Privacy, nel 2025 occhio a intelligenza artificiale e sicurezza

Il contesto europeo: cosa ci aspetta

Il 2025 si prefigura come un anno ricco di sfide, stante non solo la necessità di proteggere adeguatamente i dati personali dalle possibili violazioni, le quali, come visto dagli ultimi provvedimenti del Garante, sono sempre dietro l’angolo, ma anche e soprattutto in vista degli obblighi derivanti da due normative importanti: l’AI Act in ambito di intelligenza artificiale e la Direttiva NIS2, in tema cybersecurity. Ovviamente si tratta di normative che devono essere adattate a un contesto regolatorio ben più ampio e complesso di quello citato (si pensi alle svariate normative che compongono il panorama cybersecurity).

Tutto ciò sempre riservando un occhio di riguardo alla strategia europea in materia di dati, composta dal Digital Services Act, Digital Markets Act, Data Governance Act e Data Act. In particolare, il Data Act si pone come un punto fondamentale per regolamentare l’uso dei sempre più diffusi strumenti interconnessi, rappresentando un punto di svolta nell’odierno panorama digitale. Esso, insieme al Data Governance Act, rappresenta la chiave per lo sviluppo di nuovi servizi nell’ambito delle smart cities e non solo, e una preziosa occasione per le iniziative volte a sostenere un ambiente più green, la mobilità integrata e la ricerca scientifica.

Data protection e telemarketing, le sanzioni del Garante

In ambito telemarketing, si segnala una importante sanzione di 842.062 euro che il Garante privacy ha irrogato a Sky Italia srl. L’Autorità ha accertato che la società sanzionata aveva svolto attività di marketing, telefonico e tramite sms, in assenza di adeguate verifiche sugli adempimenti in materia di informativa e raccolta del consenso, nonché della mancanza di necessaria consultazione del registro pubblico delle opposizioni prima dell’effettuazione delle campagne commerciali.

In particolare, il Garante ha rilevato che alcune delle utenze erano state contattate in base ad un consenso acquisito molto tempo addietro, senza che la società ne verificasse l’idoneità anche dopo le evoluzioni normative. Inoltre, la documentazione dei consensi acquisiti da società fornitrici di dati era apparsa non idonea a comprovare in modo inequivocabile la volontà degli interessati, poiché la società conservava i dettagli dei consensi in file Excel modificabili.

Sempre in materia di telemarketing, l’Autorità ha inflitto a Illumia spa, società operante nella fornitura dei servizi di luce e gas, una sanzione di 678.897 euro per trattamento illecito di dati personali per finalità promozionali. Anche in questo caso il provvedimento è derivato da un’istruttoria avviata a seguito dei reclami di alcuni utenti, i quali lamentavano la ricezione di telefonate indesiderate effettuate da diversi call center per promuovere i servizi offerti dalla società sanzionata. L’Autorità ha riscontrato, tra le altre cose, l’effettuazione di chiamate promozionali in assenza di un’idonea base giuridica, la mancanza di controlli lungo tutta la filiera e l’implementazione di alcune misure tecnico-organizzative con notevole ritardo rispetto all’entrata in vigore del GDPR.

Per quanto concerne i concorsi PA, il Garante Privacy ha sanzionato con 50mila euro l’INPS per aver pubblicato sul proprio sito web i dati personali di migliaia di partecipanti ad un concorso bandito dall’Istituto. Tra i dati oggetto della violazione, oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, figurava il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alla salute, di oltre 5mila interessati tra vincitori e idonei. Preoccupazioni erano state sollevate in occasione di un primo procedimento condotto dall’Autorità e conclusosi con una sanzione di 20 mila euro all’Istituto, il quale aveva portato a ulteriori indagini e a evidenziare che anche le graduatorie finali diffuse online contenevano numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti (ad esempio a taluni nominativi era associato il riferimento a giudizi pendenti).

Sanità e protezione dei dati: il ruolo di ospedali e cliniche

Con riguardo al delicato settore sanitario, si segnala che sono state pubblicate le FAQ del Garante in materia di accesso ai dati personali della cartella clinica. Nelle FAQ l’Autorità chiarisce che la struttura sanitaria, titolare del trattamento, a seguito di una istanza presentata ai sensi dell’art. 15 GDPR, è tenuta a fornire al richiedente copia dei dati personali oggetto del trattamento (la prima copia è gratuita). Tuttavia, la struttura sanitaria valuta se fornire copia integrale o meno della documentazione contenuta nella cartella clinica. Inoltre, la struttura è tenuta a fornire al richiedente, gratuitamente, copia integrale della propria documentazione sanitaria quando ciò sia necessario per consentirgli di verificare l’esattezza, la completezza e l’intelligibilità delle informazioni richieste, come stabilito dalla sentenza CGUE 307/22.

Il Garante ricorda, inoltre, ai titolari del trattamento (ospedali, aziende sanitarie, ecc.) che, in caso di ricezione di istanze generiche di accesso, le Linee guida della Commissione Europea sulla Protezione dei dati raccomandano di chiedere agli interessati di specificare l’oggetto della richiesta (dati personali o documentazione).

Il caso

Si segnala, sempre in ambito sanitario, che il Garante privacy ha definito il procedimento aperto nei confronti di un’Azienda ospedaliero-universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022. Il data breach aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Tra questi dipendenti, consulenti e pazienti. Tuttavia, la violazione non aveva determinato il blocco dei servizi sanitari.

Dall’ispezione del Garante erano emerse alcune carenze relative agli obblighi di sicurezza previsti dal GDPR, a causa dell’adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l’utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell’attacco hacker. Nel corso dell’istruttoria, il Garante ha anche accertato ulteriori omissioni riguardanti le misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l’accesso da remoto alla VPN, che invece avveniva solo attraverso l’utilizzo di username e password, l’assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.

Cybersecurity e IA, il rapporto con la privacy

Quanto successo all’Azienda ospedaliero-universitaria e, in generale, i numerosi attacchi hacker evidenziano l’importanza di avere degli attori attenti dal punto di vista cybersecurity e, dunque, compliant rispetto alle numerose normative del settore, soprattutto a fronte della sempre più intensa minaccia dei cybercriminali, le cui abilità rappresentano una grave minaccia per la cyber-resilienza dell’Europa, soprattutto dell’Italia, come evidenzia il rapporto Clusit 2024.

Non meno importante l’evoluzione tecnologica dettata dall’avanzare dell’Intelligenza Artificiale. È recentissimo il comunicato stampa dell’Autorità Garante per la protezione dei dati personali con il quale la stessa ha adottato un provvedimento correttivo e sanzionatorio (di quindici milioni di euro) nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT che arriva all’esito di un’istruttoria avviata nel marzo del 2023. Secondo il Garante, Open AI oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, esponendo a rischio i minori.

Dunque, il Garante italiano ha ordinato a OpenAI, ai sensi dell’art. 166 comma 7 Codice Privacy, di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet per promuovere la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione. In questo modo, gli utenti e i non-utenti di ChatGPT saranno sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.