Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro

L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso anno è, infatti, possibile ricavare considerazioni e spunti importanti per il futuro della compliance normativa. Fra GDPR e AI Act, come si regola il futuro? Quali azioni è essenziale intraprendere per la conformità?
I pilastri della relazione: digitalizzazione e IA
Proprio l’idea di “Regolare il futuro” ha costituito la base del discorso con cui Pasquale Stanzione, presidente dell’Autorità Garante, ha presentato la relazione il 3 luglio alla Camera dei Deputati. Anche l’Onorevole Paolo Trancassini, che ha introdotto lo speech del presidente, ha evidenziato il carattere innovativo della relazione, per via delle complessità e delle sfide emerse nel corso del 2023.
Lo scorso anno, infatti, è stato contraddistinto dalla digitalizzazione, che ha toccato settori, quali la Pubblica Amministrazione e la sanità, caratterizzati da un rischio privacy elevato. Il Garante ha quindi messo in guardia rispetto alle vulnerabilità derivanti dalla mancata implementazione di misure di sicurezza cibernetica adeguate. L’adozione di misure tecniche ed organizzative – per la sicurezza e per la protezione dei dati personali – rappresenta non solo uno scudo contro le violazioni di dati, ma anche un fattore di efficienza della governance e di fiducia dei cittadini.
I processi di digitalizzazione sono stati incentivati da una serie di fattori concomitanti: le azioni intraprese da enti ed organizzazioni per utilizzare i fondi stanziati dal PNRR ed il ricorso a sistemi di intelligenza artificiale (IA).
Panoramica del 2023: controlli e sanzioni comminate
Prima di trarre delle considerazioni sul futuro della compliance, fra il GDPR e le nuove norme che regolamentano l’uso dei sistemi di Intelligenza Artificiale (il c.d. “AI ACT”), è necessario analizzare l’attività svolta dall’Autorità nel corso del 2023, partendo dai controlli svolti presso enti ed imprese. Gli accertamenti ispettivi sono tornati ai regimi pre-pandemia, come testimoniano i dati statistici sugli interventi ispettivi in loco. Inoltre, il Garante ha portato avanti le ispezioni da remoto/online, finalizzate alla verifica dell’osservanza delle linee guida in materia di cookie e altri strumenti di tracciamento.
Nel complesso, i controlli condotti dall’ufficio del Garante si sono rivelati operativamente articolati e difficili da portare a termine, per via dei profili tecnologici che hanno richiesto la partecipazione alle indagini di appositi team ispettivi, nonché di informatici appartenenti al Dipartimento tecnologie digitali e sicurezza informatica.
La verifica delle misure intraprese dalle organizzazioni, a tutela della cybersecurity, ha acquisito rilievo centrale, soprattutto nei casi di violazione di dati personali (data breach) notificati all’Autorità.
Le violazioni dei dati personali
Proprio la verifica sul campo delle cause che hanno determinato data breach, insieme alla valutazione delle azioni per porvi rimedio, ha rappresentato uno degli ambiti principali di intervento del Garante.
La maggior parte dei casi di perdita della riservatezza o della disponibilità dei dati personali è derivata da fenomeni quali malware di tipo ransomware di nuova generazione (spesso basati sull’IA); da accessi non autorizzati o illeciti ai sistemi informativi aziendali; dalla compromissione di password e credenziali di autenticazione informatica; dalla erronea configurazione di piattaforme, software e sistemi informatici.
2.037 sono state le violazioni notificate all’Autorità, nel 37% dei casi da parte di soggetti pubblici e, nel 63% da parte di soggetti privati. Nei casi in cui il Garante ha rilevato l’inadeguatezza delle misure di sicurezza implementate o il mancato rispetto degli obblighi previsti dal GDPR, ha adottato provvedimenti correttivi, anche di tipo sanzionatorio.
Segnalazioni e reclami
Altri provvedimenti correttivi sono derivati da specifici reclami e segnalazioni. Nel 2023 l’Autorità ha ricevuto più di 120.000 istanze in materia di protezione dei dati personali e fornito riscontro a più di 9.000 di queste. Le principali doglianze hanno riguardato: il marketing ed il telemarketing, i trattamenti svolti da realtà economiche e produttive, i trattamenti svolti da pubbliche amministrazioni (in particolare la diffusione online di dati personali), la sanità digitale, l’uso di nuove tecnologie digitali, etc.

La tutela dei diritti nel mondo digitale
Le ispezioni dell’Autorità, condotte d’iniziativa dell’Ufficio (sulla base del piano ispettivo semestrale), partendo da notifiche di violazioni, o sulla base di specifici reclami o segnalazioni degli interessati, hanno portato a quasi 8 milioni di euro di sanzioni già riscosse.
Trait d’union dei più importanti interventi del Garante è stata la tutela dei diritti fondamentali delle persone nel mondo digitale. L’Autorità si è trovata a gestire tematiche quali: le implicazioni etiche della tecnologia, l’IA generativa, le criticità derivanti dall’uso di algoritmi, i trattamenti svolti dalle grandi piattaforme online, la monetizzazione dei dati personali, la sicurezza dei sistemi informatici e la protezione dello spazio cibernetico, la tutela dei minori e i sistemi di age verification, i fenomeni del revenge porn e del cyberbullismo.
Come evidenziato da Pasquale Stanzione, lo scorso anno ci ha fornito un’anteprima importante di quelle che sono le sfide del presente e di quelle che saranno le sfide del futuro: fra la tutela della privacy e la regolamentazione dei sistemi di Intelligenza Artificiale.
Cosa insegna il 2023? Fra GDPR e AI Act
Si stima che, in Italia, un’impresa su quattro ha già integrato sistemi di IA e che, entro il 2025, il 60% delle aziende ricorrerà ad assistenti virtuali per il reclutamento dei candidati. Anche in ambito sanitario le applicazioni dell’IA si stanno diffondendo, con lo scopo di migliorare i processi di diagnosi, sperimentazione e cura. Dalla relazione si evince che ogni settore è coinvolto, in modo più o meno pregnante, nell’implementazione o nell’utilizzo dell’intelligenza artificiale.
Nel corso del 2023 il Garante è già intervenuto su diversi sistemi di IA (ChatGPT, Sora, Replika, etc.). Ciò è stato possibile in quanto le norme in materia di protezione dei dati personali in parte già regolamentano alcuni elementi cardine dei sistemi di IA: il trattamento funzionale all’esecuzione di processi decisionali automatizzati, nonché le tecniche e le modalità di addestramento degli algoritmi. In particolare, il principio di trasparenza (di cui all’articolo 5, par. 1, lett. a) del GDPR) ed il principio di accountability (responsabilizzazione), impongono ai titolari di fornire alcune garanzie essenziali:
- la conoscibilità delle modalità di funzionamento degli algoritmi e delle logiche alla base degli stessi;
- il divieto di discriminazione algoritmica;
- gli obblighi informativi nei confronti degli interessati;
- la qualità e l’esattezza dei dati da utilizzare.
Alle disposizioni del GDPR si affiancano ora quelle dell’AI Act (Regolamento UE 2024/1689), la cui versione definitiva è stata pubblicata in Gazzetta Ufficiale dell’UE il 12 luglio 2024. In vista dell’entrata in vigore della norma, il prossimo 1° agosto 2024, abbiamo implementato un kit per la compliance normativa, per supportare le organizzazioni nella valutazione degli adempimenti e nell’attuare i requisiti richiesti. Se desideri ulteriori informazioni clicca qui, oppure scrivici, il nostro Team interdisciplinare ti aiuterà a comprendere quali azioni intraprendere.