La Relazione annuale 2024 del Garante per la protezione dei dati personali (premere qui per leggere) restituisce un quadro ricco di conferme e novità. L’Autorità ha operato in un contesto segnato dall’accelerazione dei processi di digitalizzazione e dall’impatto crescente dell’intelligenza artificiale, chiamata a bilanciare innovazione tecnologica e tutela dei diritti fondamentali.
L’intelligenza artificiale tra governance e diritti
Il 2024 ha visto l’entrata in vigore dell’AI Act, primo regolamento europeo sull’intelligenza artificiale, e l’apertura alla firma della Convenzione quadro del Consiglio d’Europa su intelligenza artificiale e diritti umani.
Il Garante ha rivendicato un ruolo centrale nella governance dell’intelligenza artificiale, intervenendo su temi quali:
- l’uso dei dati sanitari nell’ecosistema digitale della salute e nella telemedicina;
- l’impiego di dati sintetici e informazioni riferite a soggetti deceduti nella ricerca scientifica;
- il ricorso ad algoritmi per l’organizzazione del lavoro nei modelli di piattaforma;
- il contrasto al web scraping massivo per l’addestramento dei sistemi generativi.
In ciascun ambito è stato ribadito che le applicazioni di intelligenza artificiale devono conformarsi non solo al GDPR, ma anche ai nuovi standard europei in materia.
Digitalizzazione della pubblica amministrazione e sanità digitale
L’Autorità ha seguito da vicino i progetti legati al PNRR, evidenziando le criticità di sistemi informativi datati e l’esigenza di adeguarli a principi di privacy by design. Particolare attenzione è stata dedicata al Fascicolo sanitario elettronico 2.0 e all’Ecosistema dati sanitari, che potranno alimentarsi solo su richiesta espressa degli interessati.
La Relazione segnala inoltre la necessità di uniformare le informative regionali, riducendo difformità che rischiano di compromettere i diritti dei pazienti.
Accountability “assistita” e telemarketing selvaggio
Il principio di accountability, fulcro del GDPR, è stato confermato come chiave di volta della protezione dei dati. Tuttavia, le ispezioni hanno rivelato carenze strutturali soprattutto nel settore del telemarketing, dove sono emersi fenomeni di abusi, in particolare nel mercato energetico.
Il Garante ha affiancato alle sanzioni una strategia di accompagnamento, promuovendo un modello di accountability assistita: linee guida, chiarimenti e codici di condotta a supporto dei titolari del trattamento.
Data breach e sicurezza informatica
Il numero di notifiche di violazioni di dati personali è aumentato sensibilmente. Nel settore bancario le minacce derivano per lo più dall’interno, mentre in quello sanitario prevalgono attacchi esterni con ransomware.
Il Garante ha istituito una task force dedicata e ribadito la necessità di notifiche complete e tempestive, essenziali per consentire interventi efficaci di mitigazione dei rischi.
Diritti degli interessati e nuove sfide
Il diritto di accesso e il diritto all’oblio restano i più invocati dagli interessati. La Relazione evidenzia difficoltà soprattutto in ambito sanitario e lavorativo.
Preoccupante è il fenomeno della diffusione online di deepfake, spesso legati a episodi di revenge porn, che apre nuove frontiere di tutela. Parallelamente, il Garante ha approvato codici di condotta settoriali (software gestionali, agenzie per il lavoro), rafforzando la responsabilizzazione degli operatori.
Dimensione internazionale e prospettive future
Il 2024 ha registrato una maggiore convergenza tra le autorità europee, con un calo dei conflitti rimessi al Comitato europeo per la protezione dei dati. Il Garante ha sottolineato l’urgenza di un approccio coordinato contro i grandi player globali, anche alla luce dei modelli di monetizzazione dei dati e delle pratiche di consent or pay.
In questo scenario, l’Autorità si propone non solo come organo di controllo, ma come attore proattivo, in grado di anticipare le sfide poste dall’evoluzione tecnologica e normativa.
The post Privacy e intelligenza artificiale: i punti cruciali della Relazione 2024 del Garante first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
