Il 2023 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’Intelligenza Artificiale generativa; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori; i sistemi di age verification; i big data; le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la monetizzazione delle informazioni personali; i fenomeni del revenge porn e del cyberbullismo.
Leggi anche: Garante Privacy, Stanzione ‘AI ormai nella nostra vita. Ma non sappiamo ancora bene cosa vuol dire’
Il 2023 è stato l’anno dell’AI
Il 2023 è stato l’anno della diffusione massiva dell’Intelligenza Artificiale con importanti interventi del Garante. Dopo un iniziale blocco di ChatGPT, per raccolta illecita di dati personali e assenza di sistemi per la verifica dell’età dei minori, la piattaforma è stata riaperta garantendo più trasparenza e più diritti agli utenti. Nel frattempo è stata costituita una task force ad hoc a livello europeo e sono in corso ulteriori verifiche dell’Autorità. Il Garante ha imposto lo stop anche al chatbot Replika: troppi i rischi per i minori e le persone emotivamente fragili, ed ha avviato un’istruttoria su Sora il modello di intelligenza artificiale che crea brevi video da poche righe di testo.
Leggi anche: AI e web scraping, come difendersi? Le indicazioni del Garante Privacy
Sotto la lente dell’Autorità anche Pornhub, chiesti chiarimenti su profilazione degli utenti e sistemi di tracciamento. Sempre in questo ambito, il provvedimento del Garante Privacy che detta le regole per difendere i dati personali dal webscraping.
Digitalizzazione
L’accelerazione del processo di digitalizzazione ha visto numerosi interventi dell’Autorità riguardanti in particolare la gestione centralizzata delle credenziali dell’identità digitale CIE (CIEId), il Single digital gateway (SDG) per lo scambio transfrontaliero di prove, la Piattaforma unica per le notifiche digitali di atti amministrativi. Proseguite anche le attività connesse ai trattamenti dell’Agenzia delle entrate che prevedono l’interscambio di informazioni fra amministrazioni per garantire l’esattezza e completezza della dichiarazione dei redditi precompilata, così come quelle legate all’operatività dell’Anagrafe nazionale dei residenti. Sempre per quanto riguarda la pubblica amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone.
Digitalizzazione della giustizia
Un significativo contributo è stato fornito dal Garante per la piena realizzazione del processo di digitalizzazione della giustizia, rispetto sia al processo (ordinario) telematico, sia alla costituzione delle infrastrutture digitali per le intercettazioni.
Fascicolo sanitario elettronico
Importanti in ambito sanitario, gli interventi sulla riforma del Fascicolo sanitario elettronico 2.0 (FSE) e la realizzazione del sistema nazionale di telemedicina, che sono parte delle azioni di attuazione della Missione 6 (salute) del PNRR. Significativa anche la pubblicazione di un decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale e la recente segnalazione inviata al Governo sulle difformità riscontrate tra le varie Regioni nella realizzazione del FSE.
Riconoscimento facciale
Particolare attenzione è stata posta all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale. In particolare, l’Autorità ha inviato un avvertimento a Worldcoin in relazione al progetto di scansione dell’iride in cambio di criptovalute, senza adeguate garanzie e la necessaria consapevolezza da parte degli utenti.
Age verification e revenge porn
Sul fronte della tutela on line dei minori nell’anno trascorso è proseguita l’azione di vigilanza sull’età di iscrizione ai social, anche attraverso sistemi di age verification. In questa direzione si muove il tavolo di lavoro istituito con un protocollo d’intesa tra Garante e Agcom.
Firmati anche nuovi protocolli tra Garante e Co. Re.Com di diverse Regioni per combattere revenge porn e cyberbullismo. Realizzati numerosi incontri con i giovani in diverse città italiane e premiate le scuole vincitrici del contest “Ambasciatori della Privacy”.
In particolare, proprio il fenomeno del revenge porn risulta in preoccupante aumento: 299 le segnalazioni di persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, raddoppiate rispetto allo scorso anno. Le segnalazioni ricevute sono state trattate tempestivamente e nella maggior parte dei casi l’esame si è concluso con un provvedimento diretto alle piattaforme coinvolte per ottenere il blocco preventivo della diffusione delle foto e dei video.
Garante Privacy e ACN, linee guida per la conservazione delle password
Sul fronte della cybersecurity, Garante Privacy e Agenzia per la Cybersicurezza Nazionale (ACN) hanno messo a punto le Linee guida per la conservazione delle password.
Data breach
Significativo a questo proposito il numero dei data breach notificati nel 2023 al Garante da parte di soggetti pubblici e privati: 2.037. Nel settore pubblico (37% dei casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (63% dei casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni.
Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio.
Videosorveglianza
Numerosi, come in passato, i provvedimenti assunti nell’ambito del rapporto di lavoro, soprattutto con riguardo all’utilizzo della posta elettronica sul luogo di lavoro e all’impiego di sistemi di videosorveglianza. Da sottolineare due documenti di indirizzo elaborati nel corso dell’anno: uno dedicato alla gestione della posta elettronica nel contesto lavorativo e al trattamento dei metadati, l’altro elaborato con ANAC e dedicato alla gestione delle procedure connesse al whistleblowing.
Sul fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’Autorità ha inoltre approvato il Codice di condotta per le attività di telemarketing e di teleselling.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca.
Il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele.
LE CIFRE
Nel 2023 sono stati adottati 634 provvedimenti collegiali. L’Autorità ha fornito riscontro a 19.281 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la giustizia, il cyberbullismo e il revenge porn, la sicurezza informatica; il settore bancario e finanziario; il lavoro.
I pareri resi dal Collegio su atti normativi e amministrativi sono stati 59 ed hanno riguardato la digitalizzazione della P.a.; la sanità; il fisco; la giustizia; l’istruzione; funzioni di interesse pubblico. 6 sono stati i pareri su norme di rango primario: in particolare, riguardo accertamento fiscale, digitalizzazione della Pa, giustizia, open data.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 7 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, falsità nelle dichiarazioni e notificazioni al Garante, accesso abusivo a un sistema informatico.
I provvedimenti correttivi e sanzionatori sono stati 394. Le sanzioni riscosse sono state di circa 8 milioni. 2037 i data breach notificati all’Autorità. Le ispezioni effettuate nel 2023 sono state 144 in linea rispetto a quelle dell’anno precedente. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, SPID, ricerca scientifica, tecnologie di riconoscimento facciale, data breach, telemarketing, siti web ed uso dei cookie.
Effettuate le verifiche periodiche al VIS (Visa Information System), il sistema sui visti d’ingresso nello spazio Schengen.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 19.200 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal web; alla salute e alla ricerca; all’intelligenza artificiale.
Oltre 4 milioni e 200 mila gli accessi al sito web dell’Autorità. Per quanto riguarda l’attività di informazione e comunicazione istituzionale, nel 2023 l’Autorità ha diffuso 62 comunicati stampa, 17 Newsletter, realizzato 4 campagne informative, e prodotto 45 video informativi su temi di maggiore interesse per il pubblico, di cui 9 diffusi sui canali Rai Radio e Tv, sul web e sui social media.
L’ATTIVITÀ INTERNAZIONALE
Non meno rilevante e intensa l’attività del Garante a livello internazionale, con 235 riunioni, molte delle quali svolte in presenza. Oltre agli organismi da sempre attivamente seguiti dall’Autorità, come il Consiglio d’Europa e l’Ocse, nel 2023 si è registrata la crescita delle attività legate ad altre istanze internazionali, come nel caso della Global Privacy Assembly e delle iniziative delle Autorità di protezione del Paesi G7, anche in preparazione delle Presidenza italiana del 2024.
Nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dello Spazio Economico Europeo, il Garante ha contribuito all’adozione di linee-guida su tematiche complesse tra le quali figurano quelle riguardanti le modifiche alle Linee guida per l’individuazione dell’Autorità capofila e le Linee guida sulla composizione delle controversie.
Sempre nel corso del 2023 l’Edpb ha adottato in via definitiva le Linee guida in materia di diritto di accesso, quelle sul riconoscimento facciale nel settore delle attività di polizia e giustizia e quelle sul calcolo delle sanzioni pecuniarie.
Adottate, inoltre, le Linee guida aggiornate sulle notifiche dei data breach e quelle sui modelli di progettazione ingannevoli.
Fra i più importanti pareri resi dall’Edpb e ai quali ha contribuito il Garante, va sottolineato il parere con il quale il Comitato ha accolto con favore i miglioramenti sostanziali del Data Privacy Framework UE – USA, che come il Privacy Shield, è un sistema di autocertificazione attraverso il quale le organizzazioni statunitensi aderenti, si impegnano a rispettare una serie di principi sulla privacy emanati dal Dipartimento del commercio degli Stati Uniti.
Importanti anche le indagini sull’utilizzo del cloud da parte del settore pubblico e quella sul ruolo del Responsabile della protezione dati realizzate nell’ambito dell’attività di enforcement dell’Edpb.
Tra i punti cardine in materia finanziaria vanno evidenziati i lavori relativi all’euro digitale e il trattamento dei dati nell’ambito delle disposizioni in materia di antiriciclaggio e contrasto al finanziamento del terrorismo.
Il Garante ha partecipato attivamente alle riunioni dei gruppi di lavoro in ambito europeo in materia di sicurezza e giustizia (sistema di informazione Schengen, Europol, Eurojust, Procura europea). Da sottolineare l’attività svolta nell’ambito del Consiglio d’Europa, in particolare attraverso la partecipazione al Comitato consultivo della Convenzione 108/1981, cd T-PD e al gruppo ristretto T-PD Bureau incaricato di preparare i documenti da sottoporre alla plenaria.
Significativo anche il contributo dato dall’Autorità in seno all’Ocse, in particolare attraverso la partecipazione al DGP (Working Party on Data Governance and Privacy), di cui il Garante detiene la vicepresidenza dal 2012, confermata nelle elezioni della Plenaria di novembre anche per il 2024.
Nel corso del 2023 il WP ha lavorato sul tema dell’IA discutendo dei progressi nell’IA Generativa e dando conto dell’azione del Garante italiano nei confronti di ChatGPT, anche alla luce del provvedimento di aprile 2023 con il quale l’Autorità ha fornito le prescrizioni su trasparenza, diritti degli interessati e base giuridica del trattamento.