L’Autorità Garante per la protezione dei dati personali ha presentato martedì 15 luglio la relazione sull’attività svolta nel quinto anno di mandato del Collegio (2024). Oltre alle tematiche orami consolidate dal GPDP: il contrasto al telemarketing aggressivo, la tutela dei soggetti più vulnerabili e la protezione dei dati sanitari, la relazione si è concentrato sulle nuove esigenze che la transizione digitale richiede: gli interventi fatti riguardano l’implementazione dell’intelligenza artificiale generativa, i modelli “pay or ok” e l’addestramento dei sistemi di IA tramite web scraping.
Indice
L’uso improprio della tecnologia e i data breach
La protagonista dell’anno è stata l’Intelligenza Artificiale e con lei, il grande obiettivo del GPDP: far convivere le nuove tecnologie con le leggi sulla Privacy; poter quindi implementare i settori della vita pubblica e privata con le nuove funzionalità dell’IA tutelando i diritti fondamentali delle persone nel mondo digitale. Indispensabile scongiurare alcuni fenomeni in continua crescita generati dall’utilizzo inconsapevole e/o illecito dei nuovi strumenti digitali come revenge porn, cyberbullismo e deep fake (creazioni artificiali con l’IA e algoritmi); anche per evitare che questi creino il fallace pregiudizio che le nuove tecnologie siano dannose a priori.
Con data breach si definisce una violazione dei dati, nello specifico qualsiasi “incidente di sicurezza” in cui dati sensibili, protetti o riservati vengono acceduti, copiati, rubati, divulgati, persi, modificati o distrutti da persone non autorizzate. I data breach notificati nel 2024 salgono a 2.204; di questi 498 casi hanno riguardato il settore pubblico, in particolare i Comuni, gli istituti scolastici e le strutture sanitarie. I 1.706 casi rimanenti sono stati riscontrati nel settore privato coinvolgendo PMI e professionisti ma anche grandi società del settore energetico, bancario, dei servizi e delle telecomunicazioni.
GPDP: La Privacy nella bocca di tutti
L’IA è stata tra le protagoniste del G7 italiano. Voluta come tema di discussione direttamente dal Governo italiano, l’Intelligenza Artificiala è stata discussa in termini di governance e del ruolo delle Autorità, la cui centralità è stata affermata sia dal Comitato europeo per la protezione dei dati sia dalle Autorità del G7. Oltre all’appuntamento italiano, il GPDP ha presenziato a 280 riunioni oltre alla routine segnata dai passaggi al Consiglio d’Europa e l’OCSE dimostrando come sia un tema indispensabile per tutti il monitoraggio della salvaguardia dei dati personali.
Obiettivi raggiunti: cosa ha fatto il GPDP?
Nel 2024 sono stati adottati 835 provvedimenti collegiali, di cui 468 sono provvedimenti correttivi e sanzionatori. Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante. Le sanzioni riscosse sono state oltre 24 milioni di euro.
L’Autorità ha concluso importanti passi avanti nel monitoraggio della tutela della Privacy nei nuovi strumenti tecnologici, in particolare ha condotto:
– Istruttoria nei confronti di ChatGPT e ha ordinato a OpenAI, la società che gestisce il chatbot, la realizzazione di una campagna informativa e il pagamento di una sanzione di 15 milioni di euro;
– Avvertimento formale a un importante gruppo editoriale italiano, segnalando il possibile rischio per milioni di persone connesso all’eventuale vendita a OpenAI dei dati personali contenuti nell’archivio del giornale per addestrare gli algoritmi;
– Avvertimento a Worldcoin in relazione al progetto di scansione dell’iride in cambio di criptovalute, senza adeguate garanzie e la necessaria consapevolezza da parte degli utenti;
– Pareri resi con riguardo al cosiddetto Ecosistema dati sanitari (EDS) e alla Piattaforma nazionale sulla telemedicina (PNT) nei quali il Garante ha ribadito che l’introduzione di sistemi di IA nella sanità digitale deve avvenire nel rispetto del GDPR, del regolamento sull’IA e di quanto indicato nel Decalogo in materia di IA adottato nel 2023;
– Prevenzione per evitare l’utilizzo dei dati massivi raccolti tramite web scraping con lo scopo di addestrare l’IA (il web scraping è una tecnica informatica utilizzata per estrarre automaticamente dati da siti web tramite software specifici, di per sé non è illegale ma può diventarlo quando i dati vengono raccolti senza autorizzazione e senza che l’utente ne accetti le finalità).
Le linee guida per la PA
La Pubblica Amministrazione sta ampliando da tempo l’utilizzo delle strategie tecnologici per migliore la funzionalità e la risposta alle richieste del cliente; L’Autorità è intervenuta molteplici volte monitorando l’attività e il Sistema informativo per l’inclusione sociale e lavorativa (SIISL). Il monito del Garante alla PA è semplice: evitare diffusioni illecite di dati personali e bilanciare gli obblighi di pubblicità degli atti con la doverosa dignità delle persone. Il Garante ha anche aiutato il Ministero a gestire la transizione digitale nella distribuzione di atti e documenti originali analogici nei procedimenti civili.
PER APPROFONDIRE:
– Relazione annuale 2024 del GPDP;
– Il discorso del Presidente Pasquale Stanzione: “POTERE E RESPONSABILITÀ LA CULTURA DELLA PROTEZIONE DEI DATI”;
– Video della presentazione della Relazione annuale 2024 del GPDP.
Scrivi un commento
Accedi per poter inserire un commento