Garante Privacy, presentata la "Relazione annuale dell'attività svolta nel 2019"

ROMA - Tra continuità e innovazione. E' in questa espressione la sintesi dell’attività svolta dall’Autorità nell’anno trascorso. Se dal 25 maggio 2018 il Regolamento generale sulla protezione dei dati (RGPD) ha trovato applicazione, il 2019 si dimostrato, per tutti gli attori coinvolti, un anno di sperimentazione e di assestamento.

Come indica la Relazione annuale presentata alla Camera dei Deputati dall’Autorità Garante per la Privacy - composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano - presentata lo scorso 23 giugno, questa affermazione vale anche per il Garante che, inalterato nella composizione del Collegio per l’effetto di diversi interventi legislativi, correlati anche alla emergenza sanitaria, si è trovato a operare su più livelli.  

A questo proposito, il Presidente della Camera, Roberto Fico, nell’introdurre la Relazione, dopo aver espresso apprezzamento per il lavoro svolto dall’Autorità, ha preso l’impegno di accelerare la nomina del nuovo collegio.

Privacy e Covid 19

Non poteva mancare un riferimento, che è stato fatto in una fase iniziale del discorso, al binomio Privacy e Covid. Il punto di partenza della relazione che il presidente Antonello Soro ha illustrato al Parlamento ha infatti chiarito come l'emergenza sanitaria abbia imposto una riflessione sul bilanciamento tra diritto alla salute e la tutela dei dati personali e sull’uso delle tecnologie, rassicurando che alcune deroghe alla privacy sono assolutamente temporanee. 

"L'emergenza sanitaria ha evidenziato la necessità del ricorso alla tecnologia in funzione ausiliaria della scienza e la corrispettiva esigenza di valorizzare il digitale quale spazio immateriale in cui ritrovarsi“, ha  osservato Soro. 

"Le emergenze devono del resto, poter contemplare anche alcune significative deroghe ai diritti, purché non irreversibili e proporzionate. Non devono essere, in altri termini, un punto di non ritorno ma un momento in cui modulare prudentemente il rapporto tra norma ed eccezione, coniugando istanza personalistica ed esigenze solidaristiche".

Interessante la sua osservazione conclusiva su questo specifico aspetto: “Una volta cessata questa difficile stagione, avremo forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo. Se c’è qualcosa che, forse, non tornerà più come prima, sarà il nostro rapporto con il digitale, di cui abbiamo compreso tutta l’ambivalenza e, dunque, la necessità di valorizzarne le straordinarie potenzialità “generative” contrastandone gli effetti nichilisti o anche solo regressivi”. 

Un impegno forte per tutelare la privacy

Quello che si può in ogni caso constatare è che il 2019 è stato un anno intenso per la tutela della privacy. Gli interventi si sono concentrati in prima istanza sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale.

La Relazione ha sottolineato il lavoro legato alle implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la pervasività delle diverse forme di controllo e sorveglianza; il sempre più diffuso ricorso ai dati biometrici; la monetizzazione delle informazioni personali; le fake news; l’Internet delle cose; il revenge porn.

Le violazioni dei dati 

Da segnalare, sul fronte delle violazioni dei dati on line e sui rischi di profilazioni occulte, il fatto che nel 2019 si è registrata la sanzione di 1 milione di euro applicata a Facebook per le violazioni emerse nell’ambito dell’istruttoria relativa alla vicenda “Cambridge Analytica”, che ha riguardato anche cittadini italiani.

Il Garante si è espresso anche sulla questione dei pericoli posti da Tik Tok, il social network cinese che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, soprattutto giovanissimi. Ha chiesto e ottenuto la costituzione di una specifica task force  nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’Unione (Edpb). 

Cybersecurity in primo piano 

L'Autorità ha svolto una intensa attività di controllo e intervento su fronti estremamente caldi, quello della cybersecurity e della scarsa attenzione alle misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line. Soro ha svolto una riflessione sull’importanza della difesa del dato da parte della pubblica amministrazione invitando il parlamento a pensare di investire su un cloud pubblico.

"Di fronte alla delocalizzazione in cloud di attività rilevantissime chiediamo al Parlamento e al Governo se non si debba investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversarvi con adeguata sicurezza dati di tale importanza” - ha dichiarato Soro.

Ha inoltre stabilito alcune regole per l’esercizio del diritto di accesso civico e ha chiesto maggiori tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Per il nuovo censimento permanente l’Autorità ha chiesto garanzie per irrobustire la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.

A tutela dei consumatori 

Il Garante ha fatto riferimento anche alla questione della tutela dei consumatori, intervenendo contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) a operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. A tutela dei consumatori censiti nei sistemi di informazione creditizia sono state varate nuove regole, per rispondere alle sfide della digital economy e imporre trasparenza sul funzionamento degli algoritmi. 

Per quanto riguarda l’attività di relazione con il pubblico è stato dato riscontro a oltre 15.800 quesiti che hanno riguardato soprattutto gli adempimenti connessi all’applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle centrali rischi private; ai dati bancari. Soro ha affrontato anche il tema del riconoscimento facciale, esprimendo un parere favorevole alla moratoria prima proposta e poi non più attuata della Commissione Ue.

La sue parole a tal proposito: "Avevamo guardato con favore alla proposta europea di moratoria sul riconoscimento facciale, ritenendola una lungimirante affermazione dei principi di precauzione e prevenzione, anche considerando la varietà di usi ai quali cale tecnica può prestarsi. E questo, tanto più in ragione dei limiti che il consenso incontra rispetto alla biometria cosiddetta facilitativa, di cui spesso si ignorano le implicazioni: dalla ubiquitaria geolocalizzazione alla sempre più penetrante profilazione. Saranno importanti le scelte regolatorie che dovessero, eventualmente, legittimare l'uso del riconoscimento facciale a fini di polizia".

Uno sguardo all’attività internazionale

Risulta non meno importante e intensa l’attività del Garante a livello internazionale, caratterizzata soprattutto dall’azione di supporto all’ applicazione del Regolamento in materia di protezione dei dati. 

Nell’ambito del Comitato europeo per la protezione dei dati (EDPB), che riunisce le autorità di protezione dati dell’Ue, il Garante ha contribuito all’adozione di numerose linee-guida e pareri su tematiche complesse: i codici di condotta; i principi di privacy by design e by default; i contratti online; la videosorveglianza; i trasferimenti di dati verso Paesi extra-Ue basati su norme vincolanti d’impresa (BCR).

Da sottolineare anche il contributo dato in seno all’OCSE, soprattutto riguardo alla sicurezza e alla tutela della privacy nell’economia digitale alla protezione dei minori on line. E' stata intensificata la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN), che promuovono interventi mirati e congiunti di verifica del rispetto della normativa in materia di protezione dei dati.

Da segnalare infine l'attività svolta in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti).