L’attività svolta nel 2023 dal Garante per la Protezione dei dati personali – sintetizzata nella Relazione annuale presentata alle Camere dal Presidente Pasquale Stanzione -può essere declinata nelle principali attività ordinarie di competenza dell’Autorità.
Adozione di provvedimenti, audizioni, rilascio di pareri, riscontri a segnalazioni e reclami, misure correttive e sanzionatorie, attività di relazioni con il pubblico, cooperazione con le altre Autorità, comunicazione e divulgazione.
Si tratta di una enorme mole di attività ordinaria, spesso sconosciuta ai più.
I numeri della relazione annuale del Garante privacy
I numeri, prima di tutto, possono dare una lettura più chiara e immediata dell’ingente lavoro svolto dall’Autorità Garante; dati ancora più significativi se si tiene conto della ormai cronica carenza di personale. Nel 2023 abbiamo emesso 634 provvedimenti collegiali, 59 pareri su atti normativi e amministrativi, 263 decisioni su reclami mentre le procedure IMI sono state 1.595, le violazioni dei dati personali sono state 2.037 di cui 1.284 a carico di soggetti privati, le segnalazioni al Garante 120.311 di cui ben 113.828 per reti telematiche e marketing, i riscontri a reclami e segnalazioni sono stati 19.281.
Questo lavoro ordinario ma “particolare” porta in sé stimoli e sfide ben più universali e profonde tese alla Tutela dei dati personali che , nell’era digitale, sono il trasferimento in rete delle nostre esistenze.
Tali sfide, sono rese sempre più ardue con l’esplosione e la diffusione incredibile dell’Intelligenza Artificiale generativa nelle sue innumerabili forme.
L’AI domina i pensieri del Garante
Il tema più rilevante che ha dominato il 2023 è stata appunto la diffusione massiva dell’Intelligenza Artificiale, in particolare la diffusione dei chatbot generativi su cui il Garante italiano è intervenuto con il blocco temporaneo di ChatGPT in data 11-04-2023, destando a livello mondiale scalpore seguito da emulazione. A seguito di tale provvedimento e delle successive interlocuzioni con OpenAI, la piattaforma è stata riaperta garantendo più trasparenza e più diritti agli utenti.
Da non dimenticare, inoltre, lo stop al chatbot Replika e l’istruttoria su Sora, un modello di IA che crea video da poche righe di testo, risolta senza conseguenze giacché l’applicazione non è ancora diffusa in Italia.
Ci tengo particolarmente a sottolineare che il Garante italiano per la protezione dei dati personali è stato un precursore a livello mondiale e che, prima del nostro intervento, l’IA generativa non era neppure menzionata nell’AI ACT.
Per questa decisione, inizialmente mal compresa e superficialmente criticata, il Garante è stato premiato sia per l’impegno profuso nelle attività di indagine sull’Intelligenza Artificiale generativa in generale (in particolare su ChatGPT), sia per il significativo contributo offerto nel garantire la protezione dei dati personali, la regolamentazione e la trasparenza degli algoritmi di machine learning. Riconoscimento arrivato dalla 17esima Computer, Privacy and Data Protection Conference (CPDP) di Bruxelles.
A seguito dell’intervento italiano, inoltre, i Garanti della privacy europei, riuniti nel Comitato europeo per la protezione dei dati (EDPB), hanno deciso di lanciare una task force su ChatGPT e sull’IA generativa.
L’antropocentrismo con cui in Europa si tende a orientare e normare l’IA (DSA e DMA), ribadito con forza anche nell’ultimo G7 italiano dal premier Giorgia Meloni e sostenuto dalle parole del Pontefice, è lo sforzo di “porre realmente al servizio dell’uomo ciò che può rappresentare tanto uno straordinario fattore di sviluppo, benessere […] quanto, se non ben governato, una fonte di rischi tutt’altro che trascurabili, per la persona, la società, la democrazia”, come ribadito dal Presidente Stanzione.
Il confronto fra scienze/tecnologie e diritti/etica/difesa dell’uomo è antichissimo e ha caratterizzato tutte le epoche, in particolare in presenza delle grandi rivoluzioni tecnologiche.
Con l’avvento dell’IA, questo confronto e bilanciamento è e sarà ancora più importante; la difesa del dato personale rappresenta e rappresenterà sempre di più un presidio per la difesa della libertà dell’individuo e della sua unicità, contrastando il rischio che gli algoritmi riflettano un’unica visione del mondo, che i chatbot producano e disseminino dei preconcetti, bias e fake.
Occorre quindi vigilare sugli input e sui dati con i quali l’IA viene addestrata e sulle modalità con cui questo nuovo lavoro si svolge, non dimenticando gli invisibili della gig economy.
Web scraping
Fra le altre attività di rilevanza, il Garante ha avviato un’indagine conoscitiva in materia di web scraping con cui ha acquisito osservazioni, commenti e proposte operative sulle misure adottate ed adottabili dai gestori di siti internet e di piattaforme, sia pubblici che privati, rispetto alla raccolta massiva di dati personali, effettuata appunto attraverso tecniche di web scraping, da parte di società che sviluppano sistemi di intelligenza artificiale generativa, per finalità di addestramento dei relativi algoritmi (provv. 21 dicembre 2023 n. 621, doc. web n. 9972593).
Tale indagine si è conclusa con un documento di indicazioni non vincolanti ma che rappresenta uno strumento molto utile per gli operatori del settore.
Pubbliche amministrazioni
Sul fronte Pubbliche Amministrazioni sono state molteplici le questioni affrontate: dalla dichiarazione 730 precompilata, alla trasmissione dei dati dei rimborsi sanitari, all’interazione con il Ministero dell’Istruzione per la Piattaforma famiglie-studenti, all’azione consultiva per la digitalizzazione della PA.
Particolare attenzione è stata inoltre posta all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale.
Molto delicate, poi, le questioni afferenti alla Sanità: dal FSE al dossier sanitario, alla telemedicina.
Sicurezza
Fra le varie iniziative didattiche, a cui tengo molto, mi preme ricordare che è stata creata nell’aprile del 2023 una pagina informativa sul sito del Garante dedicata al Dark Pattern: modelli di progettazione ingannevoli che possono influenzare il comportamento di chi naviga online e ostacolare la protezione dei dati.
Sono state messe a punto con ACN le linee guida per la sicurezza delle password, si è continuato ad avversare con i mezzi possibili il telemarketing aggressivo, il cyberbullismo e si è intervenuti più volte per bilanciare il diritto di cronaca e la privacy.
Tutela minori
Ci siamo sforzati di essere tempestivi sui casi di cronaca in cui, più di una volta, siamo intervenuti d’urgenza con richiami. Ad esempio nel caso della violenza di Palermo per richiamare l’attenzione sull’esigenza di rispettare i parametri normativi a difesa delle vittime di violenza sessuale o nel caso della festa estiva torinese o, ancora, nel caso del video del neonato abbandonato ad Aprilia.
La tendenza, credo incontrovertibile, è che la datificazione delle nostre vite è sempre più consistente e pone moltissime domande, soprattutto in relazione ai modelli di IA e del loro utilizzo (medico, scientifico, commerciale, politico, informativo, investigativo, giudiziario, predittivo…).
Chi immette i dati nei sistemi (e aggiungerei con quale fine)? Chi garantisce l’affidabilità degli algoritmi sottesi ai sistemi? Quanto siamo consapevoli e consenzienti del nuovo mondo?
Sono domande a cui forse ci siamo abituati; il problema sono le risposte parziali, inadeguate, asincrone e in continua modificazione evolutiva.
Da tutto ciò consegue che, tanto maggiore è la datificazione, tanto maggiore dovrà essere lo sforzo per proteggere i nostri dati perché dentro/dietro di essi ci sono le nostre vite.