche l’intervento in materia di giustizia riparativa la cui disciplina assegna un ruolo centrale ai doveri di riservatezza del mediatore.
Diversi gli interventi riguardanti la sanità digitale. Tra questi vanno evidenziati due pareri non favorevoli: uno sul Fascicolo sanitario elettronico e un altro sull’Ecosistema dei dati sanitari, in entrambi i casi il Garante ha rilevato numerose criticità. In tema di medicina predittiva sono state sanzionate tre aziende sanitarie.
Nel 2022 il processo di digitalizzazione della P.a. ha subito una forte accelerazione, soprattutto per la necessità di dare attuazione al Pnrr. Il Garante è intervenuto, tra l’altro, sullo Spid per i minori, sulla CieId, sul Sistema di gestione delle deleghe, sulla Piattaforma dei benefici economici erogati da soggetti pubblici, sui Siti web della P.a.. Significativi anche i pareri in materia di politiche sociali come il Bonus psicologo, il Bonus vista, il Bonus patente autotrasporti, la Carta della cultura, la Carta dello studente.
Sempre per quanto riguarda la pubblica amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Bloccate sul nascere iniziative locali volte all’erogazione di benefici basati su meccanismi di scoring associati a comportamenti “virtuosi” dei cittadini in vari settori.
Relativamente al settore della fiscalità, l’Autorità ha chiesto maggiori garanzie per gestire i rischi che possono derivare dall’uso dell’intelligenza artificiale nella lotta all’evasione fiscale. Le misure da adottare vanno valutate in concreto e deve essere potenziato l’intervento umano nella formazione dei dataset di analisi e controllo.
Nel mondo del lavoro, il Garante ha affiancato l’attività di tipo correttivo a quella consultiva. L’Autorità ha sanzionato, in particolare, l’accesso del datore di lavoro alla email dell’ex dipendente e la rilevazione biometrica delle presenze da parte di una società sportiva. Ed ha inoltre chiarito come il lavoratore abbia diritto di conoscere i parametri utilizzati per programmare i sistemi automatizzati di valutazione delle prestazioni.
Sul fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere un vero e proprio “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità. L’Autorità ha inoltre approvato il Codice di condotta per il telemarketing. Le regole entreranno in vigore una volta costituito l’Organismo di monitoraggio.
Sotto la lente del Garante anche il cosiddetto spoofing, ossia l’effettuazione di chiamate promozionali indesiderate realizzate attraverso il camuffamento del numero chiamante.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele.
Il 2022 ha visto il Garante proseguire nell’azione di supporto a imprese e pubbliche amministrazioni con un’attività di promozione delle tematiche privacy, in particolare nei confronti dei consumatori. Nell’ambito della convenzione siglata nel 2021 con il Mise sono state realizzate una serie di importanti iniziative, informative, formative e di comunicazione.
Le cifre
Nel 2022 sono stati adottati 442 provvedimenti collegiali.
L’Autorità ha fornito riscontro a 9.218 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro.
I pareri resi dal Collegio su atti normativi e amministrativi sono stati 81 ed hanno riguardato la digitalizzazione della P.a.; la sanità; il fisco; la giustizia; l’istruzione; funzioni di interesse pubblico.
12 sono stati i pareri su norme di rango primario: in particolare, riguardo a digitalizzazione della Pa, giustizia, sanità e lavoro.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 5 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori e falsità nelle dichiarazioni e notificazioni al Garante.
I provvedimenti correttivi e sanzionatori sono stati 317.
Le sanzioni riscosse sono state di circa 9 milioni 500 mila euro.
Le ispezioni effettuate nel 2022 sono state 140, quasi triplicate rispetto a quelle dell’anno precedente in cui ancora si subiva l’impatto dell’emergenza pandemica. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, telemarketing, cloud pubblico, siti web ed uso dei cookie, videosorveglianza, anche sul posto di lavoro. Effettuate le verifiche periodiche al VIS (Visa Information System), il sistema sui visti d’ingresso nello spazio Schengen.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 16.400 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal web; alla salute e alla ricerca;
Oltre 4 milioni e 300 mila gli accessi al sito web dell’Autorità.
Per quanto riguarda l’attività di informazione e comunicazione istituzionale, nel 2022 l’Autorità ha diffuso 71 comunicati stampa, 13 Newsletter, realizzato 9 campagne informative, e prodotto 27 spot istituzionali su temi di maggiore interesse per il pubblico, di cui 18 diffusi sui canali Rai Radio e Tv e 9 sul web e sui social media.
L’attività internazionale
Non meno rilevante e intensa l’attività del Garante a livello internazionale, con 216 riunioni, alcune svolte anche in presenza per il progressivo venir meno delle restrizioni imposte dalla pandemia da Covid-19.
Nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dello Spazio Economico Europeo, il Garante ha contribuito all’adozione di linee-guida su tematiche complesse. Tra le più importanti quelle sui dark pattern nelle piattaforme di social media; sui due nuovi strumenti di trasferimento dei dati introdotti dal Regolamento: i codici di condotta e le certificazioni; sul calcolo delle sanzioni amministrative, sulla cooperazione nell’ambito del meccanismo di “sportello unico”.
Aggiornate, inoltre, le linee guida sulla violazione dei dati (data breach) e rivisto anche il testo di quelle per l’individuazione dell’autorità capofila.
Fra i più importanti pareri resi dall’Edpb e ai quali ha contribuito il Garante, vanno citati quelli sulle proposte di Regolamento del Parlamento europeo e del Consiglio per prevenire e combattere gli abusi sessuali sui minori; per lo Spazio europeo dei dati sanitari; sul riconoscimento facciale nel settore delle attività di polizia e giudiziarie; sulla proroga delle misure in materia di certificati Covid-19; sull’accesso e uso equo dei dati.
Vanno segnalate inoltre cinque importanti decisioni vincolanti che l’Edpb ha assunto nel 2022 per dirimere controversie sorte fra l’autorità capofila e le autorità interessate (tra i casi, WhatsApp e Facebook Ireland). È proseguita l’attività del Comitato anche con riferimento all’applicazione dei principi di protezione dei dati nel settore finanziario, attraverso uno specifico sottogruppo (Financial Matters) il cui coordinamento è affidato al Garante. Uno dei punti cardine del lavoro del Board in materia finanziaria ha riguardato l’euro digitale.
Significativo anche il contributo dato dal Garante in seno all’Ocse soprattutto ai fini della implementazione delle Linee guida in materia di privacy e della Raccomandazione sulla protezione dei minori on line.
Da sottolineare l’attività del Garante italiano nell’ambito del Consiglio d’Europa, in particolare attraverso la partecipazione al Comitato consultivo della Convenzione 108/1981, cd T-PD, di cui il Garante ha conservato la presidenza per il terzo mandato consecutivo, conclusosi, in quanto non più rinnovabile, con le elezioni nella plenaria di novembre 2022.