Nel 2020 l’Autorità Garante per la protezione dei dati personali ha adottato 278 provvedimenti collegiali, fornito riscontro a circa 9mila tra reclami e segnalazioni (riguardanti marketing, reti telematiche, dati online della PA, sanità, cybersecurity, finance e lavoro), offerto 60 pareri su atti regolamentari e amministrativi – attraverso il suo Collegio – su temi dalla sanità al fisco, su giustizia, trasporti e digitalizzazione della PA e, in particolare in questo ultimo caso riguardo l’emergenza Covid-19, con sette pareri su norme di rango primario.
L’Autorità ha inoltre riscosso sanzioni per 38 milioni di euro e dato luogo a 21 ispezioni che, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno coinvolto realtà pubbliche e private.
Le ispezioni, in particolare, hanno riguardato il rispetto della normativa relativa alla fatturazione elettronica, alle grandi banche pubbliche, ai software per la gestione del whistleblowing, alle società di intermediazione immobiliare, all marketing e al food delivery. Mentre per quello che riguarda le attività di relazione con il pubblico, il Garante ha risposto a oltre 15mila quesiti sui temi più svariati tra cui l’applicazione del Regolamento Ue, le questioni legate al telemarketing indesiderato; le problematiche poste dal Web, ovviamente la privacy, il rapporto di lavoro pubblico e privato, la videosorveglianza, le centrali rischi private, le informazioni sanitarie, i dati bancari.
Numeri importanti e per questo abbiamo voluto riassumerli “tutti in un fiato”, ma quello appena snocciolato rappresenta solo la componente “quantitativa” di un bilancio complessivo – presentato pochi giorni fa da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza (sono i componenti del collegio al primo anno del suo mandato) – che evidenzia come l’emergenza sanitaria legata a Covid-19 abbia contribuito ad innalzare il livello di attenzione sui temi di competenza e a proporre sfide importanti sulla privacy, anche in relazione alle nuove modalità di partecipazione alle attività educative, al lavoro (con l’alta partecipazione nell’utilizzo delle piattaforme online) ed in primis, ai problemi sanitari. Si pensi anche solo all’attenzione richiesta dallo sviluppo dell’app di tracciamento dei contagi, ed alla alla raccolta/gestione dei relativi dati nel complesso.
Il tema della privacy e della protezione del dato ha richiesto quindi nel corso del 2020, come viene spiegato nella relazione, un importante lavoro di “bilanciamento al momento di fornire pareri e indicare misure di garanzia”, in un contesto di alta sensibilità sui temi anche “in relazione all’adeguamento con il Regolamento UE da parte dei soggetti pubblici e privati”.
Quello dell’attività internazionale del Garante è un impegno che merita una sottolineatura. Si è contribuito all’adozione di linee guida e raccomandazioni con pareri su temi complessi (per esempio la stessa geolocalizzazione delle app di tracciamento, ma anche il diritto all’oblio, la tutela del trasferimento dei dati tra Paesi UE, in seno all’attività presso il Consiglio d’Europa etc.). Soprattutto, con il “risveglio” dell’UE su alcuni temi di attualità cogenti, come quelli legati anche all’utilizzo dell’AI, si è rivelato importante nel corso del 2020 il contributo dell’Autorità in relazione allo “studio delle linee guida in materia di riconoscimento facciale e le linee guida sulla protezione dei dati dei minori nei contesti educativi”, anche alla luce della crescente digitalizzazione delle attività didattiche. In seno all’Ocse, invece sono stati affrontati i temi della protezione dei minori online ed al coordinamento delle attività per la lotta alla pandemia.
L’economia fondata sui dati, l’utilizzo dei big data, la monetizzazione delle informazioni delle persone, AI, trasparenza degli algoritmi, e protezione dello spazio cibernetico (ma anche la lotta alle fake news) – anche in relazione all’esponenziale crescita nella produzione dei dati e nell’utilizzo delle piattaforme pubbliche di collaborazione e partecipazione – hanno concentrato in modo significativo l’attenzione dell’attività dell’Autorità. Su alcuni di questi temi in particolare è sufficiente ricordare per esempio i provvedimenti per la richiesta di verifica dell’età dei minori che si iscrivono ai social, l’intervento nei confronti di Tik Tok, i richiami alle informative di Whatsapp e all’uso dei dati di Clubhouse, le campagne di sensibilizzazione per il contrasto del fenomeno del cyberbullismo (è di questi giorni la nota e l’iniziativa video dell’Autority per spiegare ai ragazzi come difendersi e le possibilità di intervento in relazione alla legge 71/2017.
Digitale e protezione del dato, campo di battaglia “aperto”
Nella Relazione 2020 risulta soprattutto evidente come la sfera digitale abbia aperto completamente i confini del tema della protezione del dato, in uno scenario in cui gli strumenti “offensivi” per la privacy continuano a moltiplicarsi. Il dato, che è oggi per l’economia di ogni organizzazione il primo valore in grado di consentire di moltiplicare il business è di fatto preso in ostaggio in ogni forma.
Se il cybercrime se ne appropria per un vantaggio diretto ed immediato, sfidando l’intelligenza e l’attenzione delle persone – per esempio anche attraverso gli attacchi ransomware (cresciuti esponenzialmente durante il periodo di emergenza) – oggi le informazioni sono a rischio in ogni attività “online”: quando si utilizzano gli assistenti digitali, quando si sceglie di memorizzare le proprie informazioni sulle piattaforme di quotidiano utilizzo, dall’utilizzo non sempre legittimo di profilazioni aggressive per una vera e propria “caccia al cliente”. Basta citare il dato per cui per il telemarketing aggressivo sono state comminate sanzioni per un importo complessivo di 57 milioni di euro, la maggior parte legate all’utilizzo senza consenso dei dati degli abbonati.
Difendere e protegge, evidenzia bene l’attività del Garante, è diventato molto difficile, anche in assenza di una cultura della cybersecurity e all’ignoranza diffusa, o semplicemente alla superficialità nello sviluppo di alcuni servizi (fanno “scuola” i portali anche della PA non protetti dal protcollo Https e senza certificato).
Nel corso del 2020 sono stati notificati oltre 1.300 data breach in diversi casi relativi a dati sanitari. Un ambito, quello sanitario, per il quale il Garante ha svolto la sua attività con chiarimenti e prescrizioni sul corretto trattamento dei dati dei pazienti e sulla vaccinazione dei dipendenti, ma anche dando parere favorevole sulla semplificazione delle modalità di trasmissione alle farmacie delle ricette mediche e con il via libera alle certificazioni verdi.
Anche per la protezione della privacy, l’impressione che si tratti di una lotta senza quartiere e di fatto senza alcuna delimitazione del “campo di battaglia” non può portare a nutrire ottimismo. Anche perché con la digitalizzazione attesa, grazie all’utilizzo dei fondi previsti dal Pnrr, il Garante sarà chiamato a sforzi ancora maggiori. Non è evidentemente un buon motivo per “rinunciare”, può esserlo per investimenti significativi nella formazione a tutti i livelli.
La mancanza di alfabetizzazione digitale resta per il nostro Paese un problema importante e non è possibile pensare di demandare solo agli organi di controllo la protezione del dato. Anche per questo riprendiamo volentieri uno dei passaggi finali di Stanzione nella presentazione della relazione: “Il tassello ulteriore è, poi, la promozione di una cultura della protezione dei dati, che – anche grazie allo strumento dei codici di condotta, la cui adozione nei vari settori si sta perfezionando – dovrebbe divenire oggetto di un vero e proprio processo d’introiezione, affinché la compliance assurga a forma e regola dell’azione di soggetti privati e pubblici”.
© RIPRODUZIONE RISERVATA