Oggi, se vogliamo rispondere ai numerosi rischi che riguardano le libertà individuali e collettive, si impone in modo pressante la necessità di governare al meglio l’Innovazione. E’ questo il messaggio forte, incisivo per la nostra società, che emerge dalla presentazione (dello scorso 7 maggio) del Presidente Soro al Parlamento della Relazione sulle attività svolte dal Garante Privacy nel 2018. “Il digitale è divenuto agente potentissimo di trasformazione sociale, struttura e sovrastruttura insieme – ha dichiarato Antonello Soro – la cornice entro cui si dispiegano libertà e responsabilità, spingendo l’uomo a trascendere i suoi stessi limiti. E con l’ambiguità di ogni tecnica, ma anche con la forza propria delle rivoluzioni epocali, il digitale può essere presupposto tanto di espansione quanto di limitazione delle libertà, se si inverte il rapporto tra mezzo e fine”.
Gli ambiti in cui vediamo modificarsi i confini delle libertà individuali e collettive sono oggi molteplici: dal lavoro, alla ricerca, perfino alla giustizia e alle forze dell’ordine, che possono ora sfruttare nuove competenze “predittive”, affidarsi ad algoritmi per prendere decisioni che hanno conseguenze molto concrete sulla vita delle persone. Bisognerà presto dare una risposta al problema di come ridefinire, nel nuovo contesto, i criteri valoriali su cui basare decisioni che riguardano sia individui sia intere comunità.
Soro osserva anche una dicotomia a livello geopolitico: da una parte un mondo occidentale in cui, anche a seguito di continui scandali (eclatante quello dello scorso anno di Facebook – Cambridge Analytica) si riconferma il tema del diritto dell’individuo sui dati personali (con gli USA che si avvicinano quindi alle posizioni europee). Dall’altro lato, una Cina in cui il dirigismo, gli obiettivi di egemonia tecnologica e di controllo sociale, stanno portando a uno scenario di raccolta massiva di dati personali, da riutilizzare per le finalità più diverse: dalla sicurezza nazionale alla promozione dell’intelligenza artificiale, fino alla penalizzazione (nel caso siano individuati comportamenti socialmente indesiderabili) con la preclusione all’accesso a determinate scuole o ad altri servizi di welfare.
Preoccupante per il Garante anche la deriva per cui alcune poche, grandi imprese, riuscendo a concentrare grandissime moli di informazioni, acquistano un potere di orientamento dei comportamenti e del consenso che travalica i presidi democratici tradizionali. Il tema della democrazia nella società digitale non può non tener conto, secondo Soro, di esistenze “in apparenza trasparenti, in realtà sempre più chiuse in universi impermeabili. Così come la sovranità si fondava, classicamente, sull’esclusività dell’uso legittimo della forza, oggi si basa sul dominio della potenza di calcolo, che non può quindi sottrarsi a una progettualità etica, politica e anche giuridica: non può, in altri termini, restare avulsa dalla forma democratica.” Fondamentale quindi per il futuro “il principio di trasparenza algoritmica e il diritto di contestare la decisione assunta in via automatizzata, consentendo anche l’intervento umano per sottrarre le decisioni sulle persone al totale determinismo delle macchine”.
Con riferimento ai temi della Data Protection, il 2018 è stato per l’Autorità una tappa di grande importanza, con l’entrata nella sua piena applicazione del nuovo Regolamento UE sulla data protection (GDPR), e quindi con nuovi diritti per gli individui ma anche nuove responsabilità per chi, soggetti privati o pubblici, tratta dati personali. Nella Relazione 2018 del Garante Privacy, che chiude i sette anni di Presidenza Soro facendo il punto sullo stato di attuazione della legislazione in materia e indicando i nuovi scenari, sono riportati i numeri di quest’anno:
- 517 provvedimenti collegiali
- Oltre 8 milioni di euro in sanzioni riscosse
- 802 risposte a quesiti
Tra le attività del Garante del 2018, riportate nella Relazione, alcune risultano particolarmente rilevanti nell’attuale contesto.
Utilizzo di dati personali nell’erogazione di servizi sanitari
L’Autorità è entrata nel merito di alcuni trattamenti di dati per erogazione di cure sanitari che hanno riguardato modalità innovative di misurazione e controllo a distanza, spesso per pazienti non auto-sufficienti, basati su device telematici (bracciali, cavigliere) con localizzatori e sistemi di misurazione (frequenza cardiaca, ecc.). L’intervento del Garante è stato in questi casi volto ad assicurare ulteriori misure, a innalzare la comunicazione e acquisizione di consenso dal paziente, tutelando maggiormente la dignità delle persone. I controlli effettuati dall’Autorità con riferimento alla regolarità dei trattamenti di dati nei Fascicoli sanitari elettronici (Fse) /nel dossier sanitario, presso strutture sanitarie sia pubbliche che private, hanno dimostrato una crescente conformità alle linee guida in materia, anche se permangono alcuni sistemi informativi ancora non pienamente conformi.
Big Data per analisi scientifiche e statistiche nella Relazione del Garante
Il Garante ha rivisto nel 2018 le disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, alla luce delle novità contenute nel GDPR. Ulteriori rilievi sono stati formulati sugli usi a fini statistici dei big data. In particolare, con riferimento a sperimentazioni che prevedono l’utilizzo di fonti di telefonia mobile, il Garante ha sottolineato che l’utilizzo di queste informazioni comporta specifici rischi per la riservatezza e la protezione dei dati personali degli interessati, tenendo conto che, grazie alle nuove tecnologie e tecniche di analisi, è spesso possibile la re-identificazione di un interessato (cd. single-out) anche attraverso informazioni apparentemente anonime.
Cybersecurity, Data Breach con violazione di dati personali
Il Garante ha proseguito nel 2018 l’attività di vigilanza e intervento, procedendo d’ufficio o a seguito di specifiche segnalazioni relative a violazioni di dati personali (data breach), alcune delle quali particolarmente gravi. Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach (di cui ben 630 se si considera l’avvio del GDPR, ossia dal 25 maggio al 31 dicembre 2018), che hanno riguardato, come titolari del trattamento, sia soggetti pubblici (27% dei casi) sia soggetti privati (73% dei casi). Le tipologie di violazione più frequenti hanno riguardato eventi di cybersecurity (attacchi informatici volti all’acquisizione di dati personali, quali, credenziali di accesso, indirizzi e-mail, numeri di telefono o dati relativi a strumenti di pagamento; diffusione di virus di tipo ransomware) ma anche smarrimenti/diffusioni accidentali di dati/furti di dispositivi digitali o documenti cartacei.
Procedimento sanzionatorio nei confronti di Uber
Nel corso del 2018 il Garante ha svolto un’intesa attività di collaborazione (insieme ad altre autorità di protezione dei dati europee, di Francia, Spagna, Belgio, Germania, Regno Unito, Olanda) per indagare sul data breach di Uber (verificatosi nel 2016, ma reso pubblico soltanto nel mese di novembre del 2017) che ha coinvolto i dati di decine di milioni di interessati in tutto il mondo e tra questi anche circa 295mila utenti italiani (tra passeggeri e autisti). Già a fine 2017 il Garante aveva avviato alcuni accertamenti − anche mediante ispezioni effettuate in loco – presso la sede italiana della società, al fine di acquisire maggiori elementi di valutazione, verificando così la non conformità riguardo al trattamento dei dati di utenti presenti nel nostro Paese. Nel corso delle ispezioni è emerso in particolare un’informativa privacy non corretta e incompleta, oltre che la mancanza di un idoneo consenso dei passeggeri per poterli profilare sulla base di un indicatore di rischio frode. Accertate le violazioni, il Garante ha avviato un autonomo procedimento sanzionatorio nei confronti di Uber, segnalando la questione anche alle altre Autorità europee.
A cura di:
Elena Vaciago, The Innovation Group
Link ai documenti:
Discorso del Presidente Antonello Soro, 7 Maggio 2019