Garante Privacy: presentata la Relazione sull’attività svolta nel 2020

L’Autorità Garante per la protezione dei dati personali – composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – ha presentato il 2 luglio 2021 la Relazione sull’attività svolta nel primo anno di mandato del nuovo Collegio.

Contenuti della Relazione del Garante Privacy

La Relazione illustra i diversi fronti sui quali è stato impegnata l’Autorità nel corso del 2020. Un anno caratterizzato ancora dall’impatto dell’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale e dal massiccio ricorso a piattaforme on line.

La necessità di assicurare, da una parte, un funzionale trattamento dei dati – in particolare di quelli sulla salute – e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento al momento di fornire pareri e indicare misure di garanzia.

In particolare, riguardo ad alcuni ambiti:

• le app di contact tracing;
• l’effettuazione dei test sierologici;
• la raccolta dei dati sanitari di dipendenti e clienti;
• il “green pass”;
• la sperimentazione clinica e la ricerca medica;
• l’attivazione dei sistemi di didattica a distanza;
• il processo amministrativo e tributario da remoto.

Il Regolamento UE per i soggetti pubblici e privati

Il 2020 ha peraltro rappresentato per l’Autorità un anno particolarmente impegnativo ai fini del progressivo adeguamento al Regolamento Ue da parte dei soggetti pubblici e privati per i quali sono oggi previste nuove responsabilità.

Diritti delle persone nel mondo digitale

Il 2020 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale.

In particolare:

• le implicazioni etiche della tecnologia;
• l’economia fondata sui dati;
• le grandi piattaforme e la tutela dei minori;
• i big data;
• l’intelligenza artificiale e le problematiche poste dagli algoritmi;
• gli scenari tracciati dalle neuroscienze;
• la sicurezza dei sistemi e la protezione dello spazio cibernetico;
• il diffondersi di sistemi di riconoscimento facciale;
• la monetizzazione delle informazioni personali;
• il fenomeno del deep fake;
• il revenge porn.

La tutela dei minori

Sul fronte della tutela on line, innanzitutto dei minori, l’anno trascorso ha registrato un rilevante intervento nei confronti di Tik Tok, la piattaforma usata soprattutto da giovanissimi per condividere video e immagini. Il Garante ha chiesto e ottenuto misure per la verifica dell’età di chi si iscrive alla piattaforma al di sotto dell’età minima prevista e ha lanciato una campagna informativa, insieme a Telefono azzurro, per richiamare i genitori a vigilare sull’iscrizione dei propri figli ai social network.

Il fenomeno del Deep Nude

Istruttorie e accertamenti sono state avviati riguardo al fenomeno del deep nude. Applicazioni in grado di manipolare le foto di soggetti vestiti, sostituendole con immagini di nudo create artificialmente. Alla poca chiarezza dell’informativa di Whatsapp, all’uso di dati biometrici da parte di Clubhouse (un social che offre chat vocali) e alle modalità di funzionamento da Clearview, società specializzata in riconoscimento facciale che acquisisce dati sul web.

Il Revenge Porn e Cyberbullismo

Per contrastare il fenomeno del revenge porn il Garante ha attivato un canale di emergenza per aiutare le persone che temono la diffusione di foto o video intimi senza il loro consenso.

A tutela delle vittime di cyberbullismo, l’Autorità ha assicurato, sulla base della legge 71/2017 procedure di intervento e ha avviato una campagna di sensibilizzazione per il contrasto al fenomeno.

La protezione dei dati online

Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico. Una minaccia, questa, che si è particolarmente diffusa nell’epoca del Covid-19 con molte più persone e per molto più tempo connesse online.

E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case.

Per quanto riguarda la profilazione on line, è stata avviata una consultazione pubblica che ha portato all’adozione di nuove Linee guida in materia di informativa e consenso per l’uso dei cookie.

Cybersecurity e misure di sicurezza

Sul fronte della cybersecurity e sulla mancata adozione di adeguate misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento prescrittivo, anche a seguito di casi di particolare gravità.

Significativo a questo proposito il numero dei data breach notificati nel 2020 al Garante da parte di soggetti pubblici e privati: 1387, in alcuni casi relativi anche a dati sanitari.

In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata ulteriormente sviluppata la cooperazione con l’intelligence, anche a seguito del protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis, nel solco di un’innovazione considerata, in ambito europeo, un modello da seguire.

Per quanto riguarda l’uso di sistemi di riconoscimento facciale a fini di sicurezza pubblica, l’Autorità si è opposta all’uso del sistema Sari Real Time perché privo delle necessarie garanzie a tutela della libertà delle persone e non conforme alla normativa sulla protezione dei dati.

Intercettazioni

Nel settore della giustizia, l’Autorità ha preso atto con favore del recepimento, in sede parlamentare e tramite atti di alcune procure, delle indicazioni fornite a suo tempo sui captatori informatici (trojan), anche riguardo all’esternalizzazione delle intercettazioni. Ha sottolineato inoltre la necessità di porre mano alla riforma sull’acquisizione dei tabulati telefoni.

Ambito penitenziario

In ambito penitenziario, ha istituito una fattiva collaborazione con il Garante nazionale dei diritti delle persone private della libertà personale, congiuntamente al quale ha richiesto l’adozione di garanzie a tutela della riservatezza dei colloqui dei detenuti

L’attività del Garante nel settore della Sanità

Nel settore della sanità il Garante ha svolto un’intensa attività intervenendo a dare chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e sulla vaccinazione dei dipendenti durante la pandemia. Ha contribuito alla definizione di precise garanzie per l’utilizzo dell’App Immuni, facendo in modo che il sistema di conctact tracing digitale fosse basato sull’adesione volontaria delle persone e i dati utilizzati dal sistema di allerta fossero pseudonimizzati. Ha dato parere favorevole sulla semplificazione delle modalità di trasmissione alle farmacie delle ricette mediche. Ha dato, da ultimo, il via libera alle “certificazioni verdi”, ottenendo che venissero assicurate precise garanzie a tutela dei dati delle persone.

Pubblica Amministrazione: l’attività del Garante

Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. 

Ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”.

Per il nuovo censimento permanente, l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.

Il Garante per il sistema della fiscalità

Relativamente al sistema della fiscalità, l’Autorità ha dato il via libera ad una serie di importanti provvedimenti del Governo, quali:

• il “cashback” a favore dei consumatori che effettuano acquisti con strumenti di pagamento elettronici,
• la “lotteria degli scontrini”
• il “bouns vacanze”
• il “bonus mobilità”.

Per quanto riguarda la fatturazione elettronica, ha ribadito la necessità che il sistema garantisca la proporzionalità e la selettività nella memorizzazione dei dati dei contribuenti.

Il welfare

Nel mondo del lavoro il Garante ha tutelato i lavoratori dei call center e delle piattaforme di delivery. E riguardo allo smart working ha chiesto al Parlamento che venga assicurato ai lavoratori il diritto alla disconnessione.

In ambito welfare, in merito al reddito di cittadinanza l’Autorità ha dato parere favorevole all’incrocio dei dati per i controlli dell’Inps su beneficiari del reddito di cittadinanza.

La tutela dei consumatori

Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (per un importo complessivo di 57 milioni di euro nel solo 2020); la maggior parte delle quali riguardano utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere una sorta di “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità.

Il rapporto tra privacy e diritto di cronaca

Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele, innanzitutto nei confronti delle vittime di abusi sessuali, e dei minori. Si è, inoltre, rafforzata ulteriormente l’attività a tutela del diritto all’oblio, garantendo comunque la salvaguardia degli archivi on line dei giornali.

Il 2020 ha visto, infine, il Garante costantemente impegnato nell’azione di supporto a imprese e pubbliche amministrazioni con una intensa attività di formazione, anche attraverso progetti di cooperazione internazionale, ai fini di una corretta ed effettiva applicazione del Regolamento Ue, anche riguardo alla nuova figura del Responsabile della protezione dei dati.

Dello stesso autore, consulta i volumi di EPC Editore!