Le sfide del Garante della Privacy nell’era della digitalizzazione e dell’Intelligenza Artificiale

La diffusione dei sistemi di IA nel rispetto dei diritti della persona

Nella Relazione per le attività svolte nel 2023, presentata dal Garante per la protezione dei dati personali al Parlamento e al Governo il 3 luglio 2024, irrompe, con tutta la sua carica di innovatività e complessità, la questione relativa alla rapida espansione dei sistemi di Intelligenza Artificiale e alla loro profonda incidenza sulla vita degli individui e della collettività. Non a caso il 2023 è stato definito come “l’anno della diffusione massiva dell’intelligenza artificiale” (cfr. Relazione del Presidente Pasquale Stanzione - 2023), motivo per cui, secondo il Garante, risulta imprescindibile il ruolo del diritto nel delineare i limiti allo sviluppo e all’impiego incontrollato delle nuove tecnologie.

Da questo punto di vista, l’Autorità ha più volte richiamato il dibattito in corso sulla necessità di trovare un punto di equilibrio tra innovazione e regolazione, volto a garantire la centralità della persona umana, ed indicato come particolarmente rilevanti i passi in avanti fatti nella definizione di un quadro regolatorio a livello sovranazionale in materia, con particolare riferimento ai lavori che hanno portato all’approvazione del Regolamento europeo sull’IA (il c.d. AI Act, ossia il Regolamento (UE) 2024/1689), nonché alla definizione nell’ambito del Consiglio d’Europa di una Convenzione quadro dedicata all’IA  e ai diritti umani, democrazia e Stato di diritto.

Riguardo al Regolamento sull’IA e agli interventi rimessi ai legislatori nazionali, nella Relazione viene confermata la posizione del Garante, già espressa in più occasioni, secondo cui andrebbe posta particolare attenzione alla questione dell’individuazione a livello nazionale dell’autorità competente in materia di IA e del coordinamento con le altre autorità di controllo, considerata, da un lato, la piena indipendenza che caratterizza autorità come quella di protezione dati e, da un altro, la profonda interconnessione tra le tematiche relative al trattamento dei dati personali e al funzionamento dei sistemi di intelligenza artificiale, in particolare ad alto rischio, che spesso sono utilizzati nell’ambito di processi decisionali automatizzati (v. l’art. 22 del Regolamento (UE) 2016/679 – GDPR).

Proprio sulla base del fatto che il funzionamento dei sistemi di IA e l’addestramento dei relativi algoritmi si fondano sul trattamento di dati personali, il Garante ha ricordato alcuni importanti provvedimenti inibitori e prescrittivi adottati nel corso dell’anno nei confronti di diversi sistemi e chatbot ritenuti particolarmente pericolosi per i diritti e le libertà degli interessati, specie se minorenni (tra cui grande rilievo anche a livello mediatico hanno assunto quelli relativi a ChatGPT e Replika).

Inoltre, l’Autorità ha sottolineato l’indagine conoscitiva avviata in materia di web scraping, finalizzata ad acquisire contributi circa le misure adottate ed adottabili dai gestori di siti internet e di piattaforme, sia pubblici che privati, rispetto alla raccolta massiva di dati personali da parte di società che sviluppano sistemi di intelligenza artificiale generativa, per finalità di addestramento dei relativi algoritmi.

Infine, nella Relazione viene segnalata l’avvenuta adozione di un “decalogo” per la realizzazione di servizi sanitari nazionali attraverso sistemi di IA, mediante il quale sono stati evidenziati i principi che presiedono al corretto utilizzo dei dati personali mediante tali sistemi: conoscibilità e trasparenza dei processi decisionali automatizzati, non esclusività della decisione algoritmica (necessità di supervisione dell’uomo, c.d. human in the loop), divieto di discriminazione algoritmica (riduzione del rischio di errori e distorsioni o bias).

Gli interventi relativi alla sanità digitale e alla ricerca scientifica

Come rilevato nella Relazione del Garante, l'intelligenza artificiale risulta essere impiegata in maniera sempre più frequente in ambito sanitario, nel quale si sta assistendo ad un progressivo processo di digitalizzazione dei servizi, che rende necessario un innalzamento dei presidi posti a tutela dei dati e diritti di utenti e pazienti.

In tal settore, l'Autorità è dovuta intervenire più volte in relazione, tra gli altri, alla riforma del Fascicolo sanitario elettronico (FSE) 2.0 e alla realizzazione del sistema nazionale di telemedicina, che si collocano nelle azioni di attuazione della Missione 6 (Salute) del PNRR. In particolare, il Garante ha rilevato per questi ambiti la necessità di procedere ad un coordinamento normativo delle disposizioni di attuazione dei diversi strumenti di sanità digitale, in modo da garantire con riferimento all'interconnessione prevista tra i sistemi informativi sanitari e il FSE l'uniforme applicazione dei principi generali del trattamento (specie con riferimento alla corretta individuazione di ruoli, responsabilità e compiti dei soggetti a vario titolo coinvolti) e l'adozione di adeguate misure organizzative e tecniche, al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati, in osservanza dei criteri di privacy by design/default.

Come evidenziato anche nella citata Relazione del Presidente dell'Autorità, questi presidi vanno garantiti non solo in relazione all'indicato processo di digitalizzazione della sanità e di condivisione dei dati della salute degli individui a fini di diagnosi e cura (come prevede anche la proposta di Regolamento sullo spazio europeo dei dati sanitari), ma anche per quanto concerne l'utilizzo di tali dati a fini di ricerca scientifica, richiamando l'attenzione sulle cautele da adottare per evitare il rischio di re-identificazione degli interessati e di discriminazione per gruppi.

Nella Relazione vengono illustrati i diversi provvedimenti adottati in questo campo e, in particolare, per quanto riguarda il trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica nei casi di impossibilità all'acquisizione del consenso da parte dei pazienti arruolati, in quanto deceduti o non contattabili (v. l'art. 110 del d.lgs. n. 196/2003 – Codice Privacy). L'Autorità ha richiamato anche la recente riforma della disciplina dell'uso dei dati personali a fini di ricerca scientifica, che ha escluso la preventiva consultazione del Garante anche in assenza del consenso dell'interessato, prevedendo una maggiore responsabilizzazione dei ricercatori riguardo alla verifica dei presupposti di liceità del trattamento al rispetto delle regole deontologiche previste per tale settore.

Sempre con riguardo al trattamento dei dati sulla salute, tra i vari interventi legislativi, l'Autorità ha infine posto l'accento sulla nuova disciplina relativa al diritto all'oblio oncologico (legge 7 dicembre 2023, n. 193), la quale, nel dettare le disposizioni per la prevenzione delle discriminazioni e la tutela dei diritti delle persone guarite da malattie oncologiche, ha riconosciuto il diritto di queste persone di non fornire informazioni né subire indagini in merito alla propria pregressa condizione patologica ed ha attribuito al Garante il compito di vigliare sulla concreta attuazione di tali disposizioni.

La particolare protezione riservata ai soggetti vulnerabili

In un mondo pervaso dalle nuove tecnologie, l’Autorità ha ritenuto di mettere in evidenza anche una serie di attività svolte nel 2023 allo scopo di garantire una tutela rafforzata degli individui che necessitano di una particolare attenzione, in ragione della loro pronunciata vulnerabilità. In questa direzione, il Garante ha segnalato alcuni interventi, quali:

- il provvedimento (anche sanzionatorio) adottato in relazione alla vicenda del c.d. “cimitero dei feti”, legata all’indicazione dei nomi di donne che avevano effettuato un intervento di interruzione di gravidanza su targhette apposte sulle sepolture dei feti presso un cimitero romano e al rischio di rivelazione di informazioni personali particolarmente delicate, relative a scelte di ordine esistenziale, etico e, per certi versi, religioso;

- il parere favorevole espresso dall’Autorità, in via d’urgenza, sullo schema di decreto del Ministro dell’istruzione e del merito concernente la disciplina sul trattamento dei dati personali nell’ambito della Piattaforma famiglie e studenti, volta a mettere a disposizione appositi servizi digitali così da garantire il sostegno del diritto allo studio e un effettivo supporto a studenti e studentesse nel percorso di crescita e nello sviluppo delle competenze, nonché di semplificare l’erogazione delle prestazioni a favore di famiglie e studenti;

- l’azione intrapresa dall’Autorità nell’ambito della specifica competenza in materia di revenge porn, per cercare di prevenire ed arginare tale fenomeno (nella Relazione viene sottolineato come l’apposita procedura di segnalazione online presente sul sito web istituzionale del Garante abbia agevolato le modalità di comunicazione da parte degli interessati e contribuito al notevole incremento delle segnalazioni ricevute e dei provvedimenti urgenti diretti ai gestori delle piattaforme coinvolte per ottenere il blocco preventivo del materiale a contenuto sessualmente esplicito oggetto della paventata attività di diffusione.

La privacy nel mondo del lavoro

In linea con quanto appena esposto, dalla Relazione si ricava poi come il Garante abbia dedicato un particolare attenzione alla tutela dei dati e dei diritti dei soggetti vulnerabili in ambito lavorativo, ossia dei lavoratori.

Tra i vari interventi effettuati dall'Autorità in questo ambito durante lo scorso anno, meritano di essere menzionati i numerosi provvedimenti riguardanti il trattamento dei dati personali effettuato mediante la posta elettronica nell'ambito del rapporto di lavoro, che continuano avere impatti rilevanti sull'operatività dei datori di lavoro, titolari di tale trattamento, chiamati ad adottare specifiche cautele nella gestione degli account di posta elettronica dei dipendenti e dei messaggi scambiati tramite gli stessi, considerate le particolari tutele che l'ordinamento prevede per le diverse forme di comunicazione della persona e la difficoltà di definire con certezza una linea di confine tra ambito professionale e quello privato nel contesto lavorativo.

In proposito, nella Relazione viene evidenziata l'importanza del documento di indirizzo adottato dal Garante a fine anno in ordine ai “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, avente l'obiettivo di fornire ai datori di lavoro pubblici e privati indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e con le norme dello Statuto dei lavoratori in tema di controllo di controllo a distanza delle attività lavorative (cfr. il provv. del 21 dicembre 2023, n. 642, che è stato poi oggetto nel 2024 di una consultazione pubblica che ha portato all'adozione del documento definitivo del 6 giugno 2024).

Un altro, rilevante tema attenzionato dall'Autorità in riferimento al contesto lavorativo è stato quello relativo alla nuova disciplina normativa in materia di whistleblowing (d.lgs. n. 24/2023) e al parere favorevole rilasciato dal Garante sullo schema di linee guida elaborate dall'ANAC, relative alle procedure di acquisizione e gestione delle segnalazioni di presunti illeciti (poi adottate in data 12 luglio 2023).

Le tematiche di maggiore interesse in ambito economico

In continuità con le attività svolte negli ultimi anni, nella Relazione viene sottolineato poi l’impegno profuso dal Garante anche nel 2023 per quanto concerne il contrasto del fenomeno del c.d. telemarketing selvaggio (soprattutto nel settore telefonico ed energetico). In tal senso, sono state molteplici le azioni nei confronti degli operatori (dalla committenza, agli intermediari, fino all’ultimo anello della catena, ossia i call center), le quali hanno confermato il problema della carenza di una vera e propria catena di controllo che impedisca alle imprese di utilizzare i contatti acquisiti in violazione delle norme. In materia, si iscrivono in un trend sicuramente positivo agli occhi del Garante, da un lato, l’avvenuta approvazione del Codice di condotta per le attività di telemarketing e teleselling, volto a promuovere l’accountability del settore, dall’altro, la piena operatività del sistema automatizzato di segnalazioni in materia di telemarketing (avviato nel portale istituzionale nel 2022), che ha consentito all’Autorità di avviare indagini confrontando i dati sistematicamente e periodicamente estratti dalle molte istanze ricevute con alcuni elementi raccolti presso i titolari del trattamento nel corso di attività ispettive o altre indagini.

Passando a tutt’altro settore, rispetto all’insieme di casistiche esaminate dal Garante in ambito economico di cui pure si dà conto nella Relazione (tra cui alcune, complesse questioni relative al rapporto nel contesto finanziario tra la normativa antiriciclaggio e quella sulla protezione dati), è da segnalare, per il suo potenziale, rilevante impatto per gli operatori del settore assicurativo, il provvedimento (n. 520 del 26 ottobre 2023) con il quale l’Autorità ha inteso fornire alcun chiarimenti sulla tematica relativa all’accesso da parte di eredi ai dati identificativi dei beneficiari di polizze stipulate in vita da persone decedute (ai sensi dell’art. 15 del GDPR e dell’art. 2-terdecies, comma 1, del Codice Privacy, che attribuisce  la possibilità di esercitare il diritto di accesso in relazione ai dati riguardanti le persone decedute a “chi ha un interesse proprio […] o per ragioni familiari meritevoli di protezione”). Alla luce anche degli ultimi orientamenti giurisprudenziali emersi sul punto, il Garante ha infatti rivisto parzialmente la sua precedente posizione interpretativa (volta ad escludere la suddetta possibilità) e ritenuto invece possibile un accesso da parte degli eredi ai dati identificativi dei beneficiari di polizze vita del de cuius, in presenza di specifici presupposti e previa attenta valutazione comparativa tra gli interessi in gioco, da effettuarsi a cura della compagnia assicurativa, quale titolare del trattamento (con specifico riguardo alla circostanza che l’erede richiedente sia portatore di un interesse concreto, attuale e strumentale alla difesa di un proprio diritto successorio in sede giudiziaria).

L’incremento dei data breach e delle altre attivita’ del garante

Uno dei fenomeni che desta forte preoccupazione, per come emerge anche dai numeri del 2023 riportati nella Relazione, è quello relativo all’aumento dei casi di violazione dei dati personali, c.d. data breach, molti dei quali hanno interessato proprio il settore sanitario e determinato la diffusione di volumi anche considerevoli di informazioni particolarmente delicate, a causa dell’omessa o negligente attuazione di misure tecniche e organizzative adeguate in termini di sicurezza.

In base a quanto riportato dal Garante, le notifiche di violazioni dei dati personali sono difatti passate dalle 1.351 indicate nella Relazione 2022 alle 2.037 del 2023. La maggior parte delle violazioni notificate, secondo i dati riportati nella relazione di quest’anno, è stata notificata per fasi (notifica preliminare e poi integrativa) e ha riguardato la perdita di riservatezza o di disponibilità dei dati, con particolare riguardo ad attacchi derivanti da malware di tipo ramsomware.

E’ interessante notare come l’incremento delle notifiche dei data breach abbia portato conseguentemente ad un aumento delle relative attività istruttorie del Garante che, nell’ottica della medesima Autorità, ha avuto un duplice scopo: i) verifica dell’adeguatezza delle misure adottate dal titolare del trattamento (o che lo stesso intendeva adottare) per porre rimedio al data breach o per attenuarne i possibili rischi di danno nei confronti degli interessati, e ii) valutazione della necessità di comunicare la violazione agli interessati coinvolti, fornendo loro indicazioni specifiche sulle misure da adottare per proteggersi da eventuali effetti negativi o pregiudizievoli.

Oltre che per i procedimenti relativi alle notifiche dei data breach, in base ai dati riportati nella Relazione, si è assistito nel 2023 ad un incremento, di tipo qualitativo e quantitativo, anche di altre attività del Garante, in particolare delle attività consultive, relative all’adozione di provvedimenti collegiali e alla promozione del diritto alla protezione dei dati presso cittadini, istituzioni, imprese e associazioni, nonché delle procedure di cooperazione tra le autorità di protezione dati in ambito europeo (procedure IMI) per garantire un’armonizzata e rapida azione soprattutto nei casi di trattamenti transfrontalieri di dati e delle attività internazionali (oltre agli organismi da sempre attivamente seguiti dall’Autorità, come il Consiglio d’Europa e l’OCSE, si è registrata la crescita delle attività legate anche alla Global Privacy Assembly e delle iniziative delle autorità di protezione dati dei Paesi G7).

Mentre per le restanti attività (come quelle ispettive) risultano sostanzialmente confermati i numeri del precedente anno (con una lieve inversione di rotta per quanto concerne le risposte ai quesiti), salta all’occhio invece la notevole crescita dei reclami e segnalazioni pervenuti nell’anno all’Autorità, che sono passati dagli indicati 30.880 del 2022 ai 120.311 del 2023 (si sono cioè quadruplicati), di cui la grande maggioranza ha riguardato i settori delle reti telematiche e del marketing. A tale riguardo, desta altresì qualche preoccupazione la sempre più accentuata difficoltà dell’Autorità, con l’attuale organico, di far fronte a tutti i reclami e segnalazioni pervenuti (sono stati registrati circa 19mila riscontri, peraltro anche relativi ad affari pervenuti anteriormente al 2023, a fronte dei ben 120mila reclami/segnalazioni ricevuti).

In conclusione

Come emerge dalla Relazione annuale del Garante per il 2023, le sfide che le nuove tecnologie e, in particolare, l’IA pongono quotidianamente rispetto alla protezione dei dati personali hanno richiesto e continueranno a richiedere un impegno particolarmente intenso da parte dell’Autorità, al fine non solo di fronteggiare la forte accelerazione che si è avuta a livello europeo e nazionale (grazie anche al PNRR) alla digitalizzazione dei servizi in ambito pubblico e privato, ma anche, come ricordato dallo stesso Garante, di arginare, in continuità con il passato, alcuni ambiti che risultano più rischiosi per la protezione dei dati personali (quali, ad esempio, appunto la tutela dei soggetti vulnerabili ed il contrasto al marketing aggressivo). Il compito che attende il Garante è dunque particolarmente delicato, considerate le risorse allo stato a sua disposizione, in quanto costantemente chiamato a trovare, di fronte all’inarrestabile avanzamento del progresso tecnologico, un bilanciamento tra diversi, legittimi e spesso contrapposti interessi, ponendo come sempre al centro, attraverso i presidi previsti dalla protezione dati, la persona umana e la sua dignità.