1997-2022, risultati e prospettiva a 25 anni dalla istituzione del Garante per la protezione dei dati personali. Il racconto di Biagino Costanzo
Giovedì 7 luglio è stata presentata la Relazione annuale 2022 del presidente dell’Autorità di controllo Garante per la protezione dei dati personali, Pasquale Stanzione, dove è stato fatto il bilancio di tutte le attività svolte durante il 2021. Molto corposa la relazione e tantissimi gli aspetti affrontati ma gli interventi più rilevanti che vogliamo segnalare e che riguardano aspetti di cogente attualità quali la tutela dei diritti fondamentali delle persone nel mondo digitale, in particolare, le implicazioni etiche della tecnologia, l’economia fondata sui dati, le grandi piattaforme e la tutela dei minori, il diffondersi di sistemi di riconoscimento facciale, la monetizzazione delle informazioni personali, il fenomeni del revenge porn e dello sharenting, i big data, l’intelligenza artificiale e le problematiche poste dagli algoritmi, gli scenari tracciati dalle neuroscienze, la sicurezza dei sistemi e la protezione dello spazio cibernetico.
Nel 2021 ancora più forte è stata l’attenzione dell’autorità sul fenomeno del cyberbullismo e del revenge porn, con il primo sono aumentati procedure di intervento in base alla legge 71/2017 , proseguendo nella sensibilizzazione per contrastare il fenomeno e per il secondo, si è rafforzato il contrasto insistendo con la prevenzione supportando e persone che temono la diffusione di foto o video intimi senza il loro consenso, legittimando anche gli ultraquattordicenni a presentare istanza al Garante.
Sul fronte molto delicato della tutela on line dei minori lo scorso anno è proseguita l’azione di vigilanza sull’età di iscrizione ai social. L’autorità ha imposto a Tik Tok,per esempio, misure per tenere fuori dalla piattaforma gli utenti giovanissimi, facendo rimuovere centinaia di migliaia di account di iscritti sotto i tredici anni.
Altro argomento preponderante sono gli attacchi informatici e il presidente Stanzione ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha fornito indicazioni, in particolare, su come difendersi dai ransomware, software che prendono “in ostaggio” un dispositivo elettronico per poi “liberarlo” a fronte del pagamento di somme di denaro. Una minaccia, questa, che si è particolarmente diffusa anche nel nostro Paese.
A tal proposito vi è stato nel 2021 un aumento di segnalazioni di data breach all’Autorità pari quasi al 50% rispetto all’anno precedente, circa 2071, molte dei quali relativi alla diffusione di dati sanitari che hanno portato anche a sanzioni. Interventi dell’Autorità hanno riguardato in questo ambito anche grandi piattaforme social come Facebook e LinkedIn.
Per quando riguarda la Sanità, visto anche il periodo che ha riguardato l’inedita emergenza sanitaria dovuta alla pandemia dal Sars-Covid 19, il Garante ha svolto un’intensa attività dando chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e ha contribuito alla definizione di precise garanzie per l’utilizzo del green pass. Inoltre, ha fornito pareri positivi sul Registro nazionale dei tumori, sull’Anagrafe nazionale degli assistiti, sul Registro nazionale degli impianti protesici e ottenuto garanzie per i pazienti nella formazione del Fascicolo sanitario elettronico.
Particolare attenzione è stata posta all’uso dei dati biometrici e al riconoscimento facciale. L’Autorità ha sanzionato per 20 milioni di euro per Clearview, società specializzata in riconoscimento facciale che acquisisce dati sul web e le ha vietato l’uso dei dati biometrici e il monitoraggio degli italiani.
In un mio passato intervento avevo già posto una riflessione su questo che è un argomento di penetrante attualità. Infatti, anche nel GDPR, alla sezione riguardante il trattamento dei dati biometrici, è previsto un divieto generale e una tutela rafforzata proprio la natura particolare del tema, per dove vi è la possibilità di derogare solo in presenza di specifiche eccezioni. Parliamo, ad esempio e innanzitutto del consenso da parte dell’interessato, dell’assolvimento degli obblighi e l’esercizio dei diritti del titolare o dell’interessato in materia di diritto del lavoro, ed infine i motivi di interesse pubblico rilevante, quali per esempio la Sicurezza Nazionale degli Stati membri dell’Unione.
Nella relazione del Garante si conferma che è proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case, sugli Smart glasses lanciati da Facebook, sull’uso dei droni a fini privati o di sicurezza pubblica. Istruttorie sono state aperte sulle nuove forme di raccolta dati ai fini di rating reputazionale.
Nel settore della giustizia, l’Autorità ha nuovamente espresso la necessità di una riforma della disciplina sulla conservazione dei dati di traffico telefonico e telematico (data retention), oggi fissati in Italia in 6 anni. Ha ottenuto che venissero adottate maggiori tutele per i dati giudiziari e per il processo tributario telematico. Sul fronte della cybersecurity, l’Autorità ha avviato la collaborazione con la Agenzia per la Cybersicurezza Nazionale, con la quale è stato firmato un protocollo d’ intesa finalizzato allo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica.
Altro argomento sensibile ai più è il fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (per un importo complessivo di 38 milioni di euro nel solo 2021), la maggior parte delle quali riguardano utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere una sorta di “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele, innanzitutto a protezione dei minori. Si è, inoltre, rafforzata ulteriormente l’attività a tutela del diritto all’oblio, garantendo comunque la salvaguardia degli archivi on line dei giornali.
Nel 2021 sono stati adottati 448 provvedimenti collegiali (con un aumento di oltre 56% rispetto all’anno precedente), l’Autorità ha fornito riscontro a 9.184 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro. 72 sono stai i pareri resi dal Collegio su atti normativi e amministrativi ed hanno riguardato sanità; fisco; giustizia; istruzione; digitalizzazione della Pa; funzioni di interesse pubblico. 7 sono stati i pareri su norme di rango primario: in particolare, riguardo a digitalizzazione della Pa, giustizia, open data.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 12 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori; accessi abusivi a sistemi informatici o telematici; trattamento illecito dei dati; falsità nelle dichiarazioni; inosservanza dei provvedimenti del Garante. I provvedimenti correttivi e sanzionatori sono stati 388. Le sanzioni riscosse sono state di circa 13 milioni 500 mila euro. Le ispezioni effettuate nel 2021 sono state 49, avendo subito l’impatto dell’emergenza pandemica.
Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, fatturazione elettronica; fornitori di banche dati; videosorveglianza domestica; banche dati reputazionali; marketing e profilazione; data breach; food delivery. Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 18.700 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue, il telemarketing indesiderato; il rapporto di lavoro pubblico e privato; l’attività dei Responsabili del trattamento. Oltre 5 milioni e 800 mila gli accessi al sito web dell’Autorità.
Non meno rilevante e intensa l’attività del Garante a livello internazionale, con n. 281 riunioni, svoltesi per la massima parte in modalità virtuale a causa della pandemia. Il Comitato è intervenuto sulle proposte elaborate in sede Ue riguardanti i servizi digitali e la strategia per i dati (Digital Services Act, Digital Markets Act, Data Governance Act, Data Act).
In conclusione, proprio in questo anno dove si celebra il 25° Anniversario dalla Istituzione dell’Autorità Garante per la protezione dei dati personali, il mantenimento del delicato equilibro, privacy e libertà, deve esser svolto in un contesto di massima serietà professionale, deontologica, rispettando la legge e al tempo stesso esser coscienti che una materia così delicata come questa deve essere gestita da professionisti in possesso, direi, non solo di adeguata preparazione tecnica ma anche di un alto dato valoriale ed etico. Solo così si riuscirà a coniugare e con successo, progresso, diritti, lavoro, business e sicurezza soprattutto in un periodo storico così complesso.
