Sintesi quali-quantitativa dei risultati dell’attività svolta dall’Authority italiana per la protezione dei dati personali nel 2018.

Condividi

Sommario. 1. Introduzione – 2. Gli interventi più rilevanti. – 3. Le cifre. – 4. L’attività internazionale.  –  5. Considerazioni finali.

 

The new technologies, which have enabled extraordinary and indispensable results for humanity, have gradually transferred to digital space a significant part of private and public activities. Managing innovation in terms of personal protection and freedom is, therefore, the real objective, on which the present and future of our societies depend, from work to health and scientific research, but also to justice, which moreover are already starting to become “predictive”. The Authority’s mission thus acquires more and more importance in dealing with the issue of democracy in the digital society and the distortive effects of slippage, profiling and nudging, from the commercial to the political level.

  1. Introduzione

In concomitanza con la chiusura del settennato del Collegio presieduto da Antonello Soro, l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione sull’attività svolta nel 2018[1] che: illustra i diversi fronti sui quali è stata impegnata in questi anni; fa il punto sullo stato di attuazione della legislazione in materia alla luce del GDPR; indica gli scenari che si aprono per la protezione dei dati personali.

L’Autorità ha sempre perseguito l’obiettivo di rispondere alle sfide poste dai nuovi modelli economici fondati in maniera sempre più invasiva sullo sfruttamento dei dati e, specularmente, alle accresciute esigenze di tutela dei diritti fondamentali delle persone, onde assicurare un’adeguata protezione dei loro dati.

Come noto, il 2018 ha d’altronde rappresentato una tappa di grande importanza con la piena applicazione del GDPR[2] che ha irrobustito la tutela dei diritti per gli individui (natural person)[3] e dilatato le responsabilità per i soggetti, privati o pubblici, che trattano i dati.

  1. Gli interventi più rilevanti.

Conseguentemente gli interventi sono stati polarizzati sulle rilevanti novità normative e sulle grandi questioni legate alla tutela dei diritti e delle libertà delle persone nel mondo digitale: si pensi ad es. alle implicazioni etiche della tecnologia, ai big data, agli algoritmi ad uso sociale, alla pervasività nella raccolta dei dati, nella profilazione on line, talvolta anche pensando alle possibilità di orientare la pubblica opinione, alla cybersecurity, all’Internet delle cose.

Invero nel 2018 si sono anche verificati fatti clamorosi che hanno messo a rischio la sicurezza informatica di milioni di persone in tutto il mondo, tanto che sotto il profilo dei possibili utilizzi illeciti dei dati personali sulle piattaforme social, sono emersi casi paradigmatici: il caso Cambridge Analytica[4], sul quale l’Autorità è intervenuta non solo per accertare le responsabilità, ma soprattutto per aumentare la consapevolezza sui rischi[5] per la libertà delle persone[6]; tanto che il Garante ha avviato un’ampia istruttoria nei confronti di Facebook, riservandosi di valutare l’iter verso un eventuale procedimento sanzionatorio[7].

In tema di tutele dei minori con riferimento alle attività online, il lavoro si è concentrato sui possibili rischi insiti negli smart toys e alla lotta al fenomeno del cyberbullismo. Il Garante, alla luce dei nuovi compiti, ha potuto prescrivere misure e procedure per la rimozione dei contenuti offensivi, siglando inoltre un protocollo di intesa con la Polizia postale e con alcuni Co.Re.Com. onde realizzare una vera e propria rete per la protezione delle giovani vittime che possa effettivamente agire in maniera coordinata e tempestiva.

Non sono mancate indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware, software malevoli diffusi per bloccare un dispositivo elettronico (pc, tablet, smartphone, smart tv), o criptare i dati in esso contenuti (foto, video, file) allo scopo di ottenere un riscatto per sbloccarlo.

Nel mondo del lavoro sono state indicate le garanzie per la raccolta delle impronte digitali per i dipendenti pubblici a fini di lotta all’assenteismo; fissate regole per la geolocalizzazione dei lavoratori e vietati i controlli massivi su mail e smartphone dei dipendenti, così come prassi di valutazione lesive della dignità del lavoratore.

Sul fronte cybersecurity l’attività di vigilanza e intervento è stata molto intensa, in particolare procedendo d’ufficio o a seguito di specifiche segnalazioni relative a violazioni di dati personali (data breach), alcune gravi; fornendo prescrizioni dettagliate per la messa in sicurezza di una piattaforma di partecipazione politica; rafforzando la cooperazione con l’intelligence in ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini; prescrivendo i criteri per l’esercizio del diritto all’oblio e per la sua tutela al di là dei confini UE.

Sulle delicate questioni di trasparenza on line della P.A., le amministrazioni sono state richiamate a rispettare canoni di proporzionalità e di scrupoloso bilanciamento fra obblighi di pubblicità degli atti e dignità delle persone. Inoltre, è stata bloccata la diffusione on line, su siti di amministrazioni pubbliche, di dati sensibili delle persone; sono state fissate precise regole per l’esercizio del diritto di accesso civico; sono state chieste garanzie riguardo al nuovo censimento permanente, che prevede l’integrazione di banche dati e l’uso massivo dei dati dell’intera popolazione; sono state intraprese azioni per aumentare il livello di sicurezza della P.A. digitale e per rafforzare le garanzie per i cittadini nell’attuazione dello Spid[8].

Per quanto riguarda il sistema fiscale, il Garante ha individuato i presupposti e le condizioni necessari affinché l’Agenzia delle entrate avviasse il nuovo obbligo della fatturazione elettronica, in particolare sulle tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti[9]; ha prescritto misure tecniche relative all’accesso alla dichiarazione dei redditi precompilata da parte di contribuenti, Caf e soggetti autorizzati; ha provveduto alla messa in sicurezza delle grandi banche dati pubbliche, in primis quella dell’Anagrafe tributaria.

Per la tutela dei consumatori sono state dettate regole per il trattamento dei dati effettuato attraverso i totem pubblicitari nelle stazioni ferroviarie, proseguendo il contrasto al telemarketing aggressivo con l’applicazione di pesanti sanzioni agli operatori che utilizzano i dati degli abbonati senza il loro consenso; accertando rilevanti illeciti da parte di società di telefonia; svolgendo ispezioni presso diversi call center e suggerendo l’opportunità di modifiche normative per rafforzare le garanzie dei cittadini.

Naturalmente è stata costante l’azione di supporto a imprese e pubbliche amministrazioni e di formazione in vista della definitiva applicazione del GDPR.

 

  1. Le cifre.

Più in dettaglio, nel corso del 2018[10], sono stati adottati 517 provvedimenti collegiali.

Sono stati riscontrati oltre 5.600 quesiti, reclami e segnalazioni in diversi settori: marketing telefonico e cartaceo; centrali rischi; credito al consumo; videosorveglianza; concessionari di pubblico servizio; recupero crediti; settore bancario e finanziario; assicurazioni; lavoro; enti locali; sanità e servizi di assistenza sociale.

I 130 ricorsi, decisi fino all’applicazione del Regolamento Ue 679/2016, hanno riguardato soprattutto editori; datori di lavoro pubblici e privati; banche e società finanziarie; P.a. e concessionari di pubblici servizi; fornitori telefonici e telematici.

Sono stati  resi  28 pareri al Governo e al Parlamento (di cui 5 su norme di rango primario) ed hanno riguardato, inter alia, l’attività di polizia e sicurezza nazionale; il casellario giudiziale; i trattamenti di dati a fini di polizia; le misure antiassenteismo e la raccolta delle impronte digitali dei dipendenti pubblici;  il Programma statistico nazionale; il “bonus cultura”; il Fascicolo sanitario elettronico; la carta di identità elettronica; il Registro tumori; l’Archivio dei rapporti finanziari; l’Anagrafe nazionale dei vaccini; il fisco.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 27, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e illecito controllo a distanza dei lavoratori.

Sono state contestate 707 violazioni amministrative, quasi tutte per trattamento illecito di dati; mancata adozione di misure di sicurezza; violazioni di banche dati; omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; omessa esibizione di documenti, mentre sono state riscosse sanzioni amministrative per oltre 8 milioni 160 mila euro (+ 115% in più rispetto al 2017).

Le 150 ispezioni, effettuate anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche, hanno riguardato numerosi e delicati settori, tra cui nell´ambito privato: trattamenti effettuati da istituti di credito; da società per attività di rating sul rischio e sulla solvibilità delle imprese; dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; da società che svolgono attività di telemarketing; da società di “money transfer”. Particolare attenzione è stata rivolta ai trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app; nel settore pubblico: enti pubblici, soprattutto Comuni e Regioni, che svolgono trattamenti di dati personali mediante app per smartphone e tablet, (con  particolare attenzione all’eventuale profilazione e geolocalizzazione degli utenti); sulle grandi banche dati; sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit; sul sistema informativo dell´Istat e sullo Spid.

Per quanto riguarda l’attività di relazione con il pubblico sono stati riscontrati quasi 23.000 quesiti, relativi agli adempimenti legati all’applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; alla videosorveglianza; al rapporto di lavoro; ai dati bancari.

  1. L’attività internazionale.

A livello internazionale, la nostra Authority ha svolto un ruolo rilevante nel contesto che a livello Ue è stato caratterizzato soprattutto dalla definitiva applicazione del nuovo Regolamento in materia di protezione dei dati (GDPR), il 25 maggio 2018.

Con esso l’Advisory Board, che riuniva le Autorità dei 28 Paesi Ue, è stato sostituito dal “Comitato europeo per la protezione dei dati[11] che ha acquisito un ruolo non solo consultivo, ma anche decisionale e il Garante italiano ha continuato a fornire i propri contributi riguardo all’elaborazione di importanti Linee guida sull’interpretazione e l’applicazione delle disposizioni del GDPR, tra le quali quelle sul consenso; sulla trasparenza; sui registri dei trattamenti; sulla profilazione e le decisioni automatizzate; sull’adeguatezza del Paese terzo in caso di trasferimenti di dati extra Ue; sui data breach.

In particolare, dal 25 maggio 2018, è operativa la sezione GDPR della Piattaforma IMI (Internal Market Information System)[12] e viene utilizzata da tutte le autorità di controllo per garantire una coerente tutela dei dati personali all’interno dell’Unione europea. Inoltre, del 24-25 settembre 2018 il Comitato europeo per la protezione dei dati ha assegnato all’IMI help desk una funzione non solo di supporto tecnico ma anche di complessivo monitoraggio del sistema.

Così attraverso IMI le autorità possono ora contare su uno strumento trasparente, flessibile e sicuro per diverse finalità, quali, ad esempio, identificare l’autorità capofila nel caso di trattamenti transfrontalieri per poi contribuire all’elaborazione di un progetto di decisione condiviso fra l’autorità capofila e le autorità interessate (cd. meccanismo dello sportello unico o one stop shop) oppure assicurare assistenza reciproca attraverso lo scambio di informazioni o condurre indagini e misure di contrasto congiunte.

Infine, allo scopo di favorire un’applicazione coerente del GDPR in tutta l’Unione, la piattaforma verrà utilizzata per consentire alle autorità di controllo di consultare il Comitato europeo per la protezione dei dati al fine di raccoglierne un parere, ad esempio per questioni di applicazione generale o che producono effetti in più di un Paese membro oppure per ottenere una decisione vincolante del Comitato che componga eventuali conflitti fra le stesse autorità di controllo.

Il Garante ha continuato la collaborazione con le altre Authority europee in ordine all’istituzione di meccanismi per la certificazione della protezione dei dati personali. I lavori hanno riguardato in particolare la stesura dei documenti concernenti, rispettivamente, l’identificazione di criteri comuni per accreditare gli organismi di certificazione e i requisiti aggiuntivi per l’accreditamento, ai sensi dell’art. 43, par. 1, lett. b), del GDPR, e quelli aventi ad oggetto l’identificazione di criteri comuni per la certificazione dei trattamenti, che hanno portato all’elaborazione delle Guidelines on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation[13] e delle Guidelines on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679[14].

Di particolare rilievo è stata la scelta effettuata dal legislatore nazionale con il decreto legislativo n. 101/2018[15] che ha individuato in Accredia l’organismo nazionale di accreditamento deputato all’accreditamento degli organismi di certificazione secondo quanto previsto nell’art. 43, par. 1, lett. b), del GDPR (cfr. in particolare art. 2-septiesdecies, d.lgs. n. 101/2018).  Va però evidenziato che il legislatore ha comunque riservato al Garante il potere di assumere direttamente l’esercizio di tali funzioni, mediante deliberazione pubblicata nella Gazzetta ufficiale, con riguardo a particolari categorie di trattamenti o qualora l’Ente unico nazionale di accreditamento non assolva ai suoi compiti.

Rimarchevole anche le altre attività sovranazionali del Garante italiano e cioè per il Consiglio d’Europa, che – attraverso il Comitato presieduto da una rappresentante del Garante italiano – ha portato a termine i lavori tesi alla “modernizzazione” della Convenzione 108 del 1981 sulla protezione dei dati e ha predisposto anche Linee guida in materia di intelligenza artificiale, nonché raccomandazioni per la tutela della privacy nei media; in seno all’OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell’economia digitale; nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN)[16], preposti a interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati.

Infine, nel 2018 il Consiglio d’Europa ha voluto istituire un premio alla memoria del compianto Maestro Stefano Rodotà, destinato a giovani ricercatori per progetti particolarmente innovativi in materia di protezione dei dati.

  1. Considerazioni finali.

Forse mai come ora neutralità, statuto proprietario e, più in generale, sostenibilità etica e giuridica della tecnologia sono divenuti una questione democratica ineludibile[17]. Così come la sovranità si fondava, classicamente, sull’esclusività dell’uso legittimo della forza, oggi si basa sul dominio della potenza di calcolo, che non può quindi sottrarsi a una progettualità etica, politica e soprattutto giuridica.

Ecco che coniugare innovazione e dignità incarna l’obiettivo precipuo dell’Europa, non solo con il codice etico per l’intelligenza artificiale ma soprattutto con i principi fondativi della disciplina di protezione dati[18].

In conclusione, risulta che il “bilancio” presentato fornisca precipuamente la misura di come il nostro Garante debba, ma soprattutto possa incarnare il suo ruolo di partner istituzionale essenziale affinché la modernizzazione del Paese, attraverso il potenziamento delle sue infrastrutture digitali, possa aver luogo nel rispetto dei diritti individuali e delle libertà fondamentali.

 Sergio Guida

[1] Garante per la protezione dei dati personali, Relazione 2018, Roma, 2019.

[2] Regulation (Eu) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

[3] Cfr. Recital 14” The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons” in Regulation (Eu) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation).

[4] Per una disamina completa si veda A. JAYADI, The 2018 Facebook Cambridge Analytica scandal as a case study, Brussels Privacy Hub Working Paper Vol.4 N° 13 October 2018.

[5] Cfr. dispositivo, pag.3 del Provvedimento del 10 gennaio 2019 [9080914] del Garante per la protezione dei dati personali, Cambridge Analytica: conclusa l’istruttoria, il Garante privacy prepara sanzioni, Newsletter n. 449 del 07/02/2019.

[6] Cfr I. LAPOWSKY How Cambridge Analytica sparked the great privacy awakening, in Wired 17/3/19, cit.: “Cambridge Analytica had purchased Facebook data on tens of millions of Americans without their knowledge to build a “psychological warfare tool”.

[7] Redazione ANSA, Caso Cambridge Analytica, Garante Privacy chiede a Facebook più informazioni su italiani coinvolti, 05/04/2018, pag.1.

 

[8] Per una panoramica completa si veda V. Portale, G. Miragliotta, Osservatori Digital Innovation del Politecnico di Milano, SPID (Sistema Pubblico di Identità Digitale), cos’è, a cosa serve e come creare un accountAgenda digitale.eu, 05/02/2019.

[9] Garante per la protezione dei dati personali, Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica, n. 9059949, 15/11/2018.

[10] Cfr. Garante per la protezione dei dati personali, Relazione sull’attività 2018 e Discorso del Presidente, Roma, 2019, Sintesi per la stampa, pag.4.

[11] Cfr., “The EDPB is not simply a rebranded Working Party, but a larger and more important body”, T. Feehan, The WP29 will become the EDPB–but what does that mean?, Interactive Advertising Bureau Europe, 25/07/2016, pag.2.

[12]  Cfr. “Article 1 Subject matter- This Regulation lays down rules for the use of an Internal Market Information System (‘IMI’) for administrative cooperation, including processing of personal data, between competent authorities of the Member States and between competent authorities of the Member States and the Commission.” In the Regulation (EU) No 1024/2012 of the European Parliament and of the Council of 25 October 2012 on administrative cooperation through the Internal Market Information System and repealing Commission Decision 2008/49/EC (‘the IMI Regulation’).

[13] European Data Protection Board, Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679),14/12/2018.

[14] European Data Protection Board, Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the General Data Protection Regulation (2016/679), 30/05/2018.

[15] Decreto Legislativo 10 agosto 2018, n. 101, Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129), GU Serie Generale n.205 del 04/09/2018.

[16] Cfr. “In June 2007, OECD governments adopted a Recommendation on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy. The Recommendation called for member countries to foster the establishment of an informal network of Privacy Enforcement Authorities”.”The GPEN was formed in 2010 in response to that OECD”, pag.1 in L.F. de la Torre, What is the ‘Global Privacy Enforcement Network’(GPEN)?, Medium.com, 18/03/2019.

[17] Garante per la protezione dei dati personali, L’universo dei dati e la libertà della persona. Discorso del Presidente Antonello Soro Relazione 2018, Roma, 2019. Pag. 6.

[18] Garante per la protezione dei dati personali, L’universo dei dati e la libertà della persona. Discorso del Presidente Antonello Soro Relazione 2018, Roma, 2019, ibidem.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *