L’autorità Garante per la Protezione dei Dati Personali lo scorso 7 luglio ha presentato la Relazione sull’attività svolta nell’anno 2021, secondo anno di mandato dell’attuale Collegio.
La Relazione illustra i diversi fronti sui quali è stata impegnata l’Autorità nel corso di un anno caratterizzato ancora dall’impatto dell’emergenza sanitaria su tutti i settori della vita nazionale dal ricorso massiccio alle piattaforme on line.
La necessità di assicurare, da una parte, un funzionale trattamento dei dati – in particolare di quelli sulla salute – e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento al momento di fornire pareri o di indicare misure di garanzia per tutelare i diritti della persona.
Gli interventi più rilevanti
Il 2021 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; gli scenari tracciati dalle neuroscienze; la sicurezza dei sistemi e la protezione dello spazio cibernetico; il diffondersi di sistemi di riconoscimento facciale; la monetizzazione delle informazioni personali; il fenomeni del revenge porn (ossia, la condivisione pubblica di immagini o video intimi tramite Internet, senza il consenso dei protagonisti degli stessi.) e dello sharenting (ossia, il fenomeno di una condivisione online costante da parte dei genitori di contenuti che riguardano i propri figli/e foto, video, ecografie, storie).
Ordini professionali
L’attività del Garante relativa agli ordini professionali ha riguardato la trattazione di reclami relativi al mancato o inidoneo riscontro a richieste di esercizio dei diritti di cui agli artt. 15-22 del RGPD e alla diffusione di dati personali in assenza di un’idonea base giuridica.
In particolare, in due distinti casi, gli ordini professionali territoriali, in qualità di titolari del trattamento, avevano dato riscontro a richieste di esercizio del diritto di accesso a dati personali (art. 15 del RGPD) ben oltre il termine di un mese previsto dall’art. 12 del RGPD, senza, peraltro, aver informato gli interessati, entro il medesimo termine , dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo o ricorso giurisdizionale, in violazione dell’art. 12, parr. 3 e 4 del RGPD.
Tutela per i minori e revenge porn
Sul fronte della tutela online dei minori nell’anno trascorso è proseguita l’azione di vigilanza sull’età di iscrizione ai social.
Il Garante per la protezione dei dati personali ha imposto a Tik tok ( social network cinese lanciato nel settembre 2016, attraverso il quale gli utenti possono creare brevi clip musicali di durata variabile ed eventualmente modificare la velocità di riproduzione, aggiungere filtri, effetti particolari e suoni ai loro video), misure per tenere fuori dalla piattaforma gli utenti giovanissimi, facendo rimuovere centinaia di migliaia di account di iscritti sotto i tredici anni.
Nel 2021, il legislatore ha affidato al Garante il compito di intervenire anche preventivamente per contrastare il fenomeno del revenge porn e aiutare le persone che temono la diffusione di foto o video intimi senza il loro consenso, legittimando anche gli ultraquattordicenni a presentare istanza al Garante.
In particolare, a partire dal marzo 2021 il Garante ha offerto la propria collaborazione, nell’ambito di un progetto di Facebook Inc. di azione preventiva al fenomeno del revenge porn, mettendo a disposizione un canale di emergenza per segnalare il rischio di una possibile diffusione non consensuale, all’interno delle piattaforme Facebook e Instagram, di contenuti privati a carattere sessualmente esplicito.
A tutela delle vittime di cyberbullismo, l’Autorità assicura, sulla base della legge n.71/2017 procedure di intervento e ha proseguito nel lavoro di sensibilizzazione per il contrasto al fenomeno.
Attacchi informatici e cybersecurity
Di fronte all’alto numero di attacchi informatici, il Garante ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha fornito indicazioni, in particolare, su come difendersi dai ransomware, software che prendono “in ostaggio” un dispositivo elettronico per poi “liberarlo” a fronte del pagamento di somme di denaro. Una minaccia, questa, che si è particolarmente diffusa anche nel nostro Paese.
Significativo a questo proposito il numero dei data breach notificati nel 2021 al Garante da parte di soggetti pubblici e privati: 2071 (con un aumento di circa il 50% rispetto al 2020), molti dei quali relativi alla diffusione di dati sanitari che hanno portato anche a sanzioni. Interventi dell’Autorità hanno riguardato in questo ambito anche grandi piattaforme social come Facebook e LinkedIn.
Sul fronte della cybersecurity, il decreto-legge n. 82/2021, recante disposizioni urgenti in materia di cybersicurezza, ha introdotto innovazioni significative sul tema.
Particolare rilievo assume l’istituzione dell’Agenzia, di cui è espressamente prevista la collaborazione con il Garante (anche in relazione agli incidenti che comportino data breach), in particolare mediante specifici protocolli d’intesa, nonché la consultazione del secondo da parte della prima.
Settore sanità e pubblica amministrazione
Nel settore dalla sanità il Garante ha svolto un’intensa attività dando chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e ha contribuito alla definizione di precise garanzie per l’utilizzo del green pass. Ha fornito pareri positivi sul Registro nazionale dei tumori, sull’Anagrafe nazionale degli assistiti, sul Registro nazionale degli impianti protesici e ottenuto garanzie per i pazienti nella formazione del Fascicolo sanitario elettronico.
Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone.
Inoltre, ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”, ossia la rivelazione spontanea da parte di un individuo, detto “segnalante” (in inglese “whistleblower“) di un illecito o di un’irregolarità commessa all’interno dell’ente, del quale lo stesso sia stato testimone nell’esercizio delle proprie funzioni.
Infine, ha fornito parerei sull’App Io, sullo Spid ai minori, sulle Anagrafi delle istruzioni, sulla piattaforma digitale per la notifica degli atti.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.