L’Autorità Garante per la protezione dei dati personali – composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – presenta oggi la Relazione sull’attività svolta nel primo anno di mandato del nuovo Collegio.
La Relazione illustra i diversi fronti sui quali è stato impegnata l’Autorità nel corso di un anno caratterizzato ancora dall’impatto dell’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale e dal massiccio ricorso a piattaforme on line. La necessità di assicurare, da una parte, un funzionale trattamento dei dati – in particolare di quelli sulla salute – e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento al momento di fornire pareri e indicare misure di garanzia. In particolare, riguardo ad alcuni ambiti: le app di contact tracing; l’effettuazione dei test sierologici; la raccolta dei dati sanitari di dipendenti e clienti; il “green pass”; la sperimentazione clinica e la ricerca medica; l’attivazione dei sistemi di didattica a distanza; il processo amministrativo e tributario da remoto.
Il 2020 ha peraltro rappresentato per l’Autorità un anno particolarmente impegnativo ai fini del progressivo adeguamento al Regolamento Ue da parte dei soggetti pubblici e privati per i quali sono oggi previste nuove responsabilità.
Gli interventi più rilevanti
Il 2020 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; gli scenari tracciati dalle neuroscienze; la sicurezza dei sistemi e la protezione dello spazio cibernetico; il diffondersi di sistemi di riconoscimento facciale; la monetizzazione delle informazioni personali; il fenomeno del deep fake; il revenge porn.
Sul fronte della tutela on line, innanzitutto dei minori, l’anno trascorso ha registrato un rilevante intervento nei confronti di Tik Tok, la piattaforma usata soprattutto da giovanissimi per condividere video e immagini. Il Garante ha chiesto e ottenuto misure per la verifica dell’età di chi si iscrive alla piattaforma al di sotto dell’età minima prevista e ha lanciato una campagna informativa, insieme a Telefono azzurro, per richiamare i genitori a vigilare sull’iscrizione dei propri figli ai social network.
Istruttorie e accertamenti sono state avviati riguardo al fenomeno del deep nude (applicazioni in grado di manipolare le foto di soggetti vestiti, sostituendole con immagini di nudo create artificialmente); alla poca chiarezza dell’informativa di Whatsapp, all’uso di dati biometrici da parte di Clubhouse (un social che offre chat vocali) e alle modalità di funzionamento da Clearview, società specializzata in riconoscimento facciale che acquisisce dati sul web.
Per contrastare il fenomeno del revenge porn il Garante ha attivato un canale di emergenza per aiutare le persone che temono la diffusione di foto o video intimi senza il loro consenso.
A tutela delle vittime di cyberbullismo, l’Autorità assicura, sulla base della legge 71/2017 procedure di intervento e ha avviato una campagna di sensibilizzazione per il contrasto al fenomeno.
Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico. Una minaccia, questa, che si è particolarmente diffusa nell’epoca del Covid-19 con molte più persone e per molto più tempo connesse online.
E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case.
Per quanto riguarda la profilazione on line, è stata avviata una consultazione pubblica che ha portato all’adozione di nuove Linee guida in materia di informativa e consenso per l’uso dei cookie.
Sul fronte della cybersecurity e sulla mancata adozione di adeguate di misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento prescrittivo, anche a seguito di casi di particolare gravità.
Significativo a questo proposito il numero dei data breach notificati nel 2020 al Garante da parte di soggetti pubblici e privati: 1387, in alcuni casi relativi anche a dati sanitari.
In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata ulteriormente sviluppata la cooperazione con l’intelligence, anche a seguito del protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis, nel solco di un’innovazione considerata, in ambito europeo, un modello da seguire.
Per quanto riguarda l’uso di sistemi di riconoscimento facciale a fini di sicurezza pubblica, l’Autorità si è opposta all’uso del sistema Sari Real Time perché privo delle necessarie garanzie a tutela della libertà delle persone e non conforme alla normativa sulla protezione dei dati.
Nel settore della giustizia, l’Autorità ha preso atto con favore del recepimento, in sede parlamentare e tramite atti di alcune procure, delle indicazioni fornite a suo tempo sui captatori informatici (trojan), anche riguardo all’esternalizzazione delle intercettazioni. Ha sottolineato inoltre la necessità di porre mano alla riforma sull’acquisizione dei tabulati telefoni. In ambito penitenziario, ha istituito una fattiva collaborazione con il Garante nazionale dei diritti delle persone private della libertà personale, congiuntamente al quale ha richiesto l’adozione di garanzie a tutela della riservatezza dei colloqui dei detenuti
Nel settore della sanità il Garante ha svolto un’intensa attività intervenendo a dare chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e sulla vaccinazione dei dipendenti durante la pandemia. Ha contribuito alla definizione di precise garanzie per l’utilizzo dell’App Immuni, facendo in modo che il sistema di conctact tracing digitale fosse basato sull’adesione volontaria delle persone e i dati utilizzati dal sistema di allerta fossero pseudonimizzati. Ha dato parere favorevole sulla semplificazione delle modalità di trasmissione alle farmacie delle ricette mediche. Ha dato, da ultimo, il via libera alle “certificazioni verdi”, ottenendo che venissero assicurate precise garanzie a tutela dei dati delle persone.
Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Per il nuovo censimento permanente, l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.
Relativamente al sistema della fiscalità, l’Autorità ha dato il via libera ad una serie di importanti provvedimenti del Governo, come il “cashback” (a favore dei consumatori che effettuano acquisti con strumenti di pagamento elettronici), la “lotteria degli scontrini”, il “bouns vacanze” e il “bonus mobilità”. Per quanto riguarda la fatturazione elettronica, ha ribadito la necessità che il sistema garantisca la proporzionalità e la selettività nella memorizzazione dei dati dei contribuenti.
Nel mondo del lavoro il Garante ha tutelato i lavoratori dei call center e delle piattaforme di delivery. E riguardo allo smart working ha chiesto al Parlamento che venga assicurato ai lavoratori il diritto alla disconnessione.
In ambito welfare, in merito al reddito di cittadinanza l’Autorità ha dato parere favorevole all’incrocio dei dati per i controlli dell’Inps su beneficiari del reddito di cittadinanza.
Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (per un importo complessivo di 57 milioni di euro nel solo 2020), la maggior parte delle quali riguardano utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere una sorta di “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele, innanzitutto nei confronti delle vittime di abusi sessuali, e dei minori. Si è, inoltre, rafforzata ulteriormente l’attività a tutela del diritto all’oblio, garantendo comunque la salvaguardia degli archivi on line dei giornali.
Il 2020 ha visto, infine, il Garante costantemente impegnato nell’azione di supporto a imprese e pubbliche amministrazioni con una intensa attività di formazione, anche attraverso progetti di cooperazione internazionale, ai fini di una corretta ed effettiva applicazione del Regolamento Ue, anche riguardo alla nuova figura del Responsabile della protezione dei dati.
Le cifre
Nel 2020 sono stati adottati 278 provvedimenti collegiali.
L’Autorità ha fornito riscontro a circa 9.000 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro.
I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 60 ed hanno riguardato la sanità (Covid-19); il fisco; la giustizia; i trasporti; la digitalizzazione della P.a.; la statistica.
7 sono stati i pareri su norme di rango primario (in particolare, su digitalizzazione della P.a. e Covid-19)
18 sono stati i pareri resi in materi di accesso civico.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 8 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori; accessi abusivi a sistemi informatici; trattamento illecito dei dati; falsità nelle dichiarazioni.
Le sanzioni riscosse sono state pari a 38 milioni di euro.
Le ispezioni effettuate nel 2020 sono state 21, avendo subito l’impatto dell’emergenza da Covid-19. Gli accertamenti svolti nel 2020, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, la fatturazione elettronica; le grandi banche pubbliche; i software per la gestione del “whistleblowing”; le società di intermediazione immobiliare; il marketing; il food delivery.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 15.000 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue, seguiti dalle questioni legate al telemarketing indesiderato; alle problematiche poste dal web; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle centrali rischi private; alle informazioni sanitarie; ai dati bancari.
L’attività internazionale
Non meno rilevante e intensa l’attività del Garante a livello internazionale, con 179 riunioni, tutte svoltesi in modalità virtuale a causa della pandemia da Covid-19.
Nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dell’Ue, il Garante ha contribuito all’adozione di numerose linee-guida, raccomandazioni e pareri su tematiche complesse, come l’utilizzo della geolocalizzazione per la lotta alla pandemia da Covid-19; i ruoli di titolare e responsabile del trattamento; la certificazione dei trattamenti; il diritto all’oblio; le tutele ulteriori per i trasferimenti di dati verso Paesi extra-Ue; l’adeguatezza del livello di protezione dei dati nel Regno Unito dopo la Brexit.
Il Garante partecipa, inoltre, ai meccanismi di cooperazione (“sportello unico”) e coerenza previsti dal Regolamento Ue. Nel corso del 2020 è proseguito anche il lavoro svolto sull’interazione tra Regolamento europeo e Direttiva in materia di privacy e comunicazioni elettroniche (direttiva e-Privacy)
Da sottolineare anche l’attività del Garante italiano per il Consiglio d’Europa, che – attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante dell’Autorità – ha adottato le Linee guida in materia di riconoscimento facciale e le Linee guida sulla protezione dei dati dei minori nei contesti educativi, anche alla luce della crescente digitalizzazione delle attività didattiche.
Significativo il contributo dato in seno all’Ocse, non soltanto rispetto al coordinamento delle attività legate alla lotta contro il Covid-19, ma soprattutto ai fini della revisione delle Linee guida in materia di privacy e della Raccomandazione sulla protezione dei minori on line.
Da segnalare, infine, il lavoro svolto in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti).