Il 2022 ha segnato il venticinquesimo anno di attività dell’Autorità Garante per la Protezione dei Dati Personali (Gpdp) e dell’introduzione della normativa sulla privacy. Un anno che ha visto crescere ancora il ricorso alle piattaforme online (attività sui social network, e non solo…) ma ha segnato anche l’arrivo in “mainstream” di applicazioni che fanno leva sull’intelligenza artificiale e sull’AI generativa. In Italia, in particolare, con ChatGpt.
Per questo l’attività dell’Autorità si è indirizzata a dare nuovo impulso alla diffusione della cultura della privacy, tra il bilancio del lavoro svolto in questo primo quarto di secolo ed il delineare le sfide future (quella dell’AI in prima fila). L’Autorità Garante, composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza tiene la barra a dritta sulla necessità di assicurare, da una parte, un funzionale trattamento dei dati e, dall’altra, il rispetto dei diritti delle persone e si impegna nell’opera di bilanciamento al momento di fornire pareri o di indicare misure di garanzia per tutelare i diritti della persona.
Per quanto riguarda la mera analisi sui temi degli interventi nell’ambito del digitale, l’authority Gpdp è intervenuta su tutte le principali questioni legate alla tutela dei diritti: le implicazioni etiche della tecnologia; l’economia dei dati; le grandi piattaforme e la tutela dei minori, i sistemi di verifica dell’età per l’iscrizione ai servizi online, i big data, l’intelligenza artificiale generativa, il metaverso, la sicurezza dei sistemi e la protezione dello spazio cibernetico ma anche la monetizzazione delle informazioni personali e i fenomeni di cyberbullismo in tutte le sue forme.
E ancora, in particolare, con il processo di digitalizzazione della PA in accelerazione – soprattutto per la necessità di dare attuazione al Pnrr -, il Garante è intervenuto sullo Spid per i minori, sulla CieId, sul sistema di gestione delle deleghe, i diversi bonus, la Carta della Cultura, la Carta dello Studente.
I numeri
442 sono i provvedimenti collegiali complessivi presi, 1.351 le comunicazioni di violazioni dei dati considerate, 140 le ispezioni effettuate (quasi triplicate rispetto a quelle dell’anno precedente), 9.218 i riscontri a reclami e segnalazioni per complessivi 9 milioni e quasi 460mila euro di sanzioni riscosse. Reclami e segnalazioni riguardanti, tra le altre cose, il marketing e le reti telematiche, i dati on line delle pubbliche amministrazioni, la sanità, la sicurezza informatica il settore bancario e finanziario, il lavoro.
Tra i provvedimenti presi che meritano di essere ricordati i 20 milioni di euro di sanzioni comminate a Clearview, società statunitense cui è stato vietato l’uso dei dati biometrici e il monitoraggio degli italiani, e i 2 milioni di euro di multa a Clubhouse, il social delle chat vocali.
Per quanto riguarda il fenomeno del revenge porn, il Garante ha introdotto “un modello di segnalazione telematica e la possibilità di inviare alle piattaforme il codice hash delle immagini invece delle copie in chiaro”. Circa 150 le segnalazioni ricevute e nella maggior parte dei casi l’esame si è concluso con un provvedimento diretto alle piattaforme coinvolte per ottenere il blocco preventivo della diffusione delle foto e dei video.
Di particolare interesse per la sfera del digitale è l’avvio della collaborazione con l’Agenzia per la Cybersicurezza Nazionale (Acn) con la quale è stato firmato un protocollo di intesa. Nel 2022 sono stati notificati al garante 1.351 data breach, nel settore pubblico il 31,2% dei casi, casi che riguardano soprattutto comuni, istituti scolastici e strutture sanitarie. Nel settore privato (68,8% dei casi), invece, coinvolte le Pmi, i singoli professionisti ma soprattutto grandi società del settore delle telecomunicazioni, energetico, bancario e dei servizi ed in alcuni casi sono stati adottati provvedimenti di tipo sanzionatorio.
Sempre nella sfera digitale, nella relazione di bilancio ampio spazio è dedicato anche al caso ChatGpt. L’intervento del Garante ha consentito di “indirizzarne lo sviluppo in una direzione compatibile con la tutela delle persone, specie se minori”, si legge nella relazione. Fondamentale, inoltre, lo stop nei confronti del chatbot Replika, una sorta di amico virtuale, che presentava troppi rischi per i minori e le persone emotivamente fragili.
Il Garante, proprio nella valutazione dell’utilizzo degli strumenti di AI ha saputo estendere la prospettiva ai diversi ambiti di applicazione. Ricordiamo in particolare la richiesta di maggiori garanzie per gestire i rischi che possono derivare dall’uso dell’intelligenza artificiale anche nella lotta all’evasione fiscale con il richiamo a valutare le misure da adottare in concreto tenendo come riferimento l’importanza dell’intervento umano nella formazione dei dataset di analisi e controllo.
Per quanto riguarda l’attività di relazione con il pubblico, l’autorità ha dato riscontro a oltre 16.400 quesiti, che hanno riguardato soprattutto gli adempimenti connessi all’applicazione del Regolamento Ue e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal Web; alla salute e alla ricerca.
Proprio per quanto riguarda la sanità digitale meritano di essere ricordati, inoltre, due pareri non favorevoli: uno sul Fascicolo sanitario elettronico e un altro sull’Ecosistema dei dati sanitari, in entrambi i casi il Garante ha rilevato numerose criticità. E sul tema di medicina predittiva sono state sanzionate tre aziende sanitarie.
La solitudine del digitale
Tra i passaggi del discorso del presidente Pasquale Stanzione per la presentazione della relazione che più invece ci hanno colpito ci sembra importante riportare quelli di riflessione sulla “solitudine digitale”, in riferimento ad alcuni episodi di cronaca in cui a prevalere sulla ‘partecipazione critica agli eventi’ è stato il bisogno di registrare per la pubblicazione sul Web episodi anche di una certa violenza.
Il richiamo sollecita una serie di riflessioni:“Quello dello straniamento è un rischio tutt’altro che remoto se si considera il fenomeno, sempre crescente, della violenza non solo assistita in maniera del tutto inerte, ma addirittura filmata e poi esibita sul Web – recita il presidente nella relazione-. ]…[ La più grande vulnerabilità della persona (soprattutto, ma non solo minorenne) è la sua solitudine, il suo confrontarsi, quasi inerme, con un potere che rischia di divenire insindacabile e totalizzante, più dei vecchi arcana imperii.
La disciplina di protezione dei dati vuole mirare a colmare questo vuoto, riequilibrando il rapporto tra uomo e tecnica nel segno della tutela dei diritti e delle libertà. “]…[ E questo anche rispetto a un’altra accezione della solitudine digitale: l’autismo informativo e relazionale cui, paradossalmente, ci costringe la rete, relegandoci in “filter bubbles” alimentate dei soli contenuti ritenuti affini al profilo di utente stilato, con il pedinamento digitale, dall’algoritmo”.
Un ultimo cenno, infine, all’attività del garante a livello internazionale. Nell’ambito del Comitato europeo per la Protezione dei Dati (Edpb), che riunisce le Autorità di protezione dati dello Spazio Economico Europeo, il Garante ha contribuito all’adozione di linee-guida su tematiche complesse. “Tra le più importanti quelle sui dark pattern nelle piattaforme di social media; sui due nuovi strumenti di trasferimento dei dati introdotti dal Regolamento: i codici di condotta e le certificazioni; sul calcolo delle sanzioni amministrative, sulla cooperazione nell’ambito del meccanismo di ‘sportello unico‘“.
© RIPRODUZIONE RISERVATA