800 561720
Pubblicata la Relazione sull’attività svolta dal Garante nel corso del 2024. Già dal discorso di presentazione del Presidente, presso la Sala della Regina di Montecitorio, abbiamo avuto modo di comprendere l’importanza della Relazione, che rappresenta molto di più di un mero resoconto istituzionale. L’Autorità, nell’esporre i delicati temi trattati lo scorso anno, fornisce importanti spunti per l’attività di vigilanza svolta dai DPO.
“Tempo fuori luogo”
Il discorso del Presidente si apre citando il titolo di un noto romanzo: “Tempo fuori luogo”, che ben si addice a definire il contesto in cui viviamo, caratterizzato dalla grande rivoluzione dell’Intelligenza Artificiale (AI) basata sui dati, “un tornante della Storia in cui si scrive il futuro e si assume la responsabilità di governarlo”.
Proprio l’intelligenza Artificiale costituisce il nucleo tematico dominante della Relazione 2024, emergendo come elemento trasversale a molteplici ambiti settoriali – dalla sanità digitale all’istruzione, dalla giustizia predittiva alla pubblica amministrazione. Il Garante sottolinea il pericolo di un ricorso “a-critico” a soluzioni automatizzate, in particolare nel settore pubblico, dove il principio di legalità – nella sua declinazione sostanziale – richiede trasparenza, tracciabilità e verificabilità delle decisioni algoritmiche. In tale contesto, l’Autorità richiama con forza l’esigenza di un presidio effettivo delle garanzie previste dal GDPR, in cui si inserisce l’attività del DPO.
I dati della Relazione in sintesi
Le cifre della Relazione 2024 rispecchiano la complessità dell’ecosistema digitale attuale. Sono stati adottati 835 provvedimenti collegiali, di cui 468 a carattere correttivo e sanzionatorio, con oltre 24 milioni di euro di sanzioni riscosse. Le notifiche di data breach hanno raggiunto quota 2.204, con un significativo coinvolgimento di soggetti pubblici e privati. L’Autorità ha gestito oltre 93.000 segnalazioni e 4.090 reclami, toccando ambiti eterogenei come sanità, giustizia, lavoro e sicurezza informatica. Di rilievo anche l’attività consultiva: 47 pareri su atti regolamentari e 12 su norme primarie, spesso in materia di digitalizzazione e diritti fondamentali. Il Garante ha inoltre effettuato 130 ispezioni e trasmesso 16 notizie di reato alla magistratura. L’attività di relazione con il pubblico – oltre 16.000 quesiti gestiti – conferma la centralità di temi quali l’impatto delle nuove tecnologie, in particolare l’Intelligenza Artificiale, sulla protezione dei dati personali.
Il tema centrale dell’Intelligenza Artificiale: fra opportunità e misure di controllo
Nel giro di poco più di un anno, l’Intelligenza Artificiale – soprattutto nella sua declinazione generativa – ha innescato una trasformazione che travalica il piano tecnologico, toccando in profondità dinamiche sociali, culturali, educative e persino identitarie. La Relazione del Garante per la protezione dei dati personali, così come il discorso del Presidente Pasquale Stanzione, dedica ampio spazio a tale fenomeno, richiamando l’attenzione sull’impatto crescente dell’AI sui diritti e sulle libertà fondamentali delle persone.
Il Garante sottolinea come i potenziali benefici dell’AI si accompagnino a rischi elevati, soprattutto in assenza della necessaria consapevolezza d’uso e di adeguate garanzie. È il caso, ad esempio, dell’affidamento a-critico ai risultati elaborati da sistemi di AI generativa: secondo i dati citati dall’Autorità, il 66% dei dipendenti tende ad accettare gli output generati dall’AI senza verificarne l’attendibilità. Tale mancanza di controllo può determinare gravi conseguenze: dalla diffusione di informazioni errate o fuorvianti, alla creazione e condivisione inconsapevole di contenuti discriminatori, manipolati o lesivi della dignità personale, fino al consolidamento di stereotipi o pregiudizi preesistenti (bias). L’assenza di un presidio effettivo sugli output algoritmici compromette, quindi, non solo la qualità delle decisioni, ma anche la tutela sostanziale di diritti fondamentali.
AI e tutela dei minori
Particolarmente critici risultano i rischi per i minori. Il Garante cita le principali minacce attuali:
- il fenomeno dello sharenting (la condivisione sistematica di immagini, video e informazioni riguardanti i figli da parte dei genitori sui social media). L’Autorità mette in guardia contro un utilizzo inconsapevole / superficiale dell’immagine dei bambini, che può esporli ad abusi gravi, come pedopornografia, sextortion e deepfake. Allarmanti, in questo senso, i dati sull’aumento - del 380% in due anni - di contenuti pedopornografici generati da AI;
- l’accesso a servizi basati su AI generativa in assenza della necessaria “pedagogia digitale” e di adeguati meccanismi di verifica dell’età on-line (age verification).
Sanità digitale: tra data sharing e privacy
Altro tema ampiamente trattato nella Relazione annuale è quello della sanità digitale. L’Autorità ribadisce la necessità di un equilibrio tra innovazione digitale e tutela della riservatezza, soprattutto in un contesto che vede crescere la condivisione di dati tra enti pubblici e privati. Il data sharing in ambito sanitario, pur offrendo rilevanti benefici in termini di efficienza e continuità assistenziale, comporta rischi concreti per i diritti fondamentali delle persone se non accompagnato da adeguate garanzie di minimizzazione e sicurezza.
Il Garante sottolinea l’importanza di definire chiaramente ruoli, responsabilità e basi giuridiche dei trattamenti, soprattutto nei progetti su larga scala e nei flussi inter-istituzionali, per evitare trattamenti non conformi o sproporzionati rispetto alle finalità perseguite.
Sicurezza informatica e P.A.
Sotto il profilo della sicurezza cibernetica, il bilancio del 2024 non restituisce risultati positivi. Secondo i dati pubblicati dal Clusit (Associazione Italiana per la Sicurezza Informatica), si è registrato a livello globale un incremento del 27% degli attacchi informatici rispetto all’anno precedente, con una crescita del 36% delle offensive di tipo Distributed Denial of Service (DDoS), particolarmente insidiose in quanto in grado di compromettere la continuità operativa di infrastrutture critiche e servizi strategici.
Il quadro nazionale risulta altrettanto preoccupante: con 146 episodi documentati, l’Italia si colloca al secondo posto nell’Unione europea per numero di attacchi ransomware. Particolarmente esposta risulta la pubblica amministrazione, vittima di un processo di digitalizzazione spesso caratterizzato da marcata disomogeneità territoriale e dall’assenza di una pianificazione strategica unitaria. In molti casi rilevati dall’Autorità, la spinta verso l’innovazione tecnologica non è stata accompagnata da un adeguato livello di risk awareness, determinando una sottovalutazione dei rischi sistemici legati alla sicurezza dei trattamenti.
I disallineamenti emergenti e l’importanza delle fonti normative
La Relazione annuale del Garante non trascura di evidenziare scenari evolutivi e potenziali criticità che richiedono un attento presidio regolatorio e di compliance. Tra questi, particolare rilievo viene attribuito al fenomeno dei cosiddetti “disallineamenti emergenti” nei sistemi di Intelligenza Artificiale.
Con il progressivo incremento delle capacità computazionali e l’adozione di modelli sempre più complessi e autonomi, tali sistemi possono infatti manifestare comportamenti o sviluppare obiettivi che si discostano significativamente da quelli originariamente definiti dai progettisti umani, nonostante la programmazione di parametri e finalità specifiche.
Da ciò si ricava l’importanza di normative che impongono verifiche periodiche sul grado di rischio per i diritti umani connesso all’uso delle tecnologie, garantendone sempre la supervisione umana. I provvedimenti adottati dal Garante nei confronti di ChatGpt, Replika e DeepSeek, come anche le indicazioni fornite rispetto ai rischi del webscraping dimostrano, ciascuno con le proprie peculiarità, come GDPR e AI ACT insieme costituiscano un presidio fondamentale per un governo sostenibile dell’AI.
La cultura della privacy come vantaggio competitivo
Il contesto della protezione dei dati personali, sia in ambito nazionale che internazionale, si caratterizza per una rapida intensificazione dei processi di trattamento, inclusi quelli di dati personali, che impone un’attività di vigilanza da parte dell’Autorità Garante sempre più dinamica ed efficace. Quest’ultima non è chiamata solo a esercitare un controllo rigoroso sui trattamenti, ma anche a promuovere una diffusa cultura della protezione dei dati.
La responsabilità di diffondere e consolidare tale cultura, tuttavia, non può ricadere esclusivamente sulle Autorità di controllo. È imprescindibile che enti ed imprese si attivino per formare e alfabetizzare il personale, processo in cui il DPO svolge un ruolo fondamentale.
Il ruolo del DPO: fra sensibilizzazione ed etica algoritmica
Dove l’innovazione corre e le garanzie arrancano – la lettura della Relazione (qui il testo completo) non è solo utile: è necessaria. Per i DPO significa comprendere le criticità attuali e conoscere le principali contromisure, fra cui, prima fra tutte, la promozione di una diffusa cultura della privacy.
La Relazione, inoltre, trasmette un messaggio di fondo importantissimo da portare a casa: la funzione del Responsabile della Protezione dei Dati sarà sempre più esposta a dilemmi etici oltre che giuridici. Il Garante parla di “algoretica” da intendersi come “un’impostazione etica nel governo della tecnica, con senso del limite e rispetto del primato della persona”. In tale prospettiva, il DPO è chiamato a un ruolo che trascende il mero controllo di conformità: egli si fa promotore di un’etica del trattamento – coerente con i fondamenti dell’“algoretica” – fondata su trasparenza, equità e centralità della persona.
Fra etica e diritto, il confronto con altri professionisti della disciplina rappresenta un ottimo strumento per restare informati e aggiornati rispetto agli orientamenti più recenti. Se non l’hai ancora fatto, ti invitiamo ad iscriverti all’Associazione.
