800 561720
Il “Data Protection Day” rappresenta un’occasione importante per tutti i professionisti della privacy, non solo per celebrare l’apertura alla firma della Convenzione n. 108 del Consiglio d’Europa, il 28 gennaio 1981, ma anche per prepararsi alle sfide etiche e legali del futuro prossimo. La disciplina della protezione dei dati personali è chiamata a riadattarsi, in maniera solida ma al contempo flessibile, agli sviluppi tecnologi in settori quali l’intelligenza artificiale e le neuroscienze. I mezzi normativi a nostra disposizione sono ancora in grado di governare efficacemente i mezzi tecnici?
L’innovazione della Convenzione 108
Già nel 1981 la Convenzione 108 del Consiglio d’Europa (o “Convenzione di Strasburgo”) si prefissava l’obiettivo principale di governare la tecnica, mediante l’introduzione di un’innovazione normativa che ha fatto la storia. Il concetto di “Privacy”, sino ad allora inteso come tutela della vita privata e familiare, del domicilio e della corrispondenza (ai sensi dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo), si è evoluto e adattato al rinnovato contesto tecnologico, in modo da ricomprendere anche la “protezione dei dati”.
“Articolo 1 – Oggetto e scopo
Scopo della presente Convenzione è quello di garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»)”.
Il campo di applicazione della Convenzione 108 abbraccia, quindi, tutte le operazioni di elaborazione automatizzata di dati a carattere personale, nei settori pubblico e privato. Inoltre, in quanto accordo quadro internazionale, impone alle singole parti aderenti di adottare, nei rispettivi ordinamenti, uno standard minimo di misure a tutela delle persone fisiche.
Il protocollo di ammodernamento
Per quanto la norma sia stata, a suo tempo, innovativa, l’evoluzione dei mezzi tecnologici e delle modalità di trattamento dei dati ha determinato la necessità di avviare un processo di revisione. Tale processo, partito nel 2012 con il primo progetto di modernizzazione, è stato finalizzato nel 2018, quando il Protocollo n. 223 è stato aperto alla firma, dando vita alla c.d. “Convenzione 108 +”.
Obiettivi e caratteristiche della norma sono rimasti intatti (preservando così il nucleo fondamentale che costituisce la ratio della Convenzione originaria), mentre le sue disposizioni sono state riviste in sinergia con le più recenti fonti comunitarie (prima fra tutte, il Regolamento europeo in materia di protezione dei dati personali - GDPR).
Uno sguardo al 2024: l’enforcement
Il 2024 è stato un anno particolarmente significativo nell’applicazione del GDPR, con un totale aggregato di 1,2 miliardi di euro di sanzioni emesse in tutta Europa. La Data Protection Commission irlandese si è confermata, ancora una volta, l’autorità prevalente nell’applicazione delle norme: a partire dal 25 maggio 2018, infatti, ha sanzionato per un importo complessivo pari a 3,5 miliardi di euro e detiene tutt’oggi il record per la più grande ammenda inflitta (1,2 miliardi di euro a Meta Platform Ireland Limited).
Le grandi aziende tecnologiche e i giganti dei social media, tuttavia, non rappresentano l’unico bersaglio dei controlli svolti dalle Data Protection Authorities (DPAs) nazionali. Nel corso del 2024 sono state emesse sanzioni milionarie anche nei confronti di organizzazioni operanti nel settore dei servizi finanziari, nel settore bancario ed energetico.
Statistiche tratte dal report “DLA Piper GDPR fines and data breach survey”, gennaio 2025.
Uno sguardo al 2024: i data breach
Nel corso del 2024, il numero medio di notifiche di data breach ricevute dalle DPAs è leggermente aumentato ma resta in linea con il trend degli ultimi anni, segno che le organizzazioni stanno diventando più caute nel segnalare le violazioni dei dati, visto il rischio di indagini, sanzioni e richieste di risarcimento che possono seguire alla notifica (come testimonia caso Postel S.p.a..).
I Paesi Bassi, la Germania e la Polonia rimangono i primi tre Paesi per numero di data breach notificati, rispettivamente con 33.471, 27.829 e 14.286 (da gennaio 2024 a gennaio 2025).
Statistiche tratte dal report “DLA Piper GDPR fines and data breach survey”, gennaio 2025.
Il 2025 in prospettiva: governance societaria e responsabilità personale della dirigenza
Le autorità di controllo europee hanno ribadito, in molteplici occasioni, l’importanza di dotarsi di un solido sistema di governance e di supervisione della conformità normativa, in particolare alla luce delle nuove fonti normative che costituiscono il programma di regolamentazione del Decennio Digitale europeo. Fra le pronunce delle DPAs in relazione al tema della governance societaria, è essenziale citare la sanzione, di 30,5 milioni di euro, comminata dal garante olandese a Clearview AI.
La società statunitense era già stata sanzionata da altre autorità di controllo per aver utilizzato tecniche di riconoscimento facciale (di per sé già molto invasive), abbinate alla tecnica dello scraping di dati dal web. In considerazione del fatto che la condotta illecita di Clearview è rimasta tale, nonostante i diversi provvedimenti sanzionatori, il Garante olandese ha previsto multe incrementali per un importo pari a 5,1 milioni di euro, nel caso in cui la società perseverasse con le violazioni. In aggiunta, l’autorità ha avviato delle indagini per accertare se i componenti della dirigenza della società possano ritenersi personalmente responsabili per aver diretto la condotta illecita. Il presidente della DPA olandese ha dichiarato: “Questa azienda non può continuare a violare i diritti degli europei e farla franca. Certamente non in questo modo grave e su questa scala massiccia. Ora indagheremo se è possibile ritenere i dirigenti dell'azienda personalmente responsabili e multarli per aver diretto tali violazioni. Questa responsabilità esiste già se gli amministratori sanno che il GDPR viene violato, hanno il potere di impedirlo, ma omettono di farlo e in questo modo accettano consapevolmente tali violazioni”.
Il caso costituisce un importante precedente, tanto che, secondo Ross McKean, co-presidente della UK Data Protection and Cyber Response Practice, “il 2024 è l’anno in cui l’applicazione del GDPR diventa personale”. Il 2025 potrebbe essere l’anno in cui le autorità di regolamentazione si orienteranno maggiormente verso la verifica della responsabilità personale del management per promuovere la conformità dei dati.
Il 2025 in prospettiva: l’uso del GDPR per guidare l’applicazione dell’IA
Durante il 2024 importanti decisioni delle autorità di controllo segnano un altro trend che – molto probabilmente – caratterizzerà anche il 2025: i controlli di conformità sui sistemi di intelligenza artificiale ed il loro allineamento alle norme in materia di data protection. Anticipando l’applicazione dell’AI ACT, infatti, diverse autorità di controllo si sono già espresse rispetto all’utilizzo dei sistemi di intelligenza artificiale, imponendo ad organizzazioni statunitensi come OpenAI di adeguarsi alle norme in materia di protezione dei dati personali.
In ultimo, il 20 dicembre 2024, il nostro Garante ha comunicato di aver chiuso l’istruttoria nei confronti di ChatGPT (avviata ad inizio 2023). Il provvedimento finale accerta le violazioni contestate e, in particolare:
- non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023;
- l’aver trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica;
- l’aver violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti.
Il Garante ha comminato ad OpenAI una sanzione pari a 15 milioni di euro e ha ordinato alla stessa di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet (applicando per la prima volta i poteri previsti dall’articolo 166, comma 7, del Codice Privacy). I contenuti della campagna informativa dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, le modalità di raccolta dei dati degli utenti per l’addestramento dei sistemi di IA generativa e i diritti esercitabili dagli interessati, inclusi l’opposizione, la rettifica e la cancellazione.
Per tutte le organizzazioni, ciò evidenzia la necessità di integrare la compliance al GDPR nella progettazione, sviluppo e nell’utilizzo dei sistemi di IA.
Come si governa il futuro della data protection?
Gli sviluppi tecnologici in settori quali l’intelligenza artificiale e le neuroscienze comportano rinnovate sfide per la protezione dei dati personali, nonché effetti / conseguenze antropologiche e sociali della cui portata non siamo ancora pienamente consapevoli.
“Il diritto ha il compito di colmare questo vuoto di consapevolezza, fornendoci gli strumenti per capire come porre realmente al servizio dell’uomo ciò che può rappresentare tanto uno straordinario fattore di sviluppo, benessere, promozione del pubblico interesse quanto anche, se non ben governato, una fonte di rischi tutt’altro che trascurabili, per la persona, la società, la democrazia.” Tratto dal discorso del presidente dell’autorità Garante, Pasquale Stazione, in occasione della presentazione della relazione annuale, il 3 luglio 2024.
Alle innovazioni della tecnica fanno fronte le nuove norme che caratterizzano il Decennio Digitale europeo (l’AI ACT, il Digital Markets Act, il Digital Services Act, il Data Act, ect.), nonché le recenti fonti del diritto in materia di cibersicurezza (la Direttiva NIS2). In questo quadro complesso, la compliance si eleva a baluardo a tutela della società democratica contro eccessive intrusioni nella privacy dei cittadini da parte dei grandi attori pubblici o privati.
Occasioni come il “Data Protection Day” rappresentano quindi un importante momento di confronto sul tema, utile a comprendere come applicare la disciplina della data protection alle sfide della tecnologia.
Il CPDP - Computers, Privacy and Data Protection
Il congresso “Computers, Privacy and Data Protection” costituisce uno dei principali eventi, a livello internazionale, organizzati durante questa giornata. Il CPDP si svolge annualmente a Bruxelles, sin dal 2007, con l’obiettivo di riunire accademici, avvocati, professionisti, decisori politici, industria e società civile da tutto il mondo, offrendo loro un’arena per scambiare idee e discutere le ultime questioni e tendenze emergenti.
"Radbruch nel 1945 scrisse che i tre valori della legge, ovvero il beneficio pubblico, la certezza del diritto e la giustizia, non sono sempre uniti armoniosamente nelle leggi. Riuniamoci per discutere della validità delle attuali proposte politiche per trovare quell'armonia". Ha dichiarato Paolo De Hert, professore della facoltà di legge e criminologia della Vrije Universiteit Brussel e testimonial dell’evento.
ASSO DPO parteciperà all’evento, seguiranno quindi approfondimenti rispetto agli spunti emersi. Se non vuoi perderti le principali novità del CPDP 2025 iscriviti alla newsletter dell’Associazione, clicca qui.
