In questo articolo
RELAZIONE ANNUALE 2019 DEL GARANTE PRIVACY: INTERVENTI, VIGILANZA, SANZIONI
Presentata il 23 giugno scorso alla Camera dal presidente Antonello Soro, la Relazione Annuale 2019 del Garante Privacy fotografa un anno decisamente impegnativo.
Gli interventi si sono concentrati soprattutto sul graduale adeguamento al Regolamento UE (GDPR) da parte di soggetti pubblici e privati e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale.
Il 2019 è stato un anno di sperimentazione e di assestamento.
L’attività è stata svolta su diversi fronti mettendo in atto interventi per fronteggiare svariate problematiche che riguardano la protezione dei dati personali, tra cui:
– economia fondata sui dati;
– implicazioni etiche della tecnologia;
– intelligenza artificiale e algoritmi;
– big data;
– grandi piattaforme;
– sicurezza dei sistemi e protezione dello spazio cyber;
– forme di controllo e sorveglianza;
– diffusione dell’utilizzo di dati biometrici;
– fake news;
– monetizzazione dei dati personali:
– Internet of Things (IoT, Internet delle Cose):
– revenge porn.
Approfondiamo.
RELAZIONE ANNUALE 2019 DEL GARANTE PRIVACY: VIGILANZA E INTERVENTI
In termini di cybersecurity, l’attività di vigilanza e intervento del Garante Privacy si è concentrata sulla scarsa attenzione alle misure di sicurezza da parte di Pubbliche Amministrazioni, imprese e piattaforme online. Sono stati 1443 i data breach notificati lo scorso anno. Soro ha invitato il Parlamento a pensare di investire su un’infrastruttura cloud pubblica. Inoltre, ha stabilito regole per esercitare il diritto di accesso civico chiedendo maggiori tutele per coloro che denunciano illeciti tramite lo strumento del “whistleblowing“.
Per il nuovo censimento permanente, l’Autorità chiede di irrobustire la tutela dell’ingente mole di dati raccolti ed il miglioramento delle tecniche di pseudonimizzazione dei dati stessi.
Significativo anche il lavoro dell’Autorità sui possibili rischi legati all’utilizzo di assistenti digitali, installati su smartphone e presenti nelle nostre case. E’ stato firmato un protocollo d’intesa con alcuni Co.Re.Com. per combattere il cyberbullismo e sono state fornite indicazioni su come difendersi dai software dannosi, soprattutto dai ransomware, programmi che prendono in ostaggio un dispositivo allo scopo di chiedere un riscatto per liberarlo.
E’ stata potenziata la cooperazione con l’intelligence attraverso il nuovo protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis.
Sul fronte del settore Giustizia, il Garante propone “misure per assicurare maggiori garanzie nell’uso dei trojan (captatori informatici) a fini investigativi” evidenziando al Ministro della Giustizia la necessità di una riforma per l’uso di questi strumenti d’indagine invasivi, considerando oltretutto i gravi rischi di un loro utilizzo distorsivo (come quelli emersi nel caso “Exodus“).
Il Garante Privacy è intervenuto con forza anche nei settori della Sanità, PA, sistema fiscale, in particolare per l’accesso all’archivio dei rapporti finanziari per l’ISEE precompilato e al sistema di fatturazione elettronica, welfare, gestione del reddito di cittadinanza.
E’ stata ulteriormente rafforzata l’attività a tutela del diritto all’oblio ed un importante capitolo ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto spesso per criticare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per garantire le opportune tutele soprattutto nei confronti delle vittime di abusi sessuali (specie se minori).
VIOLAZIONI DEI DATI: SANZIONI A FACEBOOK, TIK TOK SOTTO STRETTA OSSERVAZIONE
Fra le varie sanzioni applicate nel 2019, il Garante Privacy ha ricordato quella di un milione di euro applicata a Facebook, a conclusione dell’istruttoria sulla vicenda “Cambridge Analytica”, che ha coinvolto anche cittadini italiani per violazioni online e rischi di profilazioni occulte.
Per fronteggiare pericoli similari, il social network cinese Tik Tok (usato da milioni di utenti, soprattutto giovanissimi) resta sotto osservazione: il Garante ha costituito una task force nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’UE (Edpb).
Restano sotto osservazione anche le misure di sicurezza implementate da piattaforme, imprese e pubbliche amministrazioni.
Il 2019 ha visto il Garante costantemente impegnato nel supportare imprese e pubbliche amministrazioni con un’intensa attività di formazione, anche tramite progetti di cooperazione internazionale (T4Data e Smedata), per la corretta applicazione del Regolamento Ue, in particolare riguardo alla nuova figura del Responsabile della protezione dei dati.
Se, nel 2019, gli attacchi informatici sono cresciuti del 91,5% nell’ambito dei servizi online e del cloud, gli atti di sabotaggio/spionaggio sono addirittura triplicati rispetto al 2018.
La pandemia Covid-19 ha ulteriormente intensificato questo fenomeno che si è rivolto ai danni di strutture sanitarie di eccellenza italiane (atti definibili ‘terroristici’).
In Italia, sono troppi i sistemi informatici vulnerabili (soprattutto quelli pubblici): il data breach dell’Inps è emblematico, in questo senso. La protezione dei dati, dei sistemi e delle infrastrutture devono costituire un obiettivo prioritario delle politiche pubbliche.
TUTELA DEI CONSUMATORI, PRIVACY E COVID-19
A tutela dei consumatori, l’Autorità ha messo in atto un significativo intervento per contrastare il telemarketing aggressivo (per cui ha applicato una sanzione di 27,8 milioni di euro e un’altra di 11,5 milioni di euro ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso).
Non ultima la questione Privacy e Covid-19. L’emergenza sanitaria ha imposto una riflessione sull’equilibrio tra diritto alla salute e tutela dei dati personali con l’uso delle tecnologie. Il presidente Antonello Soro ha rassicurato che alcune deroghe alla privacy (necessarie in tempi di emergenza) sono assolutamente temporanee. Per tutelare i consumatori, sono state varate nuove regole allo scopo di imporre trasparenza sul sistema degli algoritmi.
Soro si è dichiarato favorevole alla moratoria (proposta ma non più attuata dalla Commissione UE) sul tema del riconoscimento facciale. Spesso, si ignorano le implicazioni della biometria cosiddetta ‘facilitativa’ (dalla geolocalizzazione alla sempre più penetrante profilazione). Saranno importanti le scelte per regolare e legittimare l’uso del riconoscimento facciale a fini di Polizia.
Il Garante Privacy parla di ‘umanesimo digitale‘ sottolineando che “la protezione dati assume una sempre più insostituibile funzione di salvaguardia dello Stato di diritto, di fronte alle continue tensioni imposte dalla sinergia di tecnica, potere e persino emergenza, essendo strumento di governo non solo dell’identità individuale, ma anche dell’umanità rispetto alla potenza di calcolo”.
RELAZIONE ANNUALE 2019 DEL GARANTE PRIVACY IN CIFRE
Riportiamo i dati significativi riferiti all’attività svolta dal Garante Privacy lo scorso anno:
– 232 provvedimenti collegiali;
– 46 pareri resi in merito ad atti regolamentari ed amministrativi tra cui attività di Polizia e sicurezza nazionale, casellario giudiziale, raccolta delle impronte digitali dei dipendenti pubblici, istruzione, reddito di cittadinanza;
– 33 pareri resi ai sensi della normativa sulla trasparenza;
– 9 comunicazioni di notizie di reato (dichiarazioni e notificazioni false al Garante, inosservanze dei provvedimenti del Garante, accessi abusivi a sistemi informativi) con 36 ordinanze di ingiunzione;
– più di 8.000 riscontri forniti a segnalazioni e reclami tra cui sicurezza informatica, marketing telefonico, sanità, settore bancario e finanziario;
– 147 ispezioni effettuate anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza che hanno interessato diversi settori in ambito pubblico e privato;
– 15.800 riscontri a quesiti relativi all’attività di relazione con il pubblico (tra cui questioni legate a telefonate, mail, fax e sms promozionali indesiderati, videosorveglianza, Internet, dati bancari).
ATTIVITÀ SVOLTA DAL GARANTE A LIVELLO INTERNAZIONALE
Non meno importante ed intensa è stata l’attività del Garante a livello internazionale attraverso 137 riunioni nel 2019 e diverse azioni:
– supporto all’applicazione del Regolamento UE in materia di protezione dei dati (EDPB) e dei meccanismi di cooperazione (“sportello unico”) e coerenza previsti dallo stesso Regolamento;
– attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti);
– contributo nell’adozione di numerose linee guida e pareri su temi di primo piano: codici di condotta, contratti online, principi di privacy by design e by default, videosorveglianza, trasferimenti di dati verso Paesi extra-UE basati su norme vincolanti d’impresa (Bcr);
– interazione tra Regolamento europeo e Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva e-Privacy);
– contributo all‘OCSE, incentrato soprattutto sulla sicurezza e tutela della privacy nell’economia digitale e sulla protezione dei minori online;
– attività intensificata riguardo alla collaborazione con gruppi internazionali (tra cui, Global Privacy Enforcement Network, GPEN);
– attività per il Consiglio d’Europa con il proseguimento del lavoro di follow up del Protocollo emendativo della Convenzione 108 che ha avviato la cosiddetta “Convenzione 108+”. Il Comitato consultivo della Convenzione 108 ha adottato Linee guida in tema di intelligenza artificiale e il parere sulla bozza di secondo protocollo addizionale alla Convenzione di Budapest sul cybercrime.
