L’Autorità Garante per la protezione dei dati personali – composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – ha presentato oggi la Relazione sull’attività svolta nel quinto anno di mandato del Collegio.
La Relazione illustra i diversi fronti su cui è stata impegnata l’Autorità nel corso di un anno caratterizzato da interventi in ambiti fortemente innovativi – come le nuove tecnologie emergenti, l’intelligenza artificiale generativa, i modelli “pay or ok” e l’addestramento dei sistemi di IA tramite web scraping – accanto a costanti consolidate come il contrasto al telemarketing aggressivo, la tutela dei soggetti più vulnerabili e la protezione dei dati sanitari.
Su entrambi i versanti, tra loro reciprocamente connessi, il Garante ha attuato il bilanciamento tra i diritti in gioco indicato dalla legge a tutela della persona.
Gli interventi più rilevanti
Il 2024 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni della tecnologia; l’Intelligenza Artificiale generativa; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori; i sistemi di age verification; i big data; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la monetizzazione dei dati personali; i fenomeni del revenge porn e del cyberbullismo.
Il 2024 è stato l’anno della conferma dell’Intelligenza Artificiale in ogni attività e nel contempo della ricerca da parte del Garante di soluzioni in grado di conciliare la fame di informazioni di questa tecnologia con i diritti della persona. Lo stesso G7 a presidenza italiana ha posto l’IA e la persona umana al centro delle proprie riflessioni. L’incontro, che si è tenuto a Roma organizzato dal Garante, ha offerto l’occasione per elaborare proposte comuni, di alto livello, per armonizzare le tecnologie emergenti con i diritti e le libertà della persona, ma anche per promuovere una più efficace azione di controllo sull’applicazione della normativa. Una delle questioni più significative ha riguardato il tema della governance e del ruolo delle Autorità, la cui centralità è stata affermata sia dal Comitato europeo per la protezione dei dati sia dalle Autorità del G7. Il tema inoltre è stato evocato in più occasioni dal Presidente del Garante in sede di audizioni dinanzi alle commissioni parlamentari e attraverso i contributi resi a Parlamento e Governo sugli atti volti a disciplinare le applicazioni dell’IA a livello nazionale (ad es., in tema di age verification, sanità, lavoro).
Nell’anno trascorso l’Autorità ha concluso l’istruttoria nei confronti di ChatGPT e ha ordinato a OpenAI, la società che gestisce il chatbot, la realizzazione di una campagna informativa e il pagamento di una sanzione di 15 milioni di euro.
Il Garante inoltre ha inviato un avvertimento formale a un importante gruppo editoriale italiano, segnalando il possibile rischio per milioni di persone connesso all’eventuale vendita a OpenAI dei dati personali contenuti nell’archivio del giornale per addestrare gli algoritmi.
Particolare attenzione è stata riservata all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale. L’Autorità ha inviato un avvertimento a Worldcoin in relazione al progetto di scansione dell’iride in cambio di criptovalute, senza adeguate garanzie e la necessaria consapevolezza da parte degli utenti.
Significativi in ambito sanitario due pareri resi con riguardo al cosiddetto Ecosistema dati sanitari (EDS) e alla Piattaforma nazionale sulla telemedicina (PNT) nei quali il Garante ha ribadito che l’introduzione di sistemi di IA nella sanità digitale deve avvenire nel rispetto del Gdpr, del regolamento sull’IA e di quanto indicato nel Decalogo in materia di IA adottato nel 2023.
Da sottolineare che l’azione del Garante è risultata indispensabile perché spesso la digitalizzazione è intervenuta su database costituiti molti anni addietro e bisognosi quindi di opportuni adeguamenti.
Importante inoltre l’impegno profuso dall’Autorità in chiave preventiva per evitare che nell’addestramento dei sistemi di IA generativa fossero utilizzate informazioni raccolte massivamente attraverso il web scraping.
L’accelerazione del processo di digitalizzazione della pubblica amministrazione ha visto numerosi interventi dell’Autorità riguardanti tra l’altro il Sistema informativo per l’inclusione sociale e lavorativa (SIISL). Proseguite anche le attività connesse ai trattamenti dell’Agenzia delle entrate che prevedono l’interscambio di informazioni fra amministrazioni per garantire l’esattezza e completezza della dichiarazione dei redditi precompilata e del redditometro così come quelle legate all’operatività dell’Anagrafe nazionale dell’istruzione (ANIST). Sempre per quanto riguarda la pubblica amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Significativo il contributo fornito dal Garante nel tracciare il percorso del Ministero della giustizia verso la transizione digitale, in particolare, con riguardo ai presupposti per la corretta distruzione di atti e documenti originali analogici nei procedimenti civili.
Sul fronte della tutela online dei minori, nell’anno trascorso, è proseguita l’azione di vigilanza sull’età di iscrizione ai social, anche attraverso sistemi di age verification.
Particolare attenzione inoltre è stata dedicata allo sharenting, il fenomeno della condivisione online costante da parte dei genitori di contenuti che riguardano i propri figli/e (come ad es. foto, video, ecografie). Il fenomeno è da tempo all’attenzione del Garante, soprattutto per i rischi che comporta sull’identità digitale del minore e quindi sulla corretta formazione della sua personalità. Sul tema è stata realizzata anche una campagna informativa “La sua privacy vale più di un like”.
In preoccupante aumento il fenomeno del revenge porn: 823 le segnalazioni inviate al Garante da persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, quasi triplicate rispetto allo scorso anno. Le segnalazioni ricevute sono state trattate tempestivamente e, nella maggior parte dei casi, l’esame si è concluso con un provvedimento diretto alle piattaforme coinvolte per ottenere il blocco preventivo della diffusione delle foto e dei video.
Nel corso dell’anno inoltre sono pervenute all’Autorità alcune segnalazioni relative alla diffusione di materiale artefatto realizzato attraverso l’impiego di algoritmi e di IA (cd. deep fake).
Numerosi, come in passato, i provvedimenti assunti nell’ambito del rapporto di lavoro, soprattutto con riguardo all’utilizzo della posta elettronica sul luogo di lavoro e all’impiego di sistemi di videosorveglianza. Proseguiti inoltre gli approfondimenti sull’impiego di algoritmi da parte di una primaria società di food delivery per l’organizzazione dell’attività dei rider. Tra le criticità emerse: scarsa trasparenza dei trattamenti automatizzati e geolocalizzazione dei lavoratori anche al di fuori dell’orario di lavoro. Vietato alla società l’ulteriore trattamento dei dati biometrici dei rider raccolti mediante riconoscimento facciale.
Sul fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’Autorità ha inoltre approvato il Codice di condotta per le attività di telemarketing e di teleselling ed ha accreditato l’organismo di monitoraggio.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca.
Il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele.
Le cifre
Nel 2024 sono stati adottati 835 provvedimenti collegiali, di cui 468 sono provvedimenti correttivi e sanzionatori.
L’Autorità ha fornito riscontro a 4.090 reclami e 93.877 segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la giustizia, il cyberbullismo e il revenge porn, la sicurezza informatica; il settore bancario e finanziario; il lavoro.
I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 47 ed hanno riguardato la digitalizzazione della Pa; la sanità; il fisco; la giustizia; l’istruzione; funzioni di interesse pubblico.
12 sono stati i pareri su norme di rango primario: in particolare, riguardo diritti fondamentali, fisco, digitalizzazione della Pa, sanità.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante.
Le sanzioni riscosse sono state oltre 24 milioni di euro.
Significativo il numero dei data breach (violazioni di dati personali) notificati nel 2024 al Garante da parte di soggetti pubblici e privati: 2204. Nel settore pubblico (498 casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (1706 casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio.
Le ispezioni effettuate nel 2024 sono state 130 in linea rispetto a quelle dell’anno precedente. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, SPID, impiego di tecnologie innovative (dispositivi installati o sperimentati da alcuni comuni per il controllo dei flussi turistici), registro elettronico, tecnologie di riconoscimento facciale, strumenti di videosorveglianza e controllo dei lavoratori, ricerca scientifica, data breach.
Nel 2024 è proseguita l’attività di controllo e monitoraggio dei trattamenti su dati registrati nella sezione nazionale del Sistema di informazione Schengen (SIS).
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 16.045 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal web; alla salute e alla ricerca; all’intelligenza artificiale.
Per quanto riguarda l’attività di informazione e comunicazione istituzionale, nel 2024 l’Autorità ha diffuso 50 comunicati stampa, 15 Newsletter, realizzato 4 campagne informative, e prodotto 52 video informativi su temi di maggiore interesse per il pubblico, diffusi sul web e sui social media.
L’attività internazionale
Importante e intensa l’attività internazionale del Garante, che nel corso del 2024 ha partecipato a 280 riunioni, molte delle quali svolte in presenza. Oltre ai consueti organismi seguiti con continuità, come il Consiglio d’Europa e l’Ocse, si è registrato un crescente impegno verso le attività internazionali legate, in particolare, al G7 Privacy. La presidenza italiana del G7 per l’anno 2024 ha infatti posto al centro del dibattito il rapporto tra intelligenza artificiale e diritti umani, anche alla luce dell’entrata in vigore – a livello di Unione Europea – dell’AI Act, il primo regolamento europeo volto a stabilire regole armonizzate in materia di intelligenza artificiale. Momento centrale del G7 Privacy è stata la Tavola rotonda delle autorità di protezione dei dati del G7, organizzata a Roma dal Garante italiano. L’incontro ha rappresentato un’importante occasione per elaborare proposte condivise volte ad armonizzare lo sviluppo dell’IA e delle tecnologie emergenti con i diritti e le libertà della persona, e a rafforzare l’efficacia dei controlli sull’applicazione delle normative.
Nel 2024, inoltre, all’interno del Comitato europeo per la protezione dei dati (EDPB), è stata aperta alla firma la “Convenzione-quadro sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto”. Una volta in vigore, sarà il primo trattato internazionale giuridicamente vincolante su questi temi, situandosi al crocevia tra innovazione tecnologica e tutela delle libertà fondamentali. In questo contesto, una questione centrale ha riguardato la governance e il ruolo cruciale delle Autorità di protezione dei dati. Tale centralità è stata riconosciuta sia dall’EDPB, con una dichiarazione adottata il 16 luglio 2024, sia dalle Autorità del G7, nella dichiarazione sottoscritta a Roma l’11 ottobre 2024, durante il G7 Privacy a presidenza italiana. Nel 2024, il Comitato Europeo per la Protezione dei Dati (EDPB) ha rafforzato il proprio ruolo di guida interpretativa nell’applicazione delle norme, attraverso pareri complessi su temi centrali come il riutilizzo dei dati personali per l’addestramento e l’uso di modelli di intelligenza artificiale, il riconoscimento facciale e il consenso nei modelli di business basati sul paradigma del “pay or ok”.
A queste attività si aggiunge il numero sempre più rilevante di sentenze della Corte di giustizia dell’UE su questioni interpretative del diritto alla protezione dei dati. Tutto ciò conferma come, nel 2024, la dimensione sovranazionale della protezione dei dati si sia affermata come fonte primaria di orientamenti condivisi, favorendo una progressiva convergenza anche con le attività di altri regolatori, come le autorità per la tutela dei consumatori e della concorrenza. In parallelo, ha preso slancio la strategia digitale dell’UE, con l’avvio dell’attuazione di normative chiave come il Digital Governance Act e il Digital Markets Act.
Di seguito il link del testo testo del discorso del presidente Pasquale Stanzione: chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.gpdp.it/documents/10160/0/Relazione+annuale+2024+-+Discorso+del+Presidente.pdf/6f2fb17e-ae90-fb68-89c6-011e8c1bf3ce?version=1.0
