Sono molti e importanti i temi toccati dal Garante privacy nel corso della presentazione della Relazione annuale sull’attività svolta dall’Autorità nel 2023.
Il Presidente dell’Autorità, Pasquale Stanzione, ha ricalcato i temi etici, sociali, giuridici e culturali che l’Italia e il mondo si ritrovano a dover affrontare, alla luce dell’incessante progresso tecnologico e delle sfide che esso comporta e le azioni che l’Autorità stessa ha attuato di conseguenza.
La relazione illustra le diverse tematiche che hanno visto particolarmente coinvolto il Garante privacy durante il 2023 nell’ottica della costante ricerca di un contemperamento di interessi.
Difatti, il 2023 è stato un anno costellato da diverse novità, come l’avanzata della digitalizzazione su diversi fronti, l’ulteriore sviluppo delle tecnologie dell’intelligenza artificiale, l’attuazione dei programmi sul PNRR e le relative conseguenze, il contrasto al telemarketing aggressivo, la tutela dei dati sanitari, con particolare riguardo ai dati personali dei soggetti più vulnerabili.
Indice degli argomenti
Punti cardine della relazione annuale del Garante privacy
Si propone una sintesi dei punti principali che sono stati toccati dal Presidente Stazione durante il discorso di presentazione della relazione annuale per l’anno 2023.
Intelligenza artificiale e ChatGPT, osservati speciali
Non v’è dubbio che il 2023 sia stato l’anno di massima espansione, anche e soprattutto a livello sociale, dell’Intelligenza Artificiale.
Durante lo scorso anno, molti hanno sentito parlare, per la prima volta, di questa dirompente tecnologia, capace di rivoluzionare il mondo. Si pensi, in primo luogo a ChatGPT, piattaforma di proprietà della società statunitense Open AI, la quale dopo un iniziale blocco per via della raccolta illecita di dati personali e per l’assenza di sistemi di age verification per i minori, è stata riaperta garantendo più trasparenza e più diritti agli utenti.
Il Presidente Stanzione ha rimarcato il fatto che, oggi, circa il 65% dei ragazzi utilizza l’intelligenza artificiale per svolgere i compiti, precisando addirittura che due studenti su tre avrebbero preparato l’esame di maturità ricorrendo all’uso di questa innovativa tecnologia.
Particolare rilevanza assume, poi, il blocco del chatbot Replika, poiché reputato dal Garante come potenzialmente pericoloso per gli utenti, soprattutto per i più piccoli. Inoltre, si ricorda l’apertura di un’istruttoria su Sora, un nuovo modellodi intelligenza artificiale capace di creare brevi video da poche righe di testo.
L’AI nel settore sanitario, nel contesto lavorativo e bellico
Importante ricordare anche l’impatto che l’IA ha nel settore sanitario, poiché tali tecnologie sono utilizzate a supporto di medici e operatori sanitari per finalità diagnostiche, sperimentali, terapeutiche.
Il Garante ha evidenziato come le molecole farmacologiche scoperte mediante l’intelligenza artificiale mostrerebbero un tasso di successo, nella prima fase clinica, pari a circa l’80-90%.
In questo contesto, però, è fondamentale avere sempre un occhio di riguardo verso le conseguenze disastrose che un utilizzo non controllato delle tecnologie di IA potrebbe comportare nei confronti dei cittadini.
Attraverso il Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, adottato nell’ottobre 2023, l’Autorità ha inteso rimarcare i principi che presiedono al corretto utilizzo dei dati personali mediante sistemi d’intelligenza artificiale, riconducibili ai principi di trasparenza e supervisione dei processi decisionali automatizzati, nonché di non discriminazione algoritmica.
Sempre in ambito sanitario, è opportuno ricordare gli interventi sulla riforma del Fascicolo sanitario elettronico 2.0 (FSE). Infatti, a quasi un anno dalla pubblicazione del DM 7 settembre 2023 sul nuovo FSE 2.0, il Garante Privacy è intervenuto nei confronti di ben 18 Regioni italiane e delle Province autonome di Bolzano e Trento, avviando dei procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0 (DM 7 settembre 2023).
I diritti fondamentali come quello alla salute non possono, infatti, tollerare garanzie a geometria variabile, ha rimarcato fermamente il Presidente Stanzione durante il proprio discorso di presentazione della relazione annuale.
Inoltre, è chiaro come l’Intelligenza Artificiale stia avendo – e avrà soprattutto in futuro – delle inevitabili conseguenze probabilmente inimmaginabili dal punto di vista economico-sociale, stante il pericolo di sostituzione di numerosi posti di lavoro, a fronte però, della creazione di nuovi.
Desta, tuttavia, particolari preoccupazioni l’uso dell’AI nei tristi contesti bellici che negli ultimi anni in particolare si sono fatti strada nel mondo, poiché, ha osservato il Presidente Stanzione, la potenza dell’algoritmo rischia di amplificare senza limiti la capacità offensiva dei conflitti, sottraendo all’uomo il controllo della violenza.
Secondo il The Guardian, infatti, l’alto numero di civili rimasti vittime dei bombardamenti sulla striscia di Gaza sarebbe imputabile all’uso indiscriminato dell’intelligenza artificiale.
La preoccupazione dell’uso delle tecnologie di IA in guerra e per finalità di competizione geopolitica ha comportato non a caso il bando statunitense dei prodotti Kaspersky (azienda russa tra i leader nella produzione di software).
Algoritmi e web scraping
Il Presidente Stanzione si è soffermato sui limiti del web scraping i quali hanno portato all’adozione del provvedimento proprio sul web scraping, recante alcune garanzie essenziali per evitare che gli algoritmi possano essere pericolosamente alimentati tramite la costante osservazione delle nostre vite.
In particolare, in ambito fiscale, la relativa riforma evidenzia che il ricorso all’intelligenza artificiale esige requisiti stringenti per garantire l’affidabilità e l’esattezza dei dati utilizzati per la profilazione dei contribuenti, di modo da evitare l’addestramento di algoritmi su informazioni inesatte che possano poi portare ai dei bias, difficili da espiantare.
In tal senso, assume particolare rilevanza il Provvedimento del Garante n. 329 del 20 maggio 2024, recante le indicazioni per difendere i dati personali pubblicati online da soggetti pubblici e privati in qualità di titolari del trattamento dal web scraping, la raccolta indiscriminata di dati personali su internet, effettuata, da terzi, con lo scopo di addestrare i modelli di intelligenza artificiale generativa.
Con tale provvedimento, l’Autorità ha ritenuto necessario fornire a quanti pubblicano online dati personali in qualità di titolari del trattamento talune prime indicazioni sull’esigenza di compiere alcune valutazioni in ordine all’opportunità di adottare accorgimenti idonei a impedire o, almeno, ostacolare il web scraping.
In particolare, il Garante suggerisce alcune misure che possono essere adottate per arginare i pericoli derivanti dal web scraping, come la creazione di aree riservate accessibili solo previa registrazione così da sottrarre i dati dalla pubblica disponibilità; l’inserimento di clausole anti-scraping nei termini di servizio dei siti; il monitoraggio del traffico verso le pagine web per individuare eventuali flussi anomali di dati in entrata e in uscita; interventi specifici sui bot utilizzando, tra le altre, le soluzioni tecnologiche rese disponibili dalle stesse società responsabili del web scraping.
Tutela dei minori, tra revenge porn e cyberbullismo
Sul delicatissimo fronte della tutela on line dei minori, il 2023 è stato caratterizzato dalla prosecuzione dell’azione di vigilanza sull’età di iscrizione ai social network, anche attraverso sistemi di age verification. In questa direzione si muove il tavolo di lavoro istituito con un protocollo d’intesa tra Garante e Agcom.
Desta poi particolari preoccupazioni l’aumento di episodi di revenge porn, con il raddoppio, rispetto allo scorso anno, delle segnalazioni di persone che temono la diffusione di foto e video a contenuto sessualmente esplicito: il Garante ha infatti ricevuto 299 istanze di blocco del caricamento non consensuale di contenuti intimi.
Per tale ragione sono stati sottoscritti nuovi protocolli di intesa tra Garante e Comitati regionali per le comunicazioni (Corecom) di diverse Regioni, così da cercare di porre un freno non solo a questo fenomeno, ma anche al non meno pericoloso tema del cyberbullismo.
Cyber security e conservazione delle password
Il Garante Privacy e l’Agenzia per la Cybersicurezza Nazionale (ACN) hanno messo a punto le Linee guida per la conservazione delle password, volte a fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, per evitarne la violazione e il conseguente utilizzo per furti di identità, richieste di riscatto o altri tipi di attacchi (la cui criticità raggiunge oggi la soglia dell’81% del totale, contro il 47% del 2019).
Questa iniziativa è stata adottata proprio per far fronteall’elevato numero dei data breach notificati nel 2023 al Garante da parte di soggetti pubblici e privati.
L’Autorità ha, infatti, rilevato che nel settore pubblico (37% dei casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie, mentre nel settore privato (63% dei casi) sono stati coinvolte sia PMI e professionisti sia grandi società di settori trainanti, come quelli delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni.
I nuovi codici di condotta
Il 2023 è stato protagonista dell’approvazione di due importanti codici di condotta: il codice di condotta per le agenzie per il lavoro e il codice di condotta sul telemarketing.
Il primo introduce alcune significative garanzie per i candidati a posizioni lavorative, volte anche a impedire discriminazioni nell’accesso al mercato del lavoro.
Con tale codice, le Agenzie aderenti allo stesso si impegnano a trattare soltanto dati strettamente necessari all’instaurazione del rapporto di lavoro, senza svolgere indagini sulle opinioni politiche, religiose o sindacali dei lavoratori o effettuare preselezioni, neppure con il consenso dei candidati.
Invece, il secondo codice si pone l’obiettivo di svolgere una funzione importante nella promozione del principio di responsabilizzazione, anche favorendo standard uniformi di conformità delle condotte dei vari attori coinvolti nella filiera delle attività promozionali.
Conclusioni
La relazione del Garante privacy per l’anno 2023 mette sul piatto una serie di importanti sfide che interessano tutti i soggetti facenti parte del tessuto sociale (adulti, minori, soggetti vulnerabili in generali) e hanno ad oggetto tematiche trasversali, le quali producono effetti sull’intera società.
Si pensi alla dirompenza delle tecnologie di IA e alle sue innumerevoli applicazioni, ai casi di aumento degli episodi di data breach e all’esigenza di garantire una maggiore cyber resilienza italiana ed europea; si considerino i fenomeni negativi che colpiscono soprattutto i soggetti più vulnerabili (l’uso di droni di ultima generazione e dell’AI per fomentare e facilitare le azioni belliche, il revenge porn, le difficoltà nell’attuazione armonizzata delle disposizioni del FSE 2.0, gli episodi di cyberbullismo).
La consapevolezza dell’esistenza di queste numerose e differenti problematiche che attanagliano le diverse società nel mondo, porta le autorità, i governi e i legislatori (europei e non solo) a mettere a fuoco le esigenze degli individui e ad agire di conseguenza, con l’auspicio di proteggere in via prioritaria e coordinata i diritti e le libertà delle persone.
