Il GDPR ha segnato l’alba di una nuova era dando il via ad una serie di leggi e regolamenti volti alla creazione di un mercato unico dei dati, a livello europeo; e in questo senso vanno letti i regolamenti di recente emanazione come il Data Governance Act, il Digital Markets Act e il Digital Services Act.
Ma soffermiamoci sulle attività svolte dai Garanti della Privacy prima in Italia e poi in Europa, segnalando le sanzioni più significative.
Tutela dei dati personali e altri diritti: ecco perché servono contemperamento ed equilibrio
Indice degli argomenti
L’attività svolta dal Garante privacy, in Italia
Nel maggio 2018 il GDPR (Regolamento (UE) 2016/679) diveniva pienamente applicabile, segnando da un lato l’inizio di una nuova epoca e dall’altro un cambio di passo e di approccio alla materia non più vista quale espressione di un diritto relegato alla sola “riservatezza” strettamente intesa, ma come una pretesa/garanzia di libera circolazione dei dati (informazioni) personali all’interno dell’Unione europea. Il testo normativo in inglese non a caso parlo di “mouvement”.
Fatta questa premessa, l’Autorità ha svolto un ruolo chiave su più fronti, anche grazie agli orientamenti/linee guida/prassi operative e campagne informative fornite.
Sul fronte giuslavoristico, il nostro Garante ha prestato particolare attenzione alla privacy dei dipendenti, verificando che le aziende rispettassero le leggi, con un occhio molto vigile nell’ambito delle attività di monitoraggio, videosorveglianza e quant’altro di pertinente visionando attentamente le politiche di gestione dati personali specie di quelle aziende ispezionate.
Lato cooperazione con le altre Autorità di protezione dati in Europa, ha apportato un contributo attivo; basti pensare ai recenti fatti riguardanti la nota vicenda di OpenAI e ChatGPT facendo da apripista. Grazie all’impulso della nostra Autorità l’EDPB ha creato una task force.
Sul fronte dell’educazione e sensibilizzazione, è noto sotto gli occhi di tutti quanto il Garante Privacy abbia fatto recentissimamente anche nella scuola promuovendo iniziative di formazione e risorse informative al fine di aiutare chiunque a comprendere i propri diritti e a proteggere la propria privacy.
Sul fronte del trasferimento extra UE dei dati, ha attentamente monitorato l’evoluzione al riguardo presidiando affinchè venissero adottate misure di sicurezza adeguate in caso di trasferimento.
Sul fronte della privacy online, il nostro Garante Privacy ha indagato su numerose questioni a ciò connesse, tra cui l’utilizzo dei cookie, la sicurezza dei dati personali sulle piattaforme digitali e le pratiche di marketing online.
Sul fronte sanzionatorio come vedremo dopo, il Garante ha comminato diverse sanzioni.
I primi cinque anni di GDPR visti dal Garante Privacy
Nella giornata del 25 maggio 2023, in occasione del “compleanno” del GDPR, anche il Garante per mano del Presidente Pasquale Stanzione ha fatto un bilancio di questo quinquennio da cui si evince una maggiore consapevolezza, rispetto delle norme sulla privacy e tutela dei diritti degli individui grazie alla promozione di una corretta gestione dei dati personali.
Il Presidente dell’Autorità ha dichiarato infatti come “il Regolamento UE ha saputo bilanciare esigenze individuali e collettive”; ha sottolineato gli “obblighi più rigorosi per chi tratta i dati, maggiore trasparenza, nuovi diritti per le persone e più controllo sui propri dati”; e poi rimarcato come “il GDPR ha rappresentato un cambiamento d’approccio radicale alla disciplina privacy, proprio grazie al principio di responsabilizzazione dei titolari del trattamento dati (“accountability”), in base al quale la privacy smette di essere un obbligo formale, per diventare parte integrante e permanente delle attività di imprese e amministrazioni pubbliche”.
Non di meno, si è soffermato sugli interessati, i veri attori/protagonisti dell’intera normativa del GDPR a dimostrazione di ciò si pensi ai tanti (nuovi) diritti introdotti “come quello di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network (“diritto alla portabilità”), o come il diritto all’oblio cioè il diritto di non riproporre informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte”; con un cenno d’obbligo ai principi di privacy by design e by default (art. 25).
Per concludere con la figura del Responsabile della protezione dei dati (RPD/DPO), necessario per tutte le PA così come in quelle aziende “che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento” (artt. 37-39).
Insomma, con il GDPR si ha un modello di governance dell’innovazione “fondato su un equilibrio sostenibile tra tecnica e libertà”.
Il ruolo centrale e cruciale dell’EDPB
A livello europeo, come noto, il Garante Privacy è rappresentato principalmente dall’Autorità Europea per la Protezione dei Dati – EDPB.
L’EDPB in questo quinquennio ha svolto un’intensa attività, anche ispettiva.
Molte sono state le linee guida, le raccomandazioni e le migliori prassi elaborate e di utilità per tutti.
Sul fronte del coordinamento tra le varie Autorità, l’EDPB ha facilitato la cooperazione e il coordinamento tra le Autorità di protezione dei dati tra Stati membri; ha promosso la coerenza nell’applicazione del GDPR attraverso orientamenti comuni e decisioni armonizzate, garantendo che i diritti dei cittadini europei fossero tutelati in modo uniforme in tutti gli Stati membri.
Circa l’attività di scambio d’informazioni e assistenza reciproca, l’EDPB ha consentito una migliore comprensione e maggiore consapevolezza sulle sfide e pratiche emergenti in ordine alla protezione dei dati, fornendo reciproca assistenza tra Autorità nelle questioni transfrontaliere di interesse comune.
Sulla protezione dei diritti dei cittadini, l’EDPB ha svolto un ruolo centrale e decisamente attivo rispondendo prontamente alle richieste di reclamo e/o consulenza dei cittadini.
Sul fronte internazionale, da ultimo, l’EDPB ha collaborato con varie Autorità di Paesi terzi (extra UE) al fine di affrontare le sfide, a livello globale facilitando, allo stesso tempo, un trasferimento sicuro di dati personali verso Paesi terzi.
I provvedimenti sanzionatori più significativi, in Italia
Facciamo ora una breve analisi su alcuni dei provvedimenti sanzionatori, quelli tra i più significativi, che il nostro Garante Privacy ha adottato in questi anni, in costanza di GDPR.
Si tratta di sanzioni tutte con lo scopo da un lato di punire le non conformità alle norme di cui al GDPR e dall’altro di sensibilizzare le aziende sull’importanza della protezione dei dati personali tutelando i diritti degli interessati.
2019
Facebook. Il Garante Privacy ha inflitto, nel 2019, una sanzione di 5 milioni di euro a Facebook per accertate violazioni del GDPR.
Nella fattispecie, l’azienda è stata sanzionata per aver fornito informazioni non sufficienti agli utenti circa la raccolta e l’uso dei dati personali, oltre al mancato/non valido consenso per la profilazione degli utenti a scopi pubblicitari.
2020
TIM. Il Garante Privacy ha irrogato, nel 2020, una sanzione di 27,8 milioni di euro a TIM, per svariate violazioni del GDPR per, principalmente, pratiche di telemarketing non conformi, tra cui l’effettuazione di chiamate commerciali senza il consenso valido degli utenti chiamati.
Wind Tre. Il Garante Privacy ha comminato, sempre nel 2020, una sanzione di 16,7 milioni di euro a Wind Tre per violazioni sulla privacy in ordine ad un’attività di telemarketing scorretta, inviando nella specie messaggi promozionali senza da un lato il consenso degli utenti e dall’altro la registrazione delle richieste di opposizione al trattamento dei dati personali.
2021
Google. Il Garante Privacy, nel 2021, ha inflitto una sanzione di 102,1 milioni di euro a Google principalmente per la mancata informazione agli utenti sul trattamento dei dati personali, inclusa la pubblicità mirata, nonché per il mancato consenso valido circa l’uso dei dati personali a scopi pubblicitari.
2022
Clearview AI Inc. La società americana di riconoscimento facciale Clearview AI è stata sanzionata per 20 milioni di euro dal Garante privacy italiano per aver raccolto selfie su Internet, aggiunti al database di circa 10 miliardi di volti al fine di creare servizi di corrispondenza dell’identità.
2023
OpenAi. Essendo recente, ripercorriamo le singole tappe della vicenda.
Il 30 marzo l’Autorità bloccava temporaneamente ChatGPT per la raccolta illecita di dati personali, e l’assenza di sistemi per la verifica dell’età dei minori.
Pochi giorni dopo, il 5 aprile avviava l’interlocuzione tra il Garante e OpenAI esprimendo fin da subito disponibilità a collaborare.
Con il Provvedimento dell’11 aprile 2023 l’Autorità concedeva alla società statunitense di mettersi in regola entro il 30 aprile quando, se adempierà alle prescrizioni del Garante (circa informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti), potrà tornare nuovamente operativa (anche in Italia) con ChatGPT interamente accessibile.
È così è stato, tornando da maggio nuovamente operativo, potendo imparare molto da questa esperienza per una volta, con fierezza, tutta all’italiana.
Conclusioni
Ci piace, quindi, concludere con un commento testuale espresso proprio dal Presidente dell’Autorità Garante Privacy il quale, nel commentare questi cinque anni di GDPR, ha affermato come il Regolamento si sia (finora) mostrato “in costante bilanciamento con le esigenze individuali e collettive più varie” rilevando “la sua forza proprio nella sua ‘mitezza’, nel suo essere cioè mai tiranno e nel saper realizzare, di volta in volta, l’equilibrio più alto con gli interessi giuridici in gioco”. Niente di più vero.
