Garante privacy: Relazione sull’attività 2022

Privacy 7 Luglio 2023, di Redazione

La Relazione illustra i diversi fronti sui quali è stata impegnata l'Autorità nel corso dell'anno

Articoli correlati
Privacy

Progetto S.IN.D.A.C.A.: via libera del Garante Privacy

Privacy

Assegno di inclusione, Garante Privacy: ok alle verifiche Inps

Privacy

G7 dei Garanti privacy: positivo bilancio dell’incontro mondiale

Privacy

Norme di adeguamento della normativa nazionale alla governance europea dei dati

Privacy

IA: il G7 dei Garanti privacy a Roma dal 9 all’11 ottobre

L’Autorità Garante per la protezione dei dati personali presenta la Relazione sull’attività svolta nel 3° anno di mandato del Collegio. La Relazione illustra i fronti sui quali è stata impegnata l’Autorità nel corso di un anno caratterizzato dal ricorso alle piattaforme on line e dallo sviluppo dell’intelligenza artificiale.

La necessità di assicurare, da una parte, un funzionale trattamento dei dati e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in un’opera di bilanciamento al momento di fornire pareri o di indicare misure di garanzia per tutelare i diritti della persona.

Il 2022 è stato anche l’anno in cui l’Autorità ha celebrato il 25° anniversario della sua istituzione e dell’introduzione nel nostro Paese della normativa sulla privacy, occasione per dare nuovo impulso alla diffusione della cultura della privacy e fare un bilancio del lavoro svolto, una serie di interventi centrati sulle questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori, i sistemi di age verification; i big data; l’intelligenza artificiale generativa, il Metaverso e le problematiche poste dagli algoritmi; gli scenari tracciati dalle neuroscienze; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la monetizzazione delle informazioni personali; i fenomeni del revenge porn, del cyberbullismo, dello sharenting, del social scoring.

Particolare attenzione è stata posta all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale, in questo ambito l’Autorità ha sanzionato per 20 milioni di euro la società statunitense Clearview, vietando l’uso dei dati biometrici e il monitoraggio degli italiani.

Sul fronte della tutela on line dei minori è proseguita l’azione di vigilanza sull’età di iscrizione ai social, attraverso sistemi di age verification e in questa direzione si muove il tavolo di lavoro istituito con il protocollo d’intesa tra Garante e Agcom. Inoltre, dopo l’altolà del Garante, Tik Tok ha sospeso l’invio di pubblicità personalizzata basata sul legittimo interesse, oltre ad una base giuridica inadeguata vi erano rischi che la pubblicità potesse raggiungere i giovanissimi con contenuti non appropriati.

Per quanto riguarda il caso Chatgpt l’intervento del Garante ha consentito di indirizzare lo sviluppo di questa forma di intelligenza artificiale generativa in una direzione compatibile con la tutela delle persone, specie se minori, fondamentale anche lo stop nei confronti del chatbot Replika, una sorta di amico virtuale, che presentava rischi per i minori e le persone emotivamente fragili, infine con 2 mln. di euro di multa il Garante ha poi sanzionato Clubhouse, il social delle chat vocali.

Per contrastare il fenomeno del revenge porn e aiutare le persone che temono la diffusione di foto e video a contenuto sessualmente esplicito il Garante ha introdotto un modello di segnalazione telematica e la possibilità di inviare alle piattaforme il codice hash delle immagini invece delle copie in chiaro. Le 150 segnalazioni ricevute sono state trattate e  nella maggior parte dei casi l’esame si è concluso con un provvedimento diretto alle piattaforme coinvolte per ottenere il blocco della diffusione delle foto e dei video.

Sul fronte della cybersecurity, l’Autorità ha avviato la collaborazione con la Agenzia nazionale per la sicurezza con la quale è stato firmato un protocollo di intesa, significativo il numero dei data breach notificati nel 2022 al Garante da parte di soggetti pubblici e privati: 1351.

Nel settore pubblico (31%i), le violazioni hanno riguardato comuni, istituti scolastici e strutture sanitarie, nel settore privato (68%) sono stati coinvolte sia PMI e professionisti che società del settore delle telecomunicazioni, energetico bancario e dei servizi; nei casi più gravi sono stati adottati provvedimenti sanzionatori.

Nel settore della giustizia, l’Autorità è intervenuta sui temi delle intercettazioni e della digitalizzazione della giustizia penale, rilevante l’intervento in materia di giustizia riparativa la cui disciplina assegna un ruolo centrale ai doveri di riservatezza del mediatore.

Diversi gli interventi riguardanti la sanità digitale, fra questi 2 pareri non favorevoli: 1 sul Fascicolo sanitario elettronico e 1 sull’Ecosistema dei dati sanitari, in entrambi i casi il Garante ha rilevato delle criticità; mentre sulla medicina predittiva sono state sanzionate 3 aziende sanitarie.

Nel 2022 il processo di digitalizzazione della P.A. ha subito un’accelerazione, soprattutto per la necessità di dare attuazione al Pnrr. Il Garante è intervenuto sullo Spid per i minori, sulla CieId, sul Sistema di gestione delle deleghe, sulla Piattaforma dei benefici economici erogati da soggetti pubblici, sui Siti web della PA; significativi i pareri in materia di politiche sociali come il Bonus psicologo, il Bonus vista, il Bonus patente autotrasporti, la Carta della cultura, la Carta dello studente.

Sempre per quanto riguarda la Pubblica Amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone, bloccare le iniziative volte all’erogazione di benefici basati su meccanismi di scoring associati a comportamenti “virtuosi” dei cittadini in vari settori.

Nel Settore della fiscalità, l’Autorità ha chiesto maggiori garanzie per gestire i rischi che possono derivare dall’uso dell’intelligenza artificiale nella lotta all’evasione fiscale; le misure da adottare vanno valutate e deve essere potenziato l’intervento umano nella formazione dei dataset di analisi e controllo.

Nel mondo del Lavoro, il Garante ha affiancato l’attività correttiva alla consultiva, sanzionando l’accesso del datore di lavoro alla email dell’ex dipendente e la rilevazione biometrica delle presenze da parte di una società sportiva ed ha chiarito come il lavoratore abbia diritto di conoscere i parametri utilizzati per programmare i sistemi automatizzati di valutazione delle prestazioni.

Sul fronte della Tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’attività  ha consentito di fare emergere un “sottobosco” di sub-fornitori, che operano in condizioni di illegittimità, l’Autorità ha inoltre approvato il Codice di condotta per il telemarketing, le regole entreranno in vigore una volta costituito l’Organismo di monitoraggio.

Sotto la lente del Garante anche il cosiddetto Spoofing, ossia le chiamate promozionali indesiderate realizzate attraverso il camuffamento del numero chiamante.

Un capitolo importante ha riguardato il rapporto tra Privacy e Diritto di cronaca, il Garante è intervenuto in merito all’eccesso di dettagli e derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele.

In sintesi le Cifre del 2022: adottati 442 provvedimenti collegiali, l’Autorità ha fornito riscontro a 9.218 reclami e segnalazioni riguardanti il marketing e le reti telematiche, i dati on line delle pubbliche amministrazioni, la sanità, la sicurezza informatica, il settore bancario e finanziario, il lavoro. 81 i pareri resi dal Collegio su atti normativi e amministrativi che hanno riguardato la digitalizzazione della P.a., la sanità, il fisco, la giustizia, l’istruzione, funzioni di interesse pubblico e ancora:

  • 12 i pareri riguardo a digitalizzazione della Pa, giustizia, sanità e lavoro
  • 5 le comunicazioni di notizie di reato all’autorità giudiziaria che hanno riguardato violazioni in materia di controllo a distanza dei lavoratori e falsità nelle dichiarazioni e notificazioni al Garante
  • 317 i provvedimenti correttivi e sanzionatori
  • 9 mln. 500 mila euro le sanzioni riscosse
  • 140 le ispezioni effettuate nel 2022, triplicate rispetto all’anno precedente, gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato l’ambito pubblico e privato: telemarketing, cloud pubblico, siti web ed uso dei cookie, videosorveglianza, anche sul posto di lavoro, effettuate le verifiche al VIS (Visa Information System), il sistema sui visti d’ingresso nello spazio Schengen.
  • 16.400 quesiti dell’attività di Relazione con il pubblico sugli adempimenti connessi all’applicazione del Regolamento Ue e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato, al rapporto di lavoro pubblico e privato, alla videosorveglianza, alle problematiche poste dal web, alla salute e alla ricerca;
  • 4 milioni e 300 mila gli accessi al sito web dell’Autorità.

Per quanto riguarda l’attività di Informazione e comunicazione istituzionale, nel 2022 l’Autorità ha realizzato e diffuso 71 comunicati stampa, 13 Newsletter, 9 campagne informative, 27 spot istituzionali di cui 18 sui canali Rai Radio e Tv e 9 sul web e sui social media. Non meno rilevante l’attività del Garante a livello internazionale, con 216 riunioni.

Nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dello Spazio Economico Europeo, il Garante ha contribuito all’adozione di linee-guida su tematiche complesse: tra le più importanti quelle sui dark pattern nelle piattaforme di social media; sui 2 nuovi strumenti di trasferimento dei dati introdotti dal Regolamento: i codici di condotta e le certificazioni; sul calcolo delle sanzioni amministrative, sulla cooperazione del meccanismo di “sportello unico” e aggiornate le Linee guida sulla violazione dei dati (data breach) e rivisto il testo di quelle per l’individuazione dell’autorità capofila.

Fra i più importanti pareri resi dall’Edpb ai quali ha contribuito il Garante, vanno citati quelli sulle proposte di Regolamento del Parlamento europeo e del Consiglio per prevenire e combattere gli abusi sessuali sui minori; per lo Spazio europeo dei dati sanitari; sul riconoscimento facciale nel settore delle attività di polizia e giudiziarie; sulla proroga delle misure in materia di certificati Covid-19; sull’accesso e uso equo dei dati.

Vanno segnalate anche 5 decisioni che l’Edpb ha assunto per dirimere controversie sorte fra l’autorità capofila e le autorità interessate (tra i casi, WhatsApp Facebook Ireland). È proseguita l’attività del Comitato anche con riferimento all’applicazione dei principi di protezione dei dati nel settore finanziario, attraverso uno specifico sottogruppo (Financial Matters) il cui coordinamento è affidato al Garante, uno dei punti del lavoro del Board in materia finanziaria ha riguardato l’euro digitale. Significativo anche il contributo dato dal Garante in seno all’Ocse soprattutto ai fini della implementazione delle Linee guida in materia di privacy e della Raccomandazione sulla protezione dei minori on line.

Fonte: Garante per la protezione dei dati personale

 

ANCITEL

Anci Digitale S.p.A.
Società in house dell’Associazione Nazionale Comuni Italiani e di ACI Informatica