Garante: le novità Privacy di febbraio

Senza voler riportare in maniera pedissequa e pedestre quanto già liberamente consultabile sul sito dell’Autorità, come di consueto ci limitiamo ad una panoramica riassumendo le notizie di questo mese, soffermandoci su quelle che, alla luce del nostro contesto, possano concretamente avere ricadute, o fornire interessanti spunti di riflessione per fare cultura e pensiero su temi così importanti, ed impattanti di questi tempi.

Chiara Ponti

Privacy News: sul pezzo, ed istruzioni per l’uso

Ribadendo la “giusta lente” per una corretta lettura di cui alla precedente Rassegna, suggeriamo di:

Leggere
Studiare
Approfondire

Il materiale costantemente elaborato dall’Autorità rammentando come tutto ciò che da Ella proviene sia rimarchevole, apprezzabile e meritevole di ulteriori approfondimenti a seconda delle esigenze e necessità che dovessero presentarsi, case by case.

Privacy: tutte le novità in stile “ANSA”

3/02/2021 | TikTok si adeguerà alle richieste del Garante privacy. Ma l’Autorità vigilerà sull’effettiva efficacia delle misure che verranno adottate

É quanto la piattaforma di video sharing ha comunicato al Garante dopo l’emanazione del provvedimento di blocco imposto.

In pratica, l’Autorità annuncia che «A partire dal 9 febbraio, dando attuazione alle richieste del Garante, TikTok bloccherà tutti gli utenti italiani e chiederà di indicare di nuovo la data di nascita prima di continuare ad utilizzare l’app. Una volta identificato un utente al di sotto dei 13 anni, il suo account verrà rimosso».

Ancora rassicura il Garante, “più informazioni agli utenti” una “informativa per i minori” direttamente sull’app «…in modo tale da spiegare, in modo accessibile e coinvolgente, i tipi di dati che raccoglie e come essi vengono trattati»; ed una “Campagna di sensibilizzazione del Garante in collaborazione con Telefono Azzurro“ al fine di rafforzarne l’azione di tutela nei confronti dei più piccoli «con l’obiettivo di richiamare i genitori a svolgere un ruolo attivo di vigilanza e a prestare particolare attenzione al momento in cui verrà richiesto ai figli di indicare la loro età per accedere a TikTok».

8/02/2021 | “Se non ha l’età, i social possono attendere”. Lo spot del Garante privacy e di Telefono Azzurro per sensibilizzare i genitori.

Questo l’obiettivo con cui l’Autorità garante ha inteso rafforzare la tutela dei minori sui social network.

Per il Garante «l’obiettivo principale dello spot è quello di richiamare i genitori a svolgere un ruolo attivo di vigilanza e a prestare particolare attenzione al momento in cui verrà richiesto ai figli di indicare la loro età per accedere a TikTok.»

10/02/2021 | EDPS – Opinions on the Digital Services Act and the Digital Markets Act

Rimandando direttamente al sito dell’EDPB, l’Autorità rende noto che Il Garante Europeo della Protezione dei Dati – GEPD – ha pubblicato due pareri, sulla base di proposte da parte della Commissione europea, circa una legge sui servizi digitali ed una legge sui mercati digitali.

Entrambi i pareri, si legge nel comunicato stampa, «mirano ad aiutare i legislatori dell’UE a plasmare un futuro digitale radicato nei valori dell’UE, compresa la protezione dei diritti fondamentali delle persone, come il diritto alla protezione dei dati.»

17/02/2021 | Vaccinazione dei dipendenti: le FAQ del Garante privacy. Principi generali e focus sugli operatori sanitari

Sempre caldo è il tema, specie di questi tempi, delle “vaccinazioni”.

Il Garante si preoccupa, in particolare, della “vaccinazione dei dipendenti”, formulando alcuni quesiti, come: «Il datore di lavoro può chiedere ai propri dipendenti di vaccinarsi contro il Covid per accedere ai luoghi di lavoro e per svolgere determinate mansioni, ad esempio in ambito sanitario? Può chiedere al medico competente i nominativi dei dipendenti vaccinati? O chiedere conferma della vaccinazione direttamente ai lavoratori?».

Esso quindi formula delle FAQ con il chiaro ed evidente intento «…di fornire indicazioni utili ad imprese, enti e amministrazioni pubbliche affinché possano applicare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale, anche al fine di prevenire possibili trattamenti illeciti di dati personali e di evitare inutili costi di gestione o possibili effetti discriminatori» evidenziando peraltro come soltanto il Medico competente possa trattare i dati personali relativi alla vaccinazione dei dipendenti, con la conseguenza che il Datore di lavoro debba «limitarsi ad attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità.»

19/02/2021 | Newsletter 19/02/21 – Data breach sanitari, Garante privacy sanziona tre strutture – Lavoro: Garante, no all’uso delle impronte digitali dei dipendenti se manca base normativa – Dal Consiglio d’Europa le linee guida sul riconoscimento facciale

Non possiamo poi non richiamare l’ultima newsletter del Garante nella quale, con l’efficacia di sempre, l’Autorità illustra tre questioni salienti circa:

i data breach sanitari, in forza del quale sanziona tre strutture (due ospedali e una Asl) «…per violazioni di dati personali causati non da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale.» Tali strutture «…avevano comunicato informazioni sulla salute alle persone sbagliate».
In materia di lavoro dicendo “no all’uso delle impronte digitali dei dipendenti se manca base normativa” sanzionando un’Azienda sanitaria provinciale (Asp) per aver utilizzato «…un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti» richiamando quanto oggi è richiesto «…per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.».
Circa il riconoscimento facciale ha richiamato le linee guida in materia, emanate dal Consiglio d’Europa il quale «…ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale» fornendo «..una serie di misure di riferimento che governi, sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni dovrebbero adottare per garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali.».

23/02/2021 | Vaccini, il delicato equilibrio tra sanità pubblica e individuo

Circa le indicazioni fornite in materia di vaccinazioni dei dipendenti, il Presidente dell’Autorità Garante ha voluto precisare, in un’intervista, che trattandosi «… naturalmente, di un tema di per sé delicatissimo e discusso, nella ricerca della soluzione più idonea a coniugare esigenze di sanità pubblica e diritti individuali.

Questa tensione tra dimensione individuale e collettiva è, del resto, sottesa allo stesso articolo 32 della Costituzione, che qualifica il diritto alla salute come diritto fondamentale e, ad un tempo, interesse della collettività.

E proprio per garantire un equilibrio “alto” tra la dimensione individuale e quella collettiva, il Costituente ha prescritto in proposito una riserva di legge rafforzata, prevedendo che nessun trattamento sanitario, ancorché legislativamente disposto, possa violare «i limiti imposti dal rispetto della persona umana», ritenuti complementari alla tutela della dignità.»

Dal che, precisa ancora il Garante, occorre «…partire per meglio comprendere i termini della questione, facendo anche chiarezza su alcune inesattezze che hanno caratterizzato le critiche rivolte al Garante, cui si imputa essenzialmente di aver frapposto inutili ostacoli all’azione di prevenzione sanitaria, in particolare nei luoghi di lavoro.».

Volendo ulteriormente puntualizzare «…un punto essenziale: il Garante non si è in alcun modo pronunciato sul tema dell’esigibilità, da parte datoriale, della vaccinazione quale misura di protezione del lavoratore stesso e della sicurezza dell’ambiente di lavoro.

L’Autorità si è limitata a chiarire che nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come in ambito sanitario, che comporta livelli di rischio elevati, si applicano le disposizioni vigenti sulle “misure speciali di protezione” previste per tali contesti, in attesa di eventuali, ulteriori disposizioni legislative.».

Concludendo, dopo le ulteriori dichiarazioni cui si rinvia al sito istituzionale, «…Tutt’altro che di ostacolo all’interesse pubblico, il contributo dell’Autorità è servito semmai per essere insieme più efficaci, ma non meno liberi; a non cedere alle sirene del modello coreano (se non addirittura cinese), pur realizzando un’azione di prevenzione lungimirante.

Del resto, confondere le garanzie con la burocrazia rischia di farci dimenticare che lo Stato di diritto è quello del governo sub lege e non sub homine: una distinzione che, invece, è centrale per una democrazia.».

Sul fronte Covid-19

Risulta continuamente aggiornata la raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali sì rappresentando il costante presidio da parte dell’Autorità Garante alla normativa Covid avendo questa, con tutta evidenza, inevitabili ricadute sui dati personali.

I convegni da non perdere, e le iniziative da seguire

Non meno importanti, in ottica di un’efficace “sensibilizzazione”, sono gli appuntamenti “convegnistici”, ed in particolare, questo mese l’Autorità promuove sessioni formative di alto livello su materie come la “AI Anthology – Profili giuridici, economici e sociali dell’intelligenza artificiale“ al quale parteciperà, nelle giornate del 19 e 20 aprile, l’intero Collegio (Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza).

Circa le iniziative istituzionalmente rimarchevoli si segnala da ultimo, Twinning project: Il Garante partecipa come project leader ad una iniziativa internazionale per supportare l’adeguamento della normativa Albanese in materia di protezione dati al RGPD.

Privacy ed Artificial Intelligence: temi di frontiera

Chi non parla oggi di “Artificial Intelligence – AI” or “Intelligenza Artificiale – IA”, sempre più un tema di frontiera preoccupati, forse, del fatto che in poco tempo, la stessa avrà, come sostiene J. Kaplan uno dei massimi esperti mondiali in materia nonché fellow del Center for Legal Informatics, un impatto sulle nostre vite «… pari a quello della rivoluzione industriale o della nascita del web». Impressionante, se ci pensiamo. In ambito italiano, altro illustre Professore emerito del Politecnico di Torino – ex Garante Privacy, F. Pizzetti ci offre un’efficace definizione secondo la quale l’epoca che stiamo vivendo costituisca una «nuova svolta nella storia del mondo che ha aperto agli uomini l’epoca del digitale»: svolta fondamentale nella storia dell’umanità in un ambito nel quale etica e diritto sono chiamate, più di sempre, ad incontrarsi. Il diritto delle nuove tecnologie certamente ingloba questioni legate all’AI. Per AI, allora, si intende Artificial Intelligence o Intelligenza Artificiale, tutto ciò che gli strumenti (principalmente i software) in grado di prendere decisioni autonome, ossia tutte quelle decisioni che non sono preimpostate o predeterminate né guidate. Il tema richiama sicuramente scenari fantascientifici, nei quali l’Intelligenza Artificiale unita alla robotica, portano a creare delle fattispecie umane dotate di propria coscienza. Nel caso specifico, tuttavia, occorre restare con “i piedi per terra”, perchè parliamo di un software, che autonomamente è in grado di stabilire se l’immagine in analisi è quella di un minore. Tale tecnologia può essere facilmente inquadrata considerando quattro punti:

Agire umanamente: il risultato dell’operazione compiuta dal sistema intelligente non è distinguibile da quella svolta da un umano.
Pensare umanamente: il processo che porta il sistema intelligente a risolvere un problema ricalca quello umano. Questo approccio è associato alle scienze cognitive.
Pensare razionalmente: il processo che porta il sistema intelligente a risolvere un problema è un procedimento formale che si rifà alla logica.
Agire razionalmente: il processo che porta il sistema intelligente a risolvere il problema è quello che gli permette di ottenere il miglior risultato atteso date le informazioni a disposizione.

L’applicazione di questa tecnologia ai Dati Personali suscita perplessità e paure, legate principalmente a questioni etiche. Il tutto, ci permette di richiamare allora una news sopra citata legata a TikTok che adotterà misure per bloccare l’accesso agli utenti minori di 13 anni valutando appunto l’utilizzo di sistemi di intelligenza artificiale per la verifica dell’età – “age verification” con l’obiettivo peraltro di sensibilizzare genitori e figli. Stesso discorso che può riflettersi in questo focus sull’AI concerne l’altra news relativa al “riconoscimento facciale” altro tema di frontiera in ambito di IA. Al riguardo, come sopra detto, il Consiglio d’Europa «…esprime particolare preoccupazione riguardo ai rischi derivanti dal riconoscimento facciale volto a rilevare i tratti della personalità, i sentimenti o le reazioni emotive dall’immagine del volto: le cosiddette tecnologie di “riconoscimento dell’affetto”». Da ultimo, riferiamo che «…le linee guida raccomandano agli sviluppatori di tecnologie di riconoscimento facciale di prestare specifica attenzione all’attendibilità degli algoritmi e all’accuratezza dei dati trattati».

Come rimanere sempre aggiornati sul mondo della privacy

Sperando di non esserci limitati a fare un mero “gazzettino”, invitiamo tutti i nostri Lettori a seguirci su questo blog rimandandoli alla prossima “puntata”, di cadenza settimanale.

Grazie, ed una buona lettura!

Ti interesserà leggere anche