Relazione Annuale del Garante per la Protezione dei Dati Personali 2023

Sommario
- Attività Istituzionale e Rapporti con le Istituzioni
- Digitalizzazione e Pubblica Amministrazione
- Sanità e Ricerca Scientifica
- Attività Giornalistica e Libertà di Informazione
- Marketing e Comunicazioni Elettroniche
- Rapporto di Lavoro e Attività Economiche
- Intelligenza Artificiale e Violazioni dei Dati Personali
- Attività Ispettiva e Contenzioso Giurisdizionale
- Attività di Comunicazione e Relazioni Internazionali
- Conclusioni
Attività Istituzionale e Rapporti con le Istituzioni
Il Garante ha svolto un'intensa attività consultiva, fornendo pareri obbligatori al Parlamento e al Governo su importanti atti normativi. Tra i principali, si segnala la legge sul diritto all'oblio oncologico, che mira a prevenire le discriminazioni nei confronti delle persone guarite da malattie oncologiche. L'Autorità ha inoltre partecipato attivamente alle audizioni parlamentari, instaurando un dialogo diretto con le istituzioni su temi di grande attualità, quali il mercato e la concorrenza, l'impiego delle intercettazioni e le sfide legate alle cosiddette challenge online, ovvero sfide estreme sui social. Non sono mancate le segnalazioni al Governo per sollecitare il colmare di alcune lacune legislative, in particolare in materia di trattamento dei dati nelle attività giudiziarie e di polizia.
La legge sul diritto all’oblio oncologico rappresenta un importante passo avanti nella tutela dei diritti delle persone che hanno superato una malattia oncologica. Il Garante ha svolto un ruolo attivo nel supportare l'iter legislativo, fornendo pareri e raccomandazioni per garantire che la normativa fosse efficace nel prevenire discriminazioni in vari ambiti, come quello assicurativo, creditizio e lavorativo. Il diritto all'oblio oncologico mira a garantire che le persone guarite dal cancro non subiscano discriminazioni a causa della loro pregressa condizione di salute. Questo è particolarmente importante in contesti come la richiesta di un mutuo, la stipula di un'assicurazione sulla vita o la ricerca di un lavoro, dove la pregressa malattia potrebbe essere utilizzata come motivo per negare l'accesso a tali opportunità. Il Garante ha lavorato per assicurare che la legge fosse sufficientemente ampia da coprire tutti i possibili scenari discriminatori e che prevedesse meccanismi efficaci per far valere i diritti delle persone interessate.
Inoltre, la partecipazione del Garante alle audizioni parlamentari testimonia l'importanza del dialogo tra l'Autorità e le istituzioni politiche. Questo coinvolgimento ha permesso di portare all'attenzione del legislatore le problematiche emergenti in materia di protezione dati, come quelle legate all'uso delle intercettazioni e alle nuove forme di intrattenimento online che possono mettere a rischio la privacy dei minori. Il Garante ha fornito il proprio contributo in merito all'uso delle intercettazioni, sottolineando la necessità di bilanciare le esigenze investigative con il diritto alla riservatezza delle comunicazioni. Inoltre, l'Autorità è intervenuta sul tema delle challenge online, evidenziando i rischi che queste possono comportare per la privacy e la sicurezza dei minori e sollecitando l'adozione di misure preventive e di controllo più efficaci.
Il Garante ha agito proattivamente nel segnalare al Governo la necessità di intervenire per colmare lacune legislative. Questo è particolarmente rilevante in settori delicati come il trattamento dei dati nelle attività giudiziarie e di polizia, dove è fondamentale garantire un equilibrio tra le esigenze di sicurezza e il rispetto dei diritti fondamentali dei cittadini. Il Garante ha segnalato la necessità di una normativa più chiara e dettagliata sul trattamento dei dati personali da parte delle forze dell'ordine e dell'autorità giudiziaria, al fine di prevenire abusi e garantire che i dati siano trattati in modo lecito, corretto e trasparente.
Digitalizzazione e Pubblica Amministrazione
La digitalizzazione della pubblica amministrazione è stato un tema centrale nell'attività del Garante nel 2023. L'Autorità ha fornito il proprio contributo in merito all'introduzione di nuove funzionalità per l'erogazione di servizi online ai cittadini, con l'obiettivo di semplificare e accorpare le modalità di accesso. In questo contesto, sono state esaminate criticamente le questioni relative alla proporzionalità e necessità dei trattamenti di dati personali, nonché all'allocazione delle responsabilità, in riferimento a iniziative quali la gestione centralizzata delle credenziali della Carta d'Identità Elettronica (CIEId), il Single Digital Gateway (SDG), ovvero lo sportello unico digitale, e la Piattaforma unica per le notifiche digitali.
Il Garante ha inoltre continuato a monitorare i trattamenti di dati effettuati dall'Agenzia delle Entrate, finalizzati alla predisposizione della dichiarazione dei redditi precompilata, e quelli connessi all'Anagrafe Nazionale dei Residenti. Si segnala, in particolare, un provvedimento di ammonimento e correttivo nei confronti dell'ISTAT per la mancata implementazione di misure volte a garantire la minimizzazione dei dati nel contesto del censimento permanente.
Il Garante ha sostenuto l'innovazione tecnologica nella pubblica amministrazione, riconoscendo il potenziale dei servizi online per semplificare la vita dei cittadini. Tuttavia, ha posto l'accento sulla necessità di garantire che la digitalizzazione avvenga nel rispetto dei principi di protezione dati, valutando attentamente la proporzionalità e la necessità dei trattamenti e definendo chiaramente le responsabilità dei vari soggetti coinvolti. Il Garante ha sottolineato che la semplificazione dei servizi pubblici non deve andare a scapito della protezione dei dati personali dei cittadini. È fondamentale che ogni trattamento di dati sia giustificato da una base giuridica adeguata, che i dati raccolti siano pertinenti e non eccessivi rispetto alle finalità perseguite e che siano adottate misure di sicurezza idonee a prevenire accessi non autorizzati o utilizzi impropri.
La gestione centralizzata delle credenziali CIEId è un tema cruciale per l'identità digitale dei cittadini. Il Garante ha vigilato affinché il sistema garantisse un elevato livello di sicurezza e protezione dei dati personali, prevenendo accessi non autorizzati e utilizzi impropri delle informazioni. Il Garante ha posto particolare attenzione ai meccanismi di autenticazione e autorizzazione, ai protocolli di sicurezza utilizzati per la trasmissione dei dati e alle procedure per il recupero delle credenziali in caso di smarrimento o furto. L'obiettivo è quello di garantire che la CIEId sia uno strumento sicuro e affidabile per l'accesso ai servizi online della pubblica amministrazione.
Il SDG è un'iniziativa europea volta a facilitare l'accesso dei cittadini e delle imprese ai servizi pubblici digitali in tutta l'Unione Europea. Il Garante ha contribuito a garantire che l'attuazione del SDG in Italia avvenisse nel rispetto della normativa sulla protezione dei dati, assicurando la trasparenza dei trattamenti e la tutela dei diritti degli interessati. Il Garante ha collaborato con le altre autorità europee per definire standard comuni in materia di protezione dati e per promuovere l'interoperabilità dei sistemi di identificazione digitale. L'obiettivo è quello di creare uno spazio digitale unico in cui i cittadini e le imprese possano accedere ai servizi pubblici in modo semplice e sicuro, indipendentemente dal loro luogo di residenza o stabilimento.
La piattaforma unica per le notifiche digitali mira a centralizzare e semplificare le comunicazioni tra la pubblica amministrazione e i cittadini. Il Garante ha esaminato attentamente le implicazioni di questa piattaforma in termini di privacy, con particolare attenzione alla conservazione dei dati, alla sicurezza delle trasmissioni e alle modalità di accesso alle informazioni. Il Garante ha verificato che la piattaforma garantisca la riservatezza delle comunicazioni, che i dati siano conservati per un periodo di tempo limitato e che i cittadini possano accedere facilmente alle informazioni che li riguardano. Inoltre, l'Autorità ha posto l'accento sulla necessità di informare adeguatamente i cittadini sull'utilizzo della piattaforma e sui loro diritti in materia di protezione dati.
Il Garante ha monitorato l'utilizzo dei dati personali da parte dell'Agenzia delle Entrate per la predisposizione della dichiarazione dei redditi precompilata. L'obiettivo è stato quello di garantire che il trattamento dei dati fosse limitato alle finalità previste dalla legge e che fossero adottate misure adeguate per proteggere la riservatezza delle informazioni finanziarie dei contribuenti. Il Garante ha verificato che l'Agenzia delle Entrate adotti misure di sicurezza adeguate per proteggere i dati finanziari dei contribuenti, sia durante la fase di elaborazione della dichiarazione precompilata che durante la fase di trasmissione telematica. Inoltre, l'Autorità ha sottolineato l'importanza di informare i contribuenti sui dati utilizzati per la predisposizione della dichiarazione e sulla possibilità di modificarli o integrarli.
L’Anagrafe Nazionale della Popolazione Residente è un database centralizzato che raccoglie i dati anagrafici di tutti i residenti in Italia. Il Garante ha vigilato sul corretto funzionamento dell'ANPR, con particolare attenzione alla sicurezza dei dati, alle modalità di accesso e alle finalità del loro utilizzo. Il Garante ha verificato che l'ANPR sia gestita in modo sicuro e che l'accesso ai dati sia consentito solo ai soggetti autorizzati e per finalità legittime. Inoltre, l'Autorità ha posto l'accento sulla necessità di garantire l'accuratezza e l'aggiornamento costante dei dati anagrafici, al fine di evitare errori o incongruenze che potrebbero pregiudicare i diritti dei cittadini.
Il provvedimento di ammonimento e correttivo nei confronti dell'ISTAT evidenzia l'importanza del principio di minimizzazione dei dati. Il Garante ha richiamato l'Istituto alla necessità di adottare misure per garantire che nel contesto del censimento permanente siano raccolti solo i dati strettamente necessari per le finalità statistiche, evitando la raccolta di informazioni eccessive o non pertinenti. Il Garante ha sottolineato che l'ISTAT deve limitare la raccolta di dati personali al minimo indispensabile per la realizzazione del censimento, evitando di acquisire informazioni che non sono strettamente necessarie per le finalità statistiche. Questo principio è fondamentale per proteggere la privacy dei cittadini e per prevenire utilizzi impropri dei dati raccolti.
Sanità e Ricerca Scientifica
Il settore sanitario e della ricerca scientifica ha rappresentato un'area di particolare attenzione per il Garante nel 2023. L'Autorità ha continuato a vigilare sull'evoluzione della sanità digitale, con particolare riferimento al Fascicolo Sanitario Elettronico (FSE), al dossier sanitario e alla telemedicina. Un tema di grande rilevanza è stato l'uso dell'intelligenza artificiale in sanità, rispetto al quale il Garante ha fornito importanti chiarimenti in merito ai profili giuridici ed etici da considerare.
L'Autorità è intervenuta in diversi casi di trattamenti illeciti di dati personali in ambito sanitario, adottando provvedimenti a seguito di data breach, reclami e segnalazioni, e istruttorie attivate d'ufficio. Particolare attenzione è stata dedicata ai trattamenti per finalità ulteriori rispetto a quelle di cura, per i quali il Garante ha ribadito la necessità di un'idonea base giuridica e di un'adeguata informativa agli interessati.
Per quanto riguarda la ricerca scientifica, il Garante ha fornito chiarimenti in merito all'applicazione dell'articolo 110-bis del Codice, che disciplina il trattamento dei dati personali per tali finalità.
Attività Giornalistica e Libertà di Informazione
Il Garante ha continuato a svolgere un'intensa attività di bilanciamento tra la libertà di informazione e il diritto alla protezione dei dati personali. L'Autorità ha esaminato un elevato numero di reclami e segnalazioni relativi alla diffusione di notizie in rete e sui social media, con particolare riferimento a istanze di deindicizzazione rivolte ai motori di ricerca e a contestazioni relative alla pubblicazione di dati personali ritenuti eccedenti o diffusi in violazione di specifici limiti.
Il Garante è intervenuto in diversi casi per garantire il rispetto dei principi di essenzialità dell'informazione e di tutela dei dati relativi a minori, dati sanitari e dati di personaggi noti.
Marketing e Comunicazioni Elettroniche
Il contrasto al telemarketing indesiderato è stato un'area di intervento prioritario per il Garante nel 2023. L'Autorità ha adottato numerosi provvedimenti sanzionatori nei confronti di soggetti che hanno effettuato chiamate promozionali illegali, spesso utilizzando liste di contatti acquisite illecitamente o call center ubicati fuori dall'Unione Europea.
Il Garante ha inoltre posto l'attenzione sulle nuove frontiere del marketing, quali la profilazione online, l'utilizzo di modelli oscuri (dark pattern) e le banche dati illecite.
Nel settore delle comunicazioni elettroniche, l'Autorità è intervenuta in materia di conservazione dei dati di traffico, cookie e altri strumenti di tracciamento, trattamento di dati personali in rete e mediante dispositivi connessi, e intelligenza artificiale.
Rapporto di Lavoro e Attività Economiche
Il Garante ha dedicato particolare attenzione alla protezione dei dati personali nel contesto del rapporto di lavoro, sia pubblico che privato. L'Autorità è intervenuta in materia di trattamento di dati mediante posta elettronica, esercizio dei diritti, dati biometrici e sanitari, videosorveglianza, pubblicazione di dati in internet, utilizzo di dispositivi tecnologici e whistleblowing.
Per quanto riguarda le attività economiche, il Garante ha svolto attività di controllo e sanzionatoria in diversi settori, tra cui quello assicurativo, bancario-finanziario, delle imprese e dei concessionari di pubblici servizi.
Intelligenza Artificiale e Violazioni dei Dati Personali
L'intelligenza artificiale è stata un tema trasversale nell'attività del Garante nel 2023. L'Autorità ha evidenziato le potenzialità di questa tecnologia, ma anche i rischi per i diritti e le libertà degli individui, con particolare riferimento ai sistemi di identificazione biometrica e di profilazione.
Il Garante ha continuato a monitorare il fenomeno delle violazioni dei dati personali (data breach), fornendo indicazioni e adottando provvedimenti nei casi di illecito trattamento.
Attività Ispettiva e Contenzioso Giurisdizionale
L'attività ispettiva del Garante ha rappresentato uno strumento fondamentale per l'accertamento delle violazioni della normativa in materia di protezione dei dati personali. L'Autorità ha svolto controlli sia online che presso le sedi dei titolari del trattamento, avvalendosi anche della collaborazione della Guardia di Finanza.
Il Garante è stato parte attiva in numerosi contenziosi giurisdizionali, sia in materia di opposizioni ai propri provvedimenti che in cause relative alla protezione dei dati personali.
Attività di Comunicazione e Relazioni Internazionali
Il Garante ha svolto un'intensa attività di comunicazione e informazione, rivolta sia al pubblico che agli operatori del settore. L'Autorità ha utilizzato diversi canali, tra cui il sito web istituzionale, i prodotti multimediali, le pubblicazioni, le manifestazioni e i convegni.
A livello internazionale, il Garante ha partecipato attivamente alle attività del Comitato Europeo per la Protezione dei Dati (CEPD) e ad altri organismi internazionali, contribuendo allo sviluppo della cooperazione tra le autorità di protezione dati.
Conclusioni
La relazione annuale del Garante per il 2023 testimonia l'impegno costante dell'Autorità nella tutela dei diritti fondamentali alla protezione dei dati personali in un contesto in continua evoluzione. Le sfide poste dalla digitalizzazione, dall'intelligenza artificiale e dalle nuove tecnologie richiedono un'attenzione sempre maggiore e un'azione tempestiva per garantire che il trattamento dei dati personali avvenga nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione, esattezza, integrità e riservatezza.