800 561720
Luglio è stato un mese “infuocato” sia per il clima torrido estivo, sia per i molteplici eventi, impattanti sulla disciplina della protezione dei dati personali, che hanno fatto innalzare ulteriormente la temperatura percepita da tutti i DPO. Dalla presentazione della relazione annuale del Garante, alle novità in merito all’applicazione dell’AI Act e delle altre fonti comunitarie (quali il Digital Markets Act), sino ad arrivare ad uno dei più gravi data breach della storia (CrowdStrike). Sebbene la calma apparente del periodo estivo inviti ad abbassare la guardia, non cadiamo in questo errore: la privacy non va in vacanza.
Novità nazionali
Il mese di luglio si è aperto con la presentazione, alla Camera dei Deputati, della relazione annuale del Garante per la protezione dei dati personali. L’idea di “Regolare il futuro” ha costituito la base del discorso di Pasquale Stanzione, presidente dell’Autorità, che ha evidenziato le peculiarità del 2023, un anno contraddistinto dalla digitalizzazione e dal definitivo consolidarsi dei sistemi di Intelligenza Artificiale.
Nel corso del 2023, infatti, il Garante è intervenuto su diversi sistemi di IA (ChatGPT, Sora, Replika, etc.), applicando le norme in materia di protezione dei dati personali che, in parte, già regolamentano alcuni elementi cardine di questi sistemi: il trattamento funzionale all’esecuzione di processi decisionali automatizzati, nonché le tecniche e le modalità di addestramento degli algoritmi.
Novità comunitarie: l’AI Act
Dal 12 luglio alle disposizioni del GDPR si sono affiancate quelle dell’AI Act (Regolamento UE 2024/1689), pubblicato ufficialmente in gazzetta ufficiale. La norma, che rappresenta la prima forma di regolamentazione onnicomprensiva delle applicazioni dell’intelligenza artificiale, mira a sostenere un’innovazione affidabile e antropocentrica, in grado di garantire la tutela dei diritti sanciti dalla Carta dei diritti fondamentali dell'Unione Europea, fra cui il rispetto della vita privata e della vita famigliare (articolo 7) e la protezione dei dati di carattere personale (articolo 8).
In quest’ottica, AI Act e GDPR costituiscono strumenti normativi complementari, volti al raggiungimento di un obiettivo comune. Per tale ragione, all’interno del testo dell’AI Act si rilevano molteplici riferimenti al GDPR, in relazione agli obblighi di trasparenza, agli assessment previsti, nonché rispetto al ruolo delle Autorità nazionali competenti. Gli Stati membri, infatti, sono tenuti ad individuare “come autorità nazionali competenti ai fini del presente regolamento almeno un'autorità di notifica e almeno un'autorità di vigilanza del mercato” (art. 70, par. 1, AI Act). Per alcuni sistemi di IA ad alto rischio, inoltre, è disposto specificamente che “gli Stati membri designano come autorità di vigilanza del mercato ai fini del presente regolamento le autorità di controllo competenti per la protezione dei dati a norma del regolamento (UE) 2016/679” (art. 74, par. 8, AI Act).
I chiarimenti dell’EDPB
Proprio al fine di chiarire il ruolo delle Autorità per la protezione dei dati, in relazione agli obblighi derivanti dall’AI Act, il 16 luglio il Comitato europeo per la protezione dei dati (EDPB) ha adottato lo Statement n. 3/2024. L’EDPB individua ulteriori casistiche, rispetto a quanto esplicitamente previsto dall’AI Act, in cui gli Stati membri dovrebbero prendere in considerazione la possibilità di nominare le Autorità per la protezione dei dati come autorità di vigilanza ai sensi dell’AI Act. Ciò garantirebbe, secondo il Comitato, il coordinamento nell’applicazione delle varie fonti normative e la certezza del diritto. Irene Loizidou Nicolaidou, vicepresidente dell'EDPB, ha dichiarato che: “Le DPA dovrebbero svolgere un ruolo di primo piano nell'applicazione della legge sull'IA, poiché la maggior parte dei sistemi di IA comporta il trattamento di dati personali”.
L’applicazione del DMA
Fra le novità a livello comunitario è necessario segnalare anche l’avvio dei controlli sull’applicazione del Regolamento sui mercati digitali – il “Digital Markets Act” (DMA). Nel mese di luglio, la Commissione Europea ha inviato a Meta Inc. (Facebook, Instagram, WhatsApp) le conclusioni preliminari dell’indagine condotta, secondo cui il modello pubblicitario “Pay or Consent” utilizzato dall’azienda californiana, non è conforme al DMA.
A norma del regolamento, infatti, i c.d. “gatekeeper” come Meta non possono subordinare l’uso del servizio o di determinate funzionalità al consenso degli utenti al marketing profilato. La scelta messa a disposizione da Meta fra l’abbonamento, a fronte di un canone mensile, a una versione dei social network priva di annunci pubblicitari o l’accesso gratuito a una versione con annunci pubblicitari personalizzati, rappresenta, quindi, una violazione del DMA. Il caso risolleva il dibattito sui modelli “Pay or Consent”. La decisione finale della Commissione potrebbe portare ad una sanzione molto elevata, qualora le non conformità venissero confermate.
Il breach CrowdStrike
Infine, il mese di luglio è stato segnato da uno dei più gravi incidenti informatici della storia, derivante da un aggiornamento “buggato” del software di sicurezza “CrowdStrike”. L’aggiornamento in questione, distribuito su milioni di dispositivi in tutto il mondo, includeva un file danneggiato che ha compromesso l’operatività di sistemi IT e servizi correlati, generando la nota schermata blu di errore denominata “Blue Screen of Death” (BSOD).
Il 19 luglio, a causa del breach, molti voli sono stati cancellati, molte operazioni ospedaliere sono state rinviate e tanti altri settori sono stati danneggiati dall’incidente. Solo quattro giorni dopo, l’Autorità Garante ha deciso di avviare degli accertamenti sugli effetti del blocco informatico, sulla base delle notifiche di data breach ricevute.
Il commento di Agostino Ghiglia: da MOAB a BSOD
L’accaduto sta facendo riflettere gli esperti sulle conseguenze derivanti dalla dipendenza ad una ristrettissima cerchia di provider / fornitori di sistemi IT, peraltro tutti di proprietà privata. Secondo le ricerche di Synergy Research Group, il 67% del mercato globale dei servizi cloud è dominato da sole tre piattaforme.
“Il mondo iperconnesso nelle mani di pochi potrebbe trasformarsi d’improvviso, per accidente o volontà, in un mondo iperbloccato”, ha dichiarato Agostino Ghiglia, Componente del Garante per la protezione dei dati personali. Dall’inizio dell’anno, ha ricordato Ghiglia, abbiamo assistito a due dei più imponenti incidenti informatici della storia: oltre al recente BSOD, a gennaio, il data breach denominato MOAB (“Mother of All Breaches”), da cui è derivata l’esposizione non autorizzata di ben 26 miliardi di dati personali, profilabili e categorizzabili. Eventi di questo tipo evidenziano la fragilità delle infrastrutture digitali globali e la necessità di una “sovranità digitale pubblica”, che consenta di assicurare la tutela dei dati personali e delle identità digitali dei cittadini.
Quali soluzioni?
Per affrontare le potenziali criticità derivanti dalla dipendenza da sistemi informativi - e da servizi erogati da un nucleo ristretto di provider - è fondamentale lavorare sull’implementazione di apposite procedure che garantiscano la business continuity, ovvero la capacità di strutture diverse di continuare a mantenere operativi i processi più critici durante un incidente informatico.
Costringere le singole organizzazioni ad investire per incrementare la propria cyber resilienza, però, non basta: serve ricercare una soluzione a monte del problema. In questa direzione vanno le recenti regolamentazioni europee, tra cui il DSA, il DMA, l’AI Act, nonché la NIS2 e tutte le altre iniziative rientranti nella strategia digitale europea . Le principali fonti comunitarie sono entrate in vigore di recente, si accingono ad entrare in vigore o sono in corso di applicazione da pochi mesi. Per questo l’attenzione dei DPO non deve mai calare: la privacy non va in vacanza.
