GPDP: Illustrata la Relazione 2023 sull'attività del Garante Privacy da parte del Presidente Pasquale Stanzione
Si è svolta alla Camera dei Deputati l’illustrazione della Relazione annuale sull’attività svolta dal Garante per la protezione dei dati personali (GPDP) per il 2023 da parte del Presidente, Pasquale Stanzione.
Di seguito un riepilogo dell’illustrazione della Relazione.
Prof. Pasquale Stanzione (Presidente GPDP)
- Introduzione – La presentazione della Relazione 2023 si inserisce in una congiuntura particolare, al margine del G7 che si è da poco interrogato sull’impatto dell’intelligenza artificiale sulla politica e sulle relazioni internazionali. Inoltre, il Consiglio d’Europa ha recentemente adottato la prima Convenzione internazionale che impegna gli Stati aderenti al rispetto di garanzie essenziali sui diritti umani, sulla democrazia e sullo stato di diritto nell’utilizzo dell’IA. Poco prima, l’Unione europea aveva approvato la prima disciplina al mondo dell’IA con l’AI Act, che rappresenta insieme al Regolamento GDPR il tentativo più avanzato in Europa di definire una strategia antropocentrica di governo della tecnica, il che esprime una consapevolezza dell’ormai piena integrazione dell’intelligenza artificiale nelle vita pubblica e privata.
- Approccio all’IA – Non c’è ad oggi una completa consapevolezza degli effetti della progressiva penetrazione dell’IA nella vita quotidiana: il diritto ha quindi il compito di colmare tale vuoto di consapevolezza per porre questa risorsa realmente al servizio dell’uomo e far sì che l’evoluzione tecnologica sia mimetica (capace di simulare l’uomo) più che protesica (capace di colmarne le carenze).
- Diffusione IA – Il 2023 è stato l’anno della diffusione massiva dell’intelligenza artificiale:
- Scuola – Circa il 65% dei ragazzi oggi utilizza l’IA per svolgere i compiti, e due studenti su tre hanno preparato l’esame di maturità ricorrendo a ChatGPT.
- Imprese e lavoro – Circa un’impresa su quattro ha già integrato l’IA nei propri processi produttivi e si prevede che entro un anno il 60% delle aziende la impiegherà anche nei processi assunzionali. Si ritiene inoltre che l’IA potrebbe sostituire ben 85 milioni di posto di lavoro creandone al contempo 97 milioni: questo cambiamento radicale rischia di recare nuove disuguaglianze, come evidenziato dal Fondo monetario internazionale.
- Sanità – Sono sempre più significative le applicazioni di IA a fini diagnostici, sperimentali e terapeutici: ad esempio, le molecole farmacologiche scoperte mediante IA mostrerebbero un tasso di successo nella prima fase clinica pari a circa l’80-90%, e si ricorre già al Metaverso per effettuare visite mediche a distanza. Si progetta inoltre di utilizzare l’IA in campo neuroscientifico, con la realizzazione i decoder “semantici” dell’attività neurale, combinando la scansione cerebrale e database di modelli linguistici.
- Guerra – Le guerre attualmente in corso in Ucraina e Palestina offrono all’IA un drammatico terreno di sperimentazione in ambito bellico, come il sistema Lavender, impiegato nel conflitto israelo-palestinese, e altri software che a differenza di questo non necessitano addirittura della decisione finale umana. Tali armi potrebbero rappresentare una nuova bomba atomica, con effetti dirompenti e assenza di regole sull’utilizzo, tanto da qualificare il periodo attuale come nuovo “momento Oppenheimer”. Inoltre, l’IA consente la manipolazione e monopolizzazione dell’informazione (cognitive warfare), al punto da rappresentare una nuova Guerra fredda.
- Principali aree di intervento – Nel corso del 2023 l’Autorità è intervenuta su diversi temi:
- Intelligenza Artificiale – Dopo un iniziale blocco di ChatGPT per raccolta illecita di dati personali e assenza di sistemi per la verifica dell’età dei minori, la piattaforma è stata riaperta garantendo più trasparenza e più diritti. GPDP è intervenuto anche sul chatbot Replika, foriero di troppi rischi per i minori e le persone emotivamente fragili, e ha avviato un’istruttoria su Sora, il software che crea brevi video a partire da poche righe di testo. L’Autorità si è soffermata anche su Pornhub, chiedendo chiarimenti sulla profilazione degli utenti e sui sistemi di tracciamento. In relazione all’utilizzo di dati biometrici e sistemi di riconoscimento facciale, l’Autorità ha inviato un avvertimento a Worldcoin relativo al progetto di scansione dell’iride in cambio di criptovalute senza adeguate garanzie e consapevolezza degli utenti.
- Pubblica Amministrazione – Il Garante è intervenuto anche sulla gestione centralizzata delle credenziali dell’identità digitale CIE (CIEId), il Single digital gataway (SDG) per lo scambio transfrontaliero di prove e la Piattaforma unica per le notifiche digitali di atti amministrativi. Sono proseguite anche le attività connesse ai trattamenti dell’Agenzia delle entrate relativi all’interscambio di informazioni fra amministrazioni e quelle legate all’Anagrafe nazionale dei residenti. Il Garante ha inoltre fornito un contributo rilevante nel processo di digitalizzazione della giustizia.
- Sanità – L’Autorità è inoltre intervenuta sulla riforma del Fasciolo sanitario elettronico 2.0 e sulla realizzazione del sistema nazionale di telemedicina. È stato inoltre pubblicato un decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale.
- Tutela minori online – La tutela dei minori online è proseguita con l’azione di vigilanza sull’età di iscrizione ai social, anche attraverso sistemi di age verification. A tal proposito è stato istituito un Tavolo di lavoro con un protocollo di intesa tra il Garante e l’AGCOM. Inoltre, sono stati firmati nuovi protocolli tra Garante e Co.Re.Com di diverse Regioni per combattere il revenge porn e il cyberbullismo. In particolare, i dati sul revenge porn sono in aumento: nel 2023 si sono registrate 229 segnalazioni di persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, raddoppiate rispetto all’anno precedente.
- Cybersecurity – Il Garante e l’ACN hanno messo a punto le Linee guida per la conservazione della password. Inoltre, nel 2023 sono stati segnalati ben 2037 data breach. Nel settore pubblico (37% dei casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (63% dei casi) sono state coinvolte sia le PMI e professionisti sia grandi società dei settori bancario, energetico, dei servizi e delle telecomunicazioni.
- Rapporto di lavoro – Numerosi provvedimenti sono stati assunti nell’ambito del rapporto di lavoro, soprattutto relativamente all’utilizzo delle mail sul luogo di lavoro e all’utilizzo di sistemi di videosorveglianza. In tale ambito sono stati elaborati due documenti di indirizzo nel 2023: uno relativo alla gestione della posta elettronica e al trattamento dei metadati, l’altro elaborato con ANAC e dedicato alla gestione delle procedure connesse al whistleblowing.
- Tutela dei consumatori – Il Garante è intervenuto contro il telemarketing aggressivo con l’irrogazione di sanzioni significative, soprattutto relativamente all’utilizzo senza consenso dei dati degli abbonati. L’Autorità ha inoltre approvato il Codice di condotta per le attività di telemarketing e teleselling.
- Numeri del 2023 – Di seguito un riepilogo dei numeri illustrati:
- Provvedimenti – Nel 2023 il Garante ha adottato in totale 634 provvedimenti collegiali.
- Reclami – L’Autorità ha fornito riscontro a oltre 19 mila reclami e segnalazioni su marketing, dati online delle PA, sanità, giustizia, cyberbullismo e revenge porn, sicurezza informatica, settore bancario e finanziario e lavoro.
- Pareri – Il Collegio ha inoltre espresso 59 pareri su atti normativi e amministrativi, relativi a PA, sanità, fisco, giustizia, istruzione e altre funzioni di interesse pubblico. Sono stati 6 invece i pareri su norme di rango privato, relativi ad accertamento fiscale, digitalizzazione PA, giustizia e open data.
- Notizie di reato – Nel 2023 sono state poi comunicate 7 notizie di reato, che hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, falsità nelle dichiarazioni e notificazioni al Garante, accesso abusivo a sistemi informatici.
- Sanzioni – I provvedimenti correttivi e sanzionatori sono stati 394, e le sanzioni complessive ammontano a circa 8 milioni di euro.
- Ispezioni – Le ispezioni effettuate nel 2023 sono state 144, in linea con quelle dell’anno precedente, e sono state relative a SPID, ricerca scientifica, tecnologie di riconoscimento facciale, data breach, telemarketing, siti web e uso di cookie. Sono inoltre stato effettuate verifiche periodiche al VIS (Visa Information System), sistema sui visti di ingresso nello spazio Schengen.
Relazione col pubblico – Si è dato riscontro nel 2023 a circa 19 mila quesiti, riguardanti adempimenti connessi all’applicazione del Regolamento UE, telemarketing indesiderato, rapporto di lavoro pubblico privato, videosorveglianza, problematiche poste dal web, salute e ricerca e IA. Gli accessi sul sito web dell’Autorità sono stati oltre 4 milioni.