Sommario
Il Garante per la protezione dei dati personali presenta la Relazione annuale 2024, ponendo al centro intelligenza artificiale, digitalizzazione e responsabilità etica, in un contesto in cui si registrano sanzioni per oltre 24 milioni di euro e 625 casi di revenge porn. Il presidente Pasquale Stanzione, nel discorso ufficiale, ha definito l’IA come un “mutamento antropologico” che richiede una governance centrata sulla persona.
Deepfake, dipendenze digitali e profilazione algoritmica emergono come rischi concreti, mentre l’Autorità impone una linea rigorosa su telemarketing, food delivery e riconoscimento facciale nei luoghi di lavoro. Il Garante rafforza la tutela della privacy, intervenendo anche sulla digitalizzazione del Fascicolo sanitario elettronico e criticando l’eccessiva delega a chatbot in ambiti delicati. Nel complesso, sono state adottate 468 misure correttive, 186 sanzioni, 93 ammonimenti e registrati 2.204 data breach.
I numeri chiave del Garante 2024
L’attività ispettiva del Garante ha segnato una crescita netta, con 130 interventi in loco e revenge porn trattato in 625 casi ratificati. Le sanzioni pecuniarie imposte hanno totalizzato 24.430.856,45 euro, suddivise tra pagamenti spontanei per 23.153.233,08 euro e riscossioni coattive per 1.277.423,37 euro.
Sono stati emessi 93 ammonimenti, 28 ingiunzioni a tutela dei diritti degli interessati e 59 ordini di conformità ai trattamenti. Le limitazioni provvisorie sono state 39, mentre gli ordini di rettifica o cancellazione hanno raggiunto quota 29. Le comunicazioni di reato trasmesse all’autorità giudiziaria ammontano a 16, comprendendo accessi abusivi, falsità e violazioni nei controlli a distanza sul lavoro.
Nel 2024 il Garante ha ricevuto 94.948 segnalazioni e fornito 93.795 riscontri, oltre a gestire 386 quesiti con 501 risposte. Stanzione ha sottolineato come questi volumi confermino una crescente consapevolezza pubblica sul valore della privacy.
Il ruolo dell’IA nella Relazione 2024
L’intelligenza artificiale rappresenta il cardine della Relazione, indicata come acceleratore tecnologico che impone una rinnovata tutela dei diritti umani. Stanzione richiama la necessità di un’etica degli algoritmi (“algorettica”) che limiti la tecnica per prevenire abusi, discriminazioni, deepfake e dipendenze digitali.
Il Garante propone interventi normativi al G7 e contribuisce alla Convenzione del Consiglio d’Europa su IA e diritti umani, primo trattato internazionale vincolante in materia. Il presidente ha criticato apertamente l’uso improprio dei chatbot, citando casi di suicidio legati a dipendenze emotive e bloccando app come Replika.
In sanità, l’Autorità appoggia l’uso di dati post-mortem per algoritmi predittivi, ma impone trasparenza nei modelli matematici. L’azione si estende anche al mondo del lavoro, con sanzioni per mancanza di trasparenza nei sistemi IA adottati nel food delivery. Viene evidenziato il rischio di bias di genere negli algoritmi, motivo per cui si richiede verifica del rischio nei sistemi ad alto impatto, come quelli usati nella sanità e nei rapporti lavorativi.
Digitalizzazione PA e accountability
Il Garante identifica la digitalizzazione della pubblica amministrazione come priorità strategica. L’attuazione delle riforme del Pnrr comporta l’adozione di standard elevati di protezione dei dati. Vengono definiti criteri per progetti come il redditometro, e sono stati espressi pareri su Anagrafe nazionale istruzione e sulle architetture informatiche della sanità.
In particolare, il Garante ha pubblicato un Compendio sulla sanità digitale, chiarendo i principi per piattaforme medico-paziente. È stata imposta l’opposizione esplicita al Fascicolo sanitario elettronico, per garantire il consenso libero. L’architettura Eds viene approvata secondo principi di privacy by design, limitando la raccolta dati a richieste esplicite.
L’attività si è estesa al settore giudiziario, con la distruzione degli atti civili analogici e l’eliminazione della consultazione preventiva su dati per la ricerca medica, sostituita da garanzie deontologiche. Il Garante ha firmato protocolli con l’Arma dei Carabinieri e il Politecnico, contribuendo alla sicurezza delle banche dati strategiche. Stanzione ha richiamato l’attenzione sulle 2.204 notifiche di data breach, segno della crescente vulnerabilità informatica.
Attività sanzionatoria e revenge porn
Il Garante ha imposto 186 sanzioni per un totale di 24,4 milioni di euro, con 468 misure correttive e 93 ammonimenti, a fronte di 625 casi accertati di revenge porn. Le sanzioni colpiscono ambiti come il telemarketing illegale, con multe superiori a 6 milioni di euro per attivazioni di SIM non richieste e profilazioni senza consenso.
L’Autorità è intervenuta contro il riconoscimento facciale nei luoghi di lavoro, invalidando consensi ritenuti asimmetrici, e ha richiamato il pericolo dei software spia, tra cui Paragon. Stanzione segnala inoltre 16 comunicazioni di reato tra cui accessi abusivi e violazioni dei controlli sui lavoratori. È stata rafforzata la vigilanza sulle piattaforme social, soprattutto per quanto riguarda contenuti inappropriati rivolti a minori.
Attività internazionale e cooperazione
A livello internazionale, il Garante ha partecipato al G7 privacy di Roma, contribuendo alla stesura della dichiarazione comune su governance e intelligenza artificiale. L’Autorità è attiva nel comitato Edpb e sostiene la Convenzione del Consiglio d’Europa sulla protezione dei diritti fondamentali nel contesto IA.
Sono stati gestiti 13 reclami transfrontalieri come autorità capofila e 691 casi come interessata, con 52 richieste di assistenza inviate e 260 ricevute. Il Garante partecipa a progetti europei di implementazione del Gdpr e sostiene lo sviluppo di linee guida internazionali sull’IA, anche attraverso il lavoro con Ce e Ocse. L’attività di comunicazione ha incluso 50 comunicati stampa, 15 newsletter e 4 campagne pubbliche, a conferma del ruolo educativo dell’Autorità.
Accountability: il principio chiave
Nel quadro del Gdpr, l’accountability impone ai titolari di trattamento l’onere di dimostrare la conformità normativa. Ciò include registri dei trattamenti, nomine dei responsabili, audit periodici e misure tecniche come la pseudonimizzazione e la cifratura end-to-end.
Nel campo dell’IA, l’accountability si traduce nella trasparenza dei modelli algoritmici e nella tracciabilità delle decisioni attraverso sistemi di logging. L’Autorità verifica il rispetto di questi obblighi mediante ispezioni mirate e sanziona le mancanze documentali. Come ricorda Stanzione, l’articolo 5 del Gdpr impone che la responsabilità sia continua e dimostrabile, non episodica.
