Relazione 2019: a che punto siamo in Italia nell’applicazione del Regolamento europeo in materia di data protection e nuove sfide

L'Autorità Garante per la protezione dei dati personali ha presentato lo scorso 23 giugno 2020 la relazione sull’attività svolta nel 2019.

Il 2019 è stato un anno particolarmente intenso per il Garante che si è trovato a vigilare sull’applicazione del Regolamento 679/2016 e ad intervenire su questioni relative alla tutela dei diritti fondamentali nell’era digitale, alle implicazioni etiche derivanti dall’uso dell’intelligenza artificiale, a questioni relative all’impiego di nuovi strumenti di sorveglianza da remoto e di IoT.

La peculiarità della situazione contingente ha reso inevitabile toccare anche le nuove problematiche che sono emerse durante la pandemia e pertanto, in occasione della relazione sulle attività del 2019, l’Autorità si è espressa anche su quelle relative al primo semestre del 2020, dando così una visione completa di quello che è stato il suo operato fino a questo momento.

I numeri

Nel 2019 i provvedimenti collegiali adottati sono stati 232 e 8000 sono stati i riscontri a reclami e segnalazioni in relazione a marketing telefonico, credito al consumo, lavoro, settore finanziario e sicurezza informatica. 

Le ispezioni sono state 147 e gli accertamenti hano riguardato numerosi settori, sia nell´ambito pubblico che privato.

I pareri relativi ad atti regolamentari e amministrativi sono stati 46 e hanno toccato ambiti come la sicurezza nazionale, la digitalizzazione delle pubbliche amministrazioni, le misure per combattere l'assenteismo, il testamento biologico, il reddito di cittadinanza, la riforma del Registro pubblico delle opposizioni, l'istruzione e la procreazione assistita.

Il Garante ha inoltre dato riscontro a 15.800 quesiti da parte di cittadini che hanno chiesto chiarimenti circa gli adempimenti connessi all’entrata in vigore del GDPR e a questioni legate ad attività promozionali indesiderate come telefonate, sms, videosorveglianza nel settore pubblico e privato e dati bancari.

Interventi nei confronti di Piattaforme

Per quanto riguarda le violazioni di dati online, nel 2019 il Garante italiano ha sanzionato Facebook Ireland Ltd per 1 milione di euro a seguito dell’istruttoria relativa alla vicenda “Cambridge Analytica” che ha coinvolto anche i dati di cittadini italiani.

Nel 2019 si è anche rafforzata l'attività a tutela del “Right to be Forgotten” (diritto all’oblio) e si aperto un dibattito internazionale circa la portata di tale diritto (se debba essere garantito a livello internazionale o solo europeo) e quale sia il ruolo giocato dagli Internet Service Provider in questo specifico contesto.

Nel 2020 il Garante italiano ha sollevato dubbi anche sul modus operandi di TikTok, una piattaforma cinese divenuta estremamente popolare tra i giovanissimi di tutto il mondo e che permette di condividere audio, video ed immagini. Il Garante ha chiesto ed ottenuto la costituzione di una task force nell'ambito dell’European Data Protection Board, il Comitato europeo che riunisce tutte le Autorità privacy europee.

Interventi in materia di cybersecurity

Nel 2019 sono stati notificati 1443 data breach e il Garante si è pronunciato circa l’inadeguatezza delle misure di sicurezza di pubbliche amministrazioni ed imprese private che raccolgono dati online ed ha indicato delle linee guida su come proteggersi da software dannosi di tipo ramsonware.

Ramsonware

I ramsonware sono programmi informatici che criptano i dati di un dispositivo rendendolo non più utilizzabile e che intimano il proprietario a pagare un “riscatto” per poter ritornare in possesso dei contenuti salvati sul suo device. Nelle sue raccomandazioni il Garante sottolinea come questi malware siano non di rado installati sui dispositivi degli utenti tramite app di giochi o altre utilities che vengono offerte gratuitamente e che spesso sono scaricate con noncuranza da parte di utenti totalmente ignari delle minacce che si possono nascondere in una semplice applicazione web.

Assistenti Digitali

Il Garante ha anche esaminato i rischi connessi all’utilizzo degli assistenti digitali, cioè programmi che interpretano il linguaggio umano tramite algoritmi e intelligenza artificiale e che sono in grado di dialogare come un “utente umano”, rispondendo a vari tipi di richieste come trovare informazioni sul web, ricercare e indicare un determinato percorso stradale, fare un acquisto online, regolare la temperatura o l’illuminazione domestica, chiudere o aprire le serrature di un’abitazione.

Il Garante ricorda che questi assistenti digitali raccolgono e trattato una grandissima quantità di dati e che spesso l’utente è ignaro delle modalità in cui i suoi dati sono trattati e soprattutto da chi. Questi dispositivi inoltre raccolgono dati non solo del loro “utilizzatore” (cioè del soggetto che ha installato volontariamente il software), ma anche di tutti coloro che si trovano inconsapevolmente nel raggio di azione del dispositivo e possono memorizzare dati relativi a preferenze, abitudini e stili di vita, caratteristiche biometriche (se dotati di fotocamera), posizioni e geolocalizzazione (per esempio in relazione ad un percorso abituale), caratteristiche delle persone che si trovano nell’ambiente in cui operano (sesso, età) così come i loro stati emotivi.

Privacy e Marketing

Il Garante è intervenuto contro le attività di telemarketing “aggressivo” applicando pesanti sanzioni (in particolare una sanzione da 27,8 milioni di euro e una da 11,5 milioni di euro) ad aziende che hanno utilizzato i dati degli abbonati senza il loro preventivo consenso.

Privacy e Diritto di Cronaca

L’Autorità è intervenuta più volte contro la morbosità di alcune testate giornalistiche ed emittenti televisive in relazione ad alcuni fatti di cronaca al fine di garantire le opportune tutele alle vittime di reati, soprattutto se minorenni.

Privacy e Lavoro

Il Garante ha definito le garanzie per la raccolta delle impronte digitali dei dipendenti pubblici per combattere l’assenteismo e ha richiamato il principio di proporzionalità. L’Autorità ha ricordato che la raccolta di dati biometrici è una disciplina estremamente delicata per la natura dei dati trattati e, se prevista insieme all’utilizzo di tecnologie per la videosorveglianza, appare in contrasto con il principio di proporzionalità.

Il Garante inoltre ritiene non giustificata l’introduzione sistematica e generalizzata di sistemi di rilevazione biometrica delle presenze per tutte le pubbliche amministrazioni.

Privacy e Giustizia

In relazione al “caso Exodus” in cui centinaia di cittadini estranei alle indagini di polizia sono stati intercettati a causa di un errore nel funzionamento di un captatore informatico, il Garante ha proposto misure per assicurare maggiori garanzie nell'uso di strumenti che, se utilizzati in assenza delle necessarie garanzie, rischiano di causare gravissime violazioni alla libertà dei cittadini.

Privacy e Sanità

In materia di dati sanitari il Garante della privacy è più volte intervenuto sulla modalità di raccolta e di trattamento dei dati sanitari nel contesto della pandemia e ha ricordato che, anche in un contesto emergenziale, non possono venire meno i principi a tutela dei dati del cittadino europeo che sono alla base della nuova normativa comunitaria. Il Garante ha fornito anche pareri ed indicazioni riguardo all’app “Immuni” (il progetto scelto dal Mise tra decine di proposte inviate da soggetti attivi nel mondo digitale), alle modalità di condivisione dei dati sanitari e a quelli di localizzazione degli utenti necessari per poter contenere la pandemia. Il Garante si è anche pronunciato sulle modalità per l’effettuazione dei test sierologici, per la raccolta dei dati sanitari di dipendenti di imprese e pubbliche amministrazioni, così come per i clienti di esercizi commerciali.

Alla luce di questi numerosi interventi possiamo affermare che l’Autorità Garante per la protezione dei dati personali si sia adoperata nello svolgere un’attività di vigilanza sull’applicazione del nuovo regolamento europeo tentando di limitare gli abusi e di sanzionare le violazioni che compromettono le libertà individuali garantite dalla normativa europea. Il progresso tecnologico e la progressiva implementazione dell’intelligenza artificiale in dispositivi di uso quotidiano rende inevitabile effettuare bilanciamenti tra i diversi valori in gioco al fine di non commettere violazioni di dei diritti fondamentali.

Ad oggi la sfida che appare più contingente per l’Italia e l’Europa è quella di trovare sistemi che permettano il controllo di dati sanitari e la loro condivisione senza determinare un’eccessiva compressione dei diritti individuali permettendo alle Autorità di adottare le giuste misure al fine di scongiurare nuovi fenomeni epidemiologici.