La pandemia ha segnato un punto di non ritorno: il momento fondativo di una nuova consapevolezza sulla protezione dei dati e sul ruolo che la tecnologia gioca nelle nostre vite. La Relazione Annuale del Garante Privacy, presentata oggi al Parlamento, prende le mosse da questo assunto.
“Ed è bene che da questa consapevolezza nasca un approccio diverso al rapporto tra uomo e tecnica, che sappia fare tesoro di tutto ciò che abbiamo vissuto, nel bene e nel male, in questi mesi – ha sottolineato Antonello Soro nel suo discorso – Le distanze fisiche non sono divenute sociali grazie alla realizzazione, su innumerevoli piattaforme, di sale riunioni in cui lavorare senza rinunciare al confronto o classi dove formare ragazzi da remoto”.
Secondo Soro l’inattesa accelerazione impressa dalla pandemia alla transizione digitale impone di ripensare, con altrettanta tempestività, “il nostro modo di concepire questa nuova dimensione della vita, ormai sempre più indistinguibile da quella tradizionale, le cui coordinate godono tuttavia della solidità assicurata da prassi radicate”.
Le implicazioni dello smart working
L’attenzione va concentrata, in primo luogo, sullo smart working, modalità di lavoro nella quale è stata catapultata una quota significativa della popolazione . “Potendo favorire una nuova articolazione dei processi produttivi in grado di accrescere efficienza e flessibilità – ha spiegato il Garante – lo smartworking potrebbe ragionevolmente divenire una forma diffusa, effettivamente alternativa, di organizzazione del lavoro. Per questa ragione andranno seriamente affrontati e risolti tutti i problemi emersi in questi mesi”. A cominciare dalle dotazioni strumentali alla garanzia di connettività, alla sicurezza delle piattaforme, all’effettività del diritto alla disconnessione, “senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa: annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”, ha sottolineato.
“Va, in particolare, inteso in modo rigoroso – ha poi ricordato – il vincolo finalistico all’attività lavorativa che, rispetto ai controlli mediante strumenti utilizzati per rendere la prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa. Per garantire, dunque, che le nuove tecnologie rappresentino un fattore di progresso, e non di regressione sociale, valorizzando anziché comprimendo le libertà affermate sul terreno lavoristico, è indispensabile garantirne la sostenibi-lità sotto il profilo democratico e la conformità ad alcuni irrinunciabili principi
Contact tracing
Il via libera con alcuni chiarimenti dato all’App Immuni ha evidenziato le necessità di trovare un equilibrio tra tracciamento e tutela dei dati. “Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal molto evocato modello coreano a quello cinese – ha detto – scambiando la rinuncia a ogni libertà per efficienza e la biosorveglianza totalitaria per soluzione salvifica. Così, una volta cessata questa difficile stagione, avremo forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo”.
Telemarketing
Soro ha ricordato gli sforzi del Garante messi in campo per arginare il fenomeno del telemarketing selvaggio. “ Due tra le più elevate sanzioni irrogate quest’anno (una di oltre 27 e l’altradi oltre 11 milioni di euro) – ha ricordato – hanno, infatti, riguardato questo fenomeno, spesso indice sintomatico di una più generale negligenza rispetto agli obblighi sanciti in materia di protezione dati. Tale inosservanza è tanto più grave quanto più rile-vante sia il patrimonio informativo societario che, in assenza di rigorose misure”.
Protezione dati e sovranità digitale
Su temi come privacy e sovranità digitale, che toccano profondamente tanto la sicurezza collettiva quanto quella individuale, secondo Soro, l’Europa deve saper parlare con una voce sola, riflettendo quell’ambizione, insieme unificante e identitaria sottesa al Gdpr. “La fragilità strutturale e la scarsa consapevolezza dei potenziali bersagli di attività massive di malware acuisce, poi, la gravità degli attacchi, già rafforzata dal ricorso ad insidiose tecniche di intelligenza artificiale”, ha spiegato il Garante, ricordando che gli attacchi sono ulteriormente cresciuti nello scorso anno: persino del 91,5% nel settore dei servizi on line e del cloud.
“In un contesto in cui le tecnologie Ict sono divenute , sempre più chiaramente con la pandemia , la principale infrastruttura di ciascun Paese – ammonisce Soro – assicurarne una regolazione sostenibile e adeguata, tale da garantire sicurezza,indipendenza dai poteri privati, soggezione alla giurisdizione interna, diviene un obiettivo non più eludibile”.
E questo, tanto più in ragione dei limiti che il consenso incontra rispetto alla biometria cosiddetta facilitativa, di cui spesso si ignorano le implicazioni: dalla ubiquitaria geolocalizzazione alla sempre più penetrante profilazione.
“Il tutto, in un contesto di generale asimmetria informativa tra soggetto passivo e attivo della raccolta dei dati, in cui le tradizionali diseguaglianze rischiano di ripresentarsi in forma tanto più incisiva quanto più sottile – ha concluso – Sarà dunque determinante, in questo senso, il rispetto dei principi di necessità e proporzionalità nel ricorso a tali misure: criteri essenziali su cui le Corti europee hanno sinora fondato un rapporto armonico tra libertà, tecnologia e sicurezza. E saranno importanti le scelte regolatorie che dovessero, eventualmente,legittimare l’uso del riconoscimento facciale a fini di polizia”.
Gli eventi chiave del 2019
Il 2019 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la pervasività delle diverse forme di controllo e sorveglianza; il ricorso sempre più diffuso ai dati biometrici; la monetizzazione delle informazioni personali; le fake news; l’Internet delle cose; il revenge porn.
Sul fronte delle violazioni dei dati on line e sui rischi di profilazioni occulte l’anno trascorso ha registrato la sanzione di 1 milione di euro applicata a Facebook per le violazioni emerse nell’ambito dell’istruttoria relativa all’ormai nota vicenda “Cambridge Analytica”, che ha interessato anche cittadini italiani.
Riguardo ai pericoli posti da Tik Tok, il social network cinese che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, in gran parte
giovanissimi, il Garante ha chiesto e ottenuto la costituzione di una specifica task force nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’Unione (Edpb).
Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità.
Significativo a questo proposito il numero dei data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati: 1443.
L’Autorità ha prescritto ad una società che offre servizi di posta elettronica certificata di adottare rigorose misure per la messa in sicurezza del proprio servizio pec e di sanare le vulnerabilità emerse durante un accertamento ispettivo.
Sempre nel 2019, il Garante ha inoltre dato una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.
In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata rafforzata la cooperazione con l’intelligence con il nuovo protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis.
E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case. Per contrastare il fenomeno del cyberbullismo è stato stipulato un protocollo d’intesa con alcuni Co.Re.Com. con l’obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto (ransom, in inglese) per “liberarlo”. Una minaccia, questa, particolarmente pericolosa nell’epoca del Covid-19 che ha portato molte più persone e per molto più tempo ad essere connesse online.
Nel 2019 si è rafforzata ulteriormente l’attività a tutela del diritto all’oblio e si è sviluppato il confronto in ambito internazionale riguardo ad una sua protezione al di là dei confini europei.
Nel mondo del lavoro il Garante ha definito le garanzie per la raccolta delle impronte digitali dei dipendenti pubblici a fini di lotta all’assenteismo e ha fissato le regole per l’uso delle nuove tecnologie, con particolare riguardo al controllo dei lavoratori e alla gestione della posta elettronica.
Nel settore della giustizia l’Autorità ha proposto misure per assicurare maggiori garanzie nell’uso dei captatori informatici (trojan) a fini investigativi e ha segnalato al Ministro della Giustizia la necessità di una riforma organica per questi strumenti di indagine particolarmente invasivi, anche per limitare i gravi rischi di un loro uso distorsivo emersi da ultimo nel caso “Exodus”. Nel settore della sanità il Garante è intervenuto a dare chiarimenti a cittadini, medici, asl e soggetti privati, sulle novità introdotte dal Regolamento Ue e dalla normativa nazionale.
Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Ha fissato precise regole per l’esercizio del
diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Per il nuovo censimento permanente l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.
Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Sono state varate nuove regole a tutela dei consumatori censiti nei sistemi di informazione creditizia, per rispondere alle sfide della digital economy e imporre trasparenza sul funzionamento degli algoritmi.