Garante Privacy, le grandi sfide affrontate nel 2022

In una fase storica che si distingue per il sempre più notevole ricorso alle piattaforme on line e che vede un vertiginoso sviluppo dell’intelligenza artificiale, il Garante per la Privacy si trova a confrontarsi su numerosi fronti. Ed è proprio questo forte impegno a emergere dalla presentazione della Relazione annuale delle attività svolte nel 2022 dall'Autorità presieduta da Pasquale Stanzione. L'Autorità Garante per la protezione dei dati personali - composta oltre che da Pasquale Stanzione, da Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza - ha infatti presentato lo scorso 6 luglio, la Relazione sull’attività svolta nel terzo anno di mandato del Collegio.

Nel corso del 2022, che è stato anche l’anno in cui l’Autorità ha celebrato il 25° anniversario della sua istituzione e dell’introduzione nel nostro Paese della normativa sulla privacy, il Garante ha dovuto infatti affrontare diverse, grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale.

In particolare, quelle relative a: implicazioni etiche della tecnologia, l’economia fondata sui dati, le grandi piattaforme e la tutela dei minori, i sistemi di age verification, i big data, l’intelligenza artificiale generativa, il Metaverso e le problematiche poste dagli algoritmi, gli scenari tracciati dalle neuroscienze, la sicurezza dei sistemi e la protezione dello spazio cibernetico, la monetizzazione delle informazioni personali, i fenomeni del revenge porn, del cyberbullismo, dello sharenting, e del social scoring.

Tra biometria e sistemi di riconoscimento facciale

L'Authority ha rivolto una speciale attenzione all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale. Ricordiamo in proposito il caso di Clearview, che ha portato ad una sanzione da 20 milioni di euro inflitta alla società statunitense, a cui è stato vietato l’uso dei dati biometrici e il monitoraggio degli italiani.

Intensa è stata, sul fronte della tutela on line dei minori, l’azione di vigilanza sull’età di iscrizione ai social, anche attraverso sistemi di age verification, ed anche altre criticità che riguardano direttamente i minori, come nella vicenda di Tik Tok, che a seguito dell'intervento dell'autorità italiana ha sospeso l’invio di pubblicità personalizzata ai minori basata sul legittimo interesse, ritenuta una base giuridica inadeguata con seri rischi che la pubblicità potesse raggiungere i più giovani con contenuti non appropriati.

Il recente intervento del Garante su ChatGpt ha permesso di indirizzare lo sviluppo dell' intelligenza artificiale generativa in una direzione compatibile con la tutela delle persone, specie se minori.

Per contrastare il fenomeno del revenge porn e aiutare le persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, il Garante ha inoltre introdotto un modello di segnalazione sicuro che ha visto circa 150 segnalazioni ricevute e che sono state trattate in modo tempestivo. Nella maggior parte dei casi hanno portato a provvedimenti diretti alle piattaforme coinvolte per ottenere il blocco preventivo della diffusione delle foto e dei video.

442 provvedimenti e 317 sanzioni 

Molto significativo è stato il numero dei data breach notificati nel 2022 al Garante da parte di soggetti pubblici e privati: 1351. Nel settore pubblico (31,2% dei casi), le violazioni hanno riguardato soprattutto comuni, istituti scolastici e strutture sanitarie, nel settore privato (68,8% dei casi) sono stati coinvolte sia PMI e professionisti che grandi società del settore delle telecomunicazioni, energetico bancario e dei servizi. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio.

Il processo di digitalizzazione della P.a. ha subìto una forte accelerazione, soprattutto per la necessità di dare attuazione al Pnrr, e il Garante è intervenuto, tra l’altro, sullo Spid per i minori, sulla CieId, sul Sistema di gestione delle deleghe, sulla Piattaforma dei benefici economici erogati da soggetti pubblici, sui Siti web della Pubblica Amministrazione.

Sempre per quanto riguarda la pubblica amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone, e ha bloccato sul nascere iniziative locali volte all’erogazione di benefici basati su meccanismi di scoring associati a comportamenti “virtuosi” dei cittadini in vari settori.

La tutela dei consumatori

Alcuni interventi piuttosto "decisi" sono stati svolti da Garante a tutela dei consumatori, contro il telemarketing aggressivo sono state applicate pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere un vero e proprio “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità. L’Autorità ha inoltre approvato il Codice di condotta per il telemarketing, le cui regole entreranno in vigore una volta costituito l’Organismo di monitoraggio.

E' stato oggetto di attenzione da parte del Garante anche il cosiddetto spoofing, ossia l’effettuazione di chiamate promozionali indesiderate realizzate attraverso il camuffamento del numero chiamante.

Privacy e diritto di cronaca

Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è infatti intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende trimpegiche e per assicurare le necessarie tutele.

Nel 2022 sono stati adottati 442 provvedimenti collegiali, e l'Autorità ha fornito riscontro a 9.218 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche, i dati on line delle pubbliche amministrazioni, la sanità, la sicurezza informatica; il settore bancario e finanziario, e il lavoro.

I pareri resi dal Collegio dell'Autorità su atti normativi e amministrativi sono stati 81 ed hanno riguardato la digitalizzazione della Pubblica Amministrazione, la sanità, il fisco, la giustizia, l'istruzione,e funzioni di interesse pubblico. 12 sono stati i pareri su norme di rango primario: in particolare, riguardo a digitalizzazione della Pa, giustizia, sanità e lavoro.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 5 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori e falsità nelle dichiarazioni e notificazioni al Garante.

La relazione con il pubblico e le sanzioni 

In riferimento all’attività di relazione con il pubblico, nel 2022 l'Autorità ha dato riscontro a oltre 16.400 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del GDPR.

I provvedimenti correttivi e sanzionatori sono stati 317, mentre le sanzioni riscosse ammontano a circa 9,5 milioni di euro. Le ispezioni effettuate nel 2022, svolte anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, sono state 140, un numero quasi triplicato rispetto all’anno precedente, in cui ancora si subiva l’impatto dell’emergenza pandemica.