“La protezione dei dati è stata uno dei pilastri del modello europeo di governo dell’emergenza, che in snodi importanti come le scelte sul contact tracing o sul green pass ha suggerito la direzione più conforme al personalismo sotteso alla costruzione europea. Sul terreno dell’emergenza sanitaria si è infatti misurata, fino in fondo, la capacità tutta europea di coniugare libertà e solidarietà senza consentire prevaricazioni dell’una sull’altra. E in questo gioco di equilibri in continua ridefinizione, la privacy ha dimostrato di essere un diritto mai tiranno, duttile nelle soluzioni di volta in volta richieste ma rigoroso nei principi e nel significato ultimo: promuovere la sinergia tra innovazione e libertà, collocando sempre – come ci ha ricordato il Presidente della Repubblica e analogamente al preambolo della Carta di Nizza – la persona al centro”. Lo ha affermato il presidente del Garante privacy Pasquale Stanzione nel discorso (SCARICA QUI LO SPEECH COMPLETO) con cui ha introdotto la presentazione della Relazione sull’attività svolta nel secondo anno di mandato del Collegio dell’Autorità Garante per la protezione dei dati personali composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza.
Nel 2021 sono stati adottati 448 provvedimenti collegiali (con un aumento di oltre 56% rispetto all’anno precedente). L’Autorità ha fornito riscontro a 9.184 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati online delle pubbliche amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro.
I pareri resi dal Collegio su atti normativi e amministrativi sono stati 72, tra cui 7 pareri su norme di rango primario: in particolare, riguardo a digitalizzazione della Pa, giustizia, open data.
I provvedimenti correttivi e sanzionatori sono stati 388. Le sanzioni riscosse sono state di circa 13 milioni 500 mila euro.
Stanzione: “Confronto col governo sull’attuazione del Pnrr”
“La varietà dei contesti istituzionali in cui il contributo del Garante viene richiesto dimostra come si stia, progressivamente, diffondendo la consapevolezza dell’esigenza di progettare le riforme, in qualsiasi campo, secondo una prospettiva privacy-oriented, per promuovere innovazioni che siano realmente inclusive e non determinino, sia pur per mera preterintenzione, discriminazioni”, ha detto Stanzione.
“Costruttivo e determinante”, ha proseguito il Garante privacy, è stato il confronto tra Camere, Governo e Garante su temi chiave come il telemarketing illecito e il fisco, e “ancor più rilevante è e continuerà ad essere il confronto tra Camere, Governo e Garante sui provvedimenti attuativi del Pnrr, su alcuni dei quali (in particolare sull’innovazione della p.a. e la sanità digitale) l’Autorità si è già pronunciata”
“Il Garante è pronto a supportare le amministrazioni in questo passaggio così determinante, nella consapevolezza di come la protezione dati abbia rappresentato sinora un fattore unificante (perché impone uniformità di garanzie), a fronte della frammentazione che, spesso, ha caratterizzato il processo di digitalizzazione nel nostro Paese, replicando se non addirittura accentuando la disomogeneità, su base territoriale, nel livello di prestazioni erogate”, ha affermato Stanzione.
La tutela dei diritti fondamentali delle persone nel mondo digitale
La Relazione illustra i diversi fronti sui quali è stata impegnata l’Autorità nel corso di un anno caratterizzato ancora dall’impatto dell’emergenza sanitaria su tutti i settori della vita nazionale e dal ricorso massiccio alle piattaforme online. La necessità di assicurare, da una parte, un funzionale trattamento dei dati – in particolare di quelli sulla salute – e il rispetto del regolamento Ue Gdpr e, dall’altra, di garantire il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento al momento di fornire pareri o di indicare misure di garanzia per tutelare i diritti della persona.
Il 2021 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; gli scenari tracciati dalle neuroscienze; la sicurezza dei sistemi e la protezione dello spazio cibernetico; il diffondersi di sistemi di riconoscimento facciale; la monetizzazione delle informazioni personali; il fenomeni del revenge porn e dello sharenting.
Gli interventi principali e le sanzioni
Sul fronte della tutela online dei minori nell’anno trascorso è proseguita l’azione di vigilanza sull’età di iscrizione ai social. L’Autorità ha imposto a Tik Tok misure per tenere fuori dalla piattaforma gli utenti giovanissimi, facendo rimuovere centinaia di migliaia di account di iscritti sotto i tredici anni.
Particolare attenzione è stata posta all’uso dei dati biometrici e al riconoscimento facciale. L’Autorità ha sanzionato per 20 milioni di euro per Clearview, società specializzata in riconoscimento facciale che acquisisce dati sul web e le ha vietato l’uso dei dati biometrici e il monitoraggio degli italiani.
Per quanto riguarda l’uso di sistemi di riconoscimento facciale a fini di sicurezza pubblica, l’Autorità si è opposta all’uso del sistema Sari Real Time perché privo delle necessarie garanzie a tutela della libertà delle persone e non conforme alla normativa sulla protezione dei dati. E ha autorizzato l’uso delle body cam per le Forze di Polizia, ma senza l’uso dei dati biometrici.
Nel 2021, il legislatore ha affidato al Garante il compito di intervenire anche preventivamente per contrastare il fenomeno del revenge porn e aiutare le persone che temono la diffusione di foto o video intimi senza il loro consenso, legittimando anche gli ultra-quattordicenni a presentare istanza al Garante.
A tutela delle vittime di cyberbullismo, l’Autorità assicura, sulla base della legge n.71/2017 procedure di intervento e ha proseguito nel lavoro di sensibilizzazione per il contrasto al fenomeno.
I richiami sulla cybersicurezza e i data breach
Di fronte all’alto numero di attacchi informatici, il Garante ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha fornito indicazioni, in particolare, su come difendersi dai ransomware, software che prendono “in ostaggio” un dispositivo elettronico per poi “liberarlo” a fronte del pagamento di somme di denaro. Una minaccia, questa, che si è particolarmente diffusa anche nel nostro Paese.
Significativo a questo proposito il numero dei data breach notificati nel 2021 al Garante da parte di soggetti pubblici e privati: 2071 (con un aumento di circa il 50% rispetto al 2020), molti dei quali relativi alla diffusione di dati sanitari che hanno portato anche a sanzioni. Interventi dell’Autorità hanno riguardato in questo ambito anche grandi piattaforme social come Facebook e LinkedIn.
È proseguito il lavoro svolto per assicurare la protezione dei dati online, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case, sugli Smart glasses lanciati da Facebook, sull’uso dei droni a fini privati o di sicurezza pubblica. Istruttorie sono state aperte sulle nuove forme di raccolta dati ai fini di rating reputazionale.
Per quanto riguarda la profilazione online, l’Autorità ha approvato, dopo una consultazione pubblica nuove Linee guida in materia di informativa e consenso per l’uso dei cookie.
Sul fronte della cybersecurity, l’Autorità ha avviato la collaborazione con la Agenzia per la cybersicurezza nazionale, con la quale è stato firmato un protocollo di intesa finalizzato allo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica.
Giustizia e sanità: indicazioni sui dati sensibili e i green pass
Nel settore della giustizia, l’Autorità ha nuovamente espresso la necessità di una riforma della disciplina sulla conservazione dei dati di traffico telefonico e telematico (data retention), oggi fissati in Italia in 6 anni. Ha ottenuto che venissero adottate maggiori tutele per i dati giudiziari e per il processo tributario telematico.
In ambito penitenziario, ha istituito una fattiva collaborazione con il Garante nazionale dei diritti delle persone private della libertà personale, congiuntamente al quale ha richiesto l’adozione di garanzie a tutela della riservatezza dei colloqui dei detenuti.
Nel settore della sanità il Garante ha svolto un’intensa attività dando chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e ha contribuito alla definizione di precise garanzie per l’utilizzo del green pass. Ha fornito pareri positivi sul Registro nazionale dei tumori, sull’Anagrafe nazionale degli assistiti, sul Registro nazionale degli impianti protesici e ottenuto garanzie per i pazienti nella formazione del Fascicolo sanitario elettronico.
Pubblica amministrazione: i pareri su App Io e Spid ai minori
Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Ha fornito parerei sull’App Io, sullo Spid ai minori, sulle Anagrafi delle istruzioni, sulla piattaforma digitale per la notifica degli atti.
Significativi i pareri resi dal Garante in materia di politiche sociali come la Carta europea della disabilità, la Carta dello studente, e a favore delle associazioni no profit.
Relativamente al sistema della fiscalità, l’Autorità ha chiesto maggiori garanzie per la memorizzazione dei dati dei contribuenti contenuti nelle fatture elettroniche e ha dato indicazioni per migliorare gli standard di esattezza e qualità dei dati trattati a fini fiscali.
Nel 2021 è stato adottato definitivamente il Codice di condotta per le informazioni commerciali.
Call center, piattaforme di delivery e telemarketing selvaggio: fioccano le sanzioni
Nel mondo del lavoro in materia di controllo a distanza, il Garante è intervenuto a tutela dei call center e delle piattaforme di delivery, con due sanzioni per complessivi 5 milioni e 100 mila euro. Il Garante è anche intervenuto per chiedere che ai lavoratori vengano fornite adeguate informazioni sui sistemi aziendali in uso.
Sul fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (per un importo complessivo di 38 milioni di euro nel solo 2021), la maggior parte delle quali riguardano utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere una sorta di “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità.
Cronaca e diritto all’oblio
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele, innanzitutto a protezione dei minori. Si è, inoltre, rafforzata ulteriormente l’attività a tutela del diritto all’oblio, garantendo comunque la salvaguardia degli archivi on line dei giornali.
Il 2021 ha visto il Garante proseguire nell’azione di supporto a imprese e pubbliche amministrazioni con un’attività di promozione delle tematiche privacy, in particolare nei confronti dei consumatori: è stata infatti siglata una convenzione con il Mise nell’ambito della quale si stanno portando avanti una serie di importanti iniziative.
Il Garante si è impegnato anche in un’azione di semplificazione, attraverso icone, dei modelli di informativa privacy e ha dato vita ad un contest, il primo in Europa, che ha portato alla realizzazione di esempi chiari e sintetici messi a disposizione dei soggetti pubblici e privati che vogliano adottarli.
Per quanto riguarda l’attività di informazione e comunicazione istituzionale, nel 2021 l’Autorità ha diffuso 85 comunicati stampa, 14 Newsletter, realizzato 14 campagne informative e prodotto 21 tra spot e video sui temi di maggiore interesse per il pubblico.
Il 2021 del Garante privacy
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 12 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori; accessi abusivi a sistemi informatici o telematici; trattamento illecito dei dati; falsità nelle dichiarazioni; inosservanza dei provvedimenti del Garante.
Le ispezioni effettuate nel 2021 sono state 49, avendo subito l’impatto dell’emergenza pandemica. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, fatturazione elettronica; fornitori di banche dati; videosorveglianza domestica; banche dati reputazionali; marketing e profilazione; data breach; food delivery.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 18.700 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue, il telemarketing indesiderato; il rapporto di lavoro pubblico e privato; l’attività dei Responsabili del trattamento.
Oltre 5 milioni e 800 mila gli accessi al sito web dell’Autorità.
Non meno rilevante e intensa l’attività del Garante a livello internazionale, con n. 281 riunioni, svoltesi per la massima parte in modalità virtuale a causa della pandemia da Covid-19.
Nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dello Spazio Economico Europeo, il Garante ha contribuito all’adozione di linee-guida su tematiche complesse. Tra le più importanti: le auto connesse e gli assistenti vocali; le regole per gestire i data breach; il trasferimento dei dati verso Paesi terzi; la procedura di cooperazione (“sportello unico”).
Fra i più importanti pareri resi dall’Edpb e ai quali ha contribuito il Garante, vanno citati quelli sulle proposte di Regolamento Ue per l’intelligenza artificiale e la governance dei dati; sull’utilizzo di clausole contrattuali per il trasferimento dei dati extra Ue; sulla proposta di regolamento che disciplina l’emissione, la validità e l’interoperabilità dei green pass; sull’adozione dei codici di condotta per i responsabili del trattamento.
Il Comitato è intervenuto sulle proposte elaborate in sede Ue riguardanti i servizi digitali e la strategia per i dati (Digital services act, Digital markets act, Data governance act, Data act).
Vanno segnalate inoltre due importanti decisioni vincolanti che l’Edpb ha assunto nel 2021 per dirimere controversie sorte fra le autorità competenti (casi WhatsApp e Facebook Ireland).
Nel corso del 2021 è proseguito anche il lavoro svolto sull’interazione tra Regolamento europeo e Direttiva in materia di privacy e comunicazioni elettroniche (direttiva e-Privacy).
Da sottolineare l’attività del Garante italiano per il Consiglio d’Europa, che – attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante dell’Autorità – ha adottato le Linee guida in materia di riconoscimento facciale e le Linee guida sulla protezione dei dati nell’ambito delle campagne politiche. Significativo il contributo dato in seno all’Ocse, non soltanto rispetto al coordinamento delle attività legate alla lotta contro il Covid-19, ma soprattutto ai fini della revisione delle Linee guida in materia di privacy e della Raccomandazione sulla protezione dei minori on line.
Occorre infine ricordare il contributo reso dal Garante alla definizione della posizione italiana in rapporto alle numerose richieste di rinvio pregiudiziale su questioni attinenti la protezione dei dati che sono state indirizzate alla Corte di giustizia Ue nel corso del 2021 dalle autorità giudiziarie di molti paesi Ue.
