Garante Privacy, nel 2023 sanzioni per 8 milioni di euro

Le sanzioni riscosse nel 2023 dall'Autorità Garante per la protezione dei dati personali ammontano a circa 8 milioni di euro, dato che emerge dalla Relazione sull’attività svolta lo scorso anno.

Nel periodo preso in esame, è stata massiva la diffusione delle tecnologie di Intelligenza Artificiale e questo ha comportato per il Garante un forte impegno in diversi interventi, tra cui l’iniziale blocco di ChatGPT per la raccolta illecita di dati personali e assenza di sistemi per la verifica dell’età dei minori. A seguito dell'attività condotta dallo stesso Garante, la piattaforma è stata riaperta, garantendo maggiori trasparenza e diritti agli utenti. Allo stesso tempo, è stata costituita una task force a livello europeo e sono tutt’ora in corso verifiche da parte dell’Autorità.

Qualche dato

Significativo il numero dei data breach notificati nel 2023 al Garante da parte di soggetti pubblici e privati: 2.037. Nel settore pubblico (37% dei casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (63% dei casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni.

Nel 2023 sono stati complessivamente adottati 634 provvedimenti collegiali, e l’Autorità ha fornito riscontro a 19.281 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la giustizia, il cyberbullismo e il revenge porn, la sicurezza informatica; il settore bancario e finanziario; il lavoro. I pareri resi dal Collegio su atti normativi e amministrativi sono stati 59 ed hanno riguardato la digitalizzazione della P.a.; la sanità; il fisco; la giustizia; l’istruzione; funzioni di interesse pubblico, mentre 6 sono stati i pareri su norme di rango primario: in particolare, riguardo accertamento fiscale, digitalizzazione della Pa, giustizia, open data.

Durante lo scorso anno il Garante ha imposto lo stop anche al chatbot Replika, per via dei rischi per minori e persone emotivamente fragili, e l’Autorità ha avviato anche un’istruttoria su Sora, il modello di intelligenza artificiale che crea brevi video da poche righe di testo. Sotto la lente anche Pornhub, a cui l’Autorità ha richiesto chiarimenti su profilazione degli utenti e sistemi di tracciamento. Sempre in questo ambito, il Garante ha emanato il provvedimento che detta le regole per difendere i dati personali dal webscraping.

Il fenomeno del revenge porn risulta in aumento: sono infatti state 299 le segnalazioni di persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, raddoppiate rispetto allo scorso anno, ma che nella maggior parte dei casi hanno comunque visto il tempestivo intervento del Garante per ottenere il blocco preventivo della diffusione delle foto e dei video. Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 7 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, falsità nelle dichiarazioni e notificazioni al Garante, accesso abusivo a un sistema informatico.

SPID, tecnologie di riconoscimento facciale, data breach

Le ispezioni effettuate nel 2023 sono state 144, in linea rispetto a quelle dell’anno precedente, e gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato. In dettaglio: SPID, ricerca scientifica, tecnologie di riconoscimento facciale, data breach, telemarketing, siti web e uso dei cookie.

Sul fronte della cybersecurity, Garante Privacy e Agenzia per la Cybersicurezza Nazionale (ACN) hanno messo a punto le Linee guida per la conservazione delle password. Per quanto riguarda l’attività di relazione con il pubblico il Garante ha dato riscontro a oltre 19.200 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del GDPR e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal web; alla salute e alla ricerca; all’intelligenza artificiale.