Privacy Point – Rassegna stampa Marzo 2024

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Scuole: le responsabilità dell’applicazione del GDPR e del regolamento relativo al whistleblowing

Si cita l’articolo Applicazione di whistleblowing e privacy nelle scuole: indicazioni base per una verifica della compliance, al cui originale si dovrà far riferimento, ad uso dei responsabili di istituzioni scolastiche.

Premesso che il Direttore dell’ufficio scolastico regionale (DUSR) (o il Dirigente ad esso preposto) è il soggetto responsabile della prevenzione della corruzione (RPCT) per gli istituti scolastici di ogni ordine e grado, secondo le Linee guida ANAC sull’applicazione del Decreto Whistleblowing (DLWB), essendo amministrazioni pubbliche tenute alla nomina dell’RPCT, è lo allo stesso DUSR che fa capo il  trattamento dei dati personali afferenti al whistleblowing.

Alle scuole (private) paritarie, sotto un certa dimensione, e non paritarie il DLWB non si applica, così come non hanno l’obbligo di applicare le misure di prevenzione della corruzione.

Viceversa, dal punto di vista della protezione dei dati personali, secondo l’autore dell’articolo, anche le scuole private sarebbero soggette alla nomina del Data Privacy Officer (DPO), in quanto comunque svolgono un’attività con un pubblico rilievo; ed in ogni caso, tale nomina è “vista con favore dalle Autorità Garanti”.

Punti essenziali per il soddisfacimento dl DPR

Secondo l’articolo Due diligence e gap analysis: i necessari presupposti per realizzare livelli elevati di compliance privacy in azienda, un DPO o un consulente privacy dovrebbero, all’assunzione dell’incarico, verificare il Modello Organizzativo per la Privacy (MOP) dell’azienda. In assenza o carenza di questo, dovrebbero eseguire una gap analysis, cioè un piano d’azione dettagliato e sequenziale finalizzato all’implementazione di miglioramenti effettivi e quantificabili nel trattamento e nella protezione dei dati personali.

In capo al Titolare del trattamento dei dati personali (il “controller”) ricadono diverse responsabilità generali, sia all’interno della sua organizzazione, per il personale dipendente “autorizzato al trattamento”, sia all’esterno, per altri dipendenti che rivestono il ruolo di “responsabili del trattamento”.

Tali responsabilità devono inoltre essere esercitate sotto diversi punti di vista. Riferendosi alla terminologia inglese, infatti si deve parlare di:

• “Responsibility”, per la responsabilità esecutiva dei compiti previsti per ottemperare al GDPR,
• “Liability”, quale responsabilità legale, comprendente l’essere soggetto a sanzioni pecuniarie [e penali in certi casi] e a risarcimenti,
• “Accountability”, dovendo rendere conto delle proprie azioni (così come i consigli di amministrazione delle aziende devono nei confronti degli investitori) [questo tipo di responsabilità implica il dover essere capaci di dimostrare la propria conformità al GDPR, per le attività eseguite e la loro efficacia. Ndr]

Predisponendo un sistema di gestione dei processi di trattamento dei dati personali, documentato in un MOP, il titolare può dimostrare l’adempimento alla sua responsabilità generale [più specificatamente dell’accountability; ndr]. A maggior ragione se adotta un framework per la cybersecurity  e per la protezione dei dati personali, o un sistema di gestione della sicurezza delle informazioni.

La “due diligence” parte dalla gap analysis, con cui si individua l’effettivo livello di compliance dell’organizzazione. Quindi si rileva e valuta il divario tra tale livello e quello invece desiderabile [e dovuto]. Si pianificano, infine, gli interventi attuativi di miglioramento, tecnico e organizzativo, per colmare le lacune riscontrate riguardo ai rischi per i diritti e le libertà fondamentali delle persone fisiche.

Al via il Regolamento europeo sull’Intelligenza Artificiale: considerazioni generali

L’articolo Approvato l’Artificial Intelligence Act: adesso inizia la vera sfida etica informa che il Parlamento Europeo ha approvato l’ Artificial Intelligence Act, che si propone di sostenere lo sviluppo di questa tecnologia digitale d’avanguardia, ma nel rispetto dell’etica, delle sicurezza, dei diritti umani e dei valori democratici.

L’AI Act stabilisce, quindi, requisiti rigorosi per i sistemi AI ad alto rischio, norme trasparenti e meccanismi di sorveglianza e sanzionatori in un quadro di governance e conformità.

Il regolamento sull’AI dovrà essere monitorato e man mano aggiornato a fronte di nuove tecnologie e sarà aggiornata anche la classificazione dei rischi.

Il regolamento classifica i sistemi di AI in base al loro livello di rischio, imponendo requisiti più stretti ai sistemi ad “alto rischio” requisiti più stretti, quali quelli impiegati in ambiti sensibili come la gestione delle infrastrutture critiche, l’istruzione, l’occupazione, la sicurezza pubblica e il settore giudiziario. Tra questi requisiti vi sono rigorose valutazioni del rischio, requisiti di trasparenza, obblighi di sorveglianza umana e standard elevati di sicurezza.

I fornitori di sistemi di AI dovranno effettuare approfondite analisi di impatto per prevenire conseguenze sui diritti umani e sulle libertà individuali, in particolar modo di tipo discriminatorio.

Il monitoraggio della conformità viene affidato ad organismi nazionali specifici ed al comitato europeo sull’AI. Le possibili sanzioni sono di tipo pecuniario, proporzionali all’entità dell’infrazione.

Il regolamento prevede anche misure per sostenere la ricerca e lo sviluppo nell’IA, attraverso deroghe specifiche e l’istituzione di spazi di sperimentazione regolamentare (sandbox).

Gli operatori tecnologici temono che questo regolamento produrrà burocrazia e costi non sostenibili dalle piccole imprese ed una possibile fuoriuscita dall’Europa di investimenti e attività. Viceversa, organizzazioni per i diritti civili temono che una protezione non adeguata ed un controllo forzatamente non sufficientemente esteso potrebbero rafforzare le disuguaglianze esistenti e creare nuove forme di esclusione sociale. L’auspicio è una cooperazione internazionale per l’adozione di norme condivise.

[Purtroppo le buone intenzioni sono una cosa e la cruda realtà è un’altra: mentre l’Europa si impegna a garantire un impiego etico dell’AI, vi sono paesi nel mondo che la lasciano utilizzare ai fini del massimo profitto ed altri che ne supportano anche l’utilizzo a fini illegittimi polizieschi, politici e belligeranti. Ndr]

Neppure la Commissione europea è conforme al GDPR?

Ormai siamo al paradosso per cui, come informa l’articolo L’utilizzo di Microsoft 365 da parte della Commissione UE viola la normativa europea sulla privacy, il Garante europeo per la protezione dei dati (European Data Protection Supervisor) ha ordinato alla Commissione europea di adottare misure per conformarsi alle norme sulla privacy e di interrompere il trasferimento di dati all’azienda statunitense e alle filiali situate in Paesi terzi che non hanno accordi sulla privacy con l’UE. Sono contestate le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell’utilizzo di Microsoft 365, che hanno un impatto su un gran numero di persone.

Il contratto tra la Commissione europea e Microsoft non preciserebbe quali dati personali sono trattati e trasferiti e a quale scopo, nell’utilizzo di Microsoft 365.

[A quanto pare non sono risultate sufficienti l’adesione di Microsoft al GDPR, le sue certificazioni relative alla protezione delle informazioni, nonché l’adesione di Microsoft Corporation al Data Privacy Framework (DPF), relativo al trasferimento di dati personali verso società statunitensi che abbiano adottato il DPF, senza la necessità di consenso da parte degli interessati. Ndr]

Il consulente del lavoro potrebbe estendere i propri compiti

L’articolo Responsabilità ed opportunità per il Consulente del Lavoro nella filiera della privacy, in forza anche delle precisazioni dell’Autorità garante, indica quando un consulente del lavoro sarà titolare del trattamento dei dati personali e quando invece solo responsabile del trattamento. Ricorre il primo caso se il consulente, nell’ambito della propria attività professionale, definisce le finalità e i mezzi del trattamento dei dati del cliente, agendo in piena autonomia e indipendenza. Mentre ricorre il secondo se riceve invece istruzioni dal titolare.

Il consulente potrebbe inoltre arricchire le proprie prestazioni, proponendosi, avendone le competenze, come consulente privacy, almeno riguardo ai dati personali dei dipendenti del cliente, o addirittura Data Privacy Officer (responsabile della protezione dei dati).

Anticipazioni sui requisiti dell’AI Act

L’articolo Regolamento sull’Intelligenza Artificiale, l’utente deve sempre sapere se sta interagendo con un robot fornisce gli aspetti legati ai principali requisiti del regolamento sull’AI approvato lo scorso 13 marzo 2024, ma ancora da pubblicare sulla Gazzetta Ufficiale dell’UE. Pertanto, chi volesse delle anticipazioni, faccia per il momento riferimento all’articolo originale di cui al link fornito, in attesa di disamine della versione definitiva.

Se l’azienda utilizza l’Intelligenza Artificiale, il DPO deve tener conto dell’AI Act

Come cita l’articolo Il ruolo del Data Protection Officer nella gestione delle risorse umane con i sistemi di intelligenza artificiale, tra i compiti del DPO, nell’ambito della gestione del personale da parte dell’azienda, vi sono i seguenti:

• formazione e sensibilizzazione del personale sui principi del GDPR e sulle relative best practice,
• consulenza e supporto al titolare del trattamento,
• parere sulla valutazione d’impatto,
• controllo e monitoraggio delle attività di trattamento dei dati personali e verifica della conformità aziendale.

Se l’azienda ricorre all’Intelligenza Artificiale per il trattamento dei dati personali, ad esempio in fase di selezione del personale o di valutazione delle prestazioni dei dipendenti, il DPO dovrà tener conto anche dell’ AI Act approvato dal Parlamento europeo. Infatti il regolamento europeo inserisce tra gli impieghi ad alto rischio dell’AI anche il settore dell’ “Occupazione, gestione dei lavoratori e accesso al lavoro autonomo”. Il DPO sarà quindi impegnato nella valutazione dei rischi per l’adozione del sistema di AI e nella verifica che i lavoratori siano informati in modo chiaro e trasparente sulle modalità di trattamento dei loro dati personali.

E’ terminato il monitoraggio sul whistleblowing: si attendono integrazioni alle Linee guida ANAC

L’articolo Monitoraggio ANAC sul whistleblowing: prime riflessioni sulle risultanze emerse in 10 punti informa che si è concluso il monitoraggio, avviato dall’ANAC a fine 2023, che fornisce una fotografia di come è applicato il d.lgs. n. 24/2023 sul whistleblowing.

L’articolo riporta alcuni esiti dell’indagine e le conseguenti riflessioni da parte dell’autore dell’articolo.

E’ possibile che ANAC possa integrare con maggiori suggerimenti le proprie Linee guida in materia di protezione delle persone che segnalano violazioni.

Le informazioni specifiche relative ad un soggetto permettono di individuarne il nome

Senza stare a riportare i dettagli del caso specifico trattato dalla Corte di Giustizia UE (riscontrabili nell’articolo L’ombrello della riservatezza si apre in caso di ricerche incrociate sul web), è rilevante, perché applicabile in generale, la sentenza che considera una violazione della privacy diffondere particolari che possono agevolmente portare all’identificazione di un soggetto, che dovrebbe essere tutelato, pur non riportandone il nome.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

L’Artificial Intelligence Act è un modello basato sui rischi

L’articolo Artificial Intelligence Act e Lavoro: la circolare del Sole 24 Ore evidenzia che l’Artificial Intelligence Act (AIA), costituito dal Regolamento Europeo approvato il 13 marzo scorso, contrariamente all’approccio “soft law”, costituito da semplici raccomandazioni, adottato dagli USA, si fonda su regole e principi giuridicamente vincolanti.

Il modello europeo individuati diversi sistemi di Intelligenza artificiale con quattro diverse categorie di rischio, a ciascuna delle quali corrisponde un diverso grado di regolamentazione. Per i modelli di IA per scopi generali, in grado di “apprendere” da una quantità illimitata di dati e utilizzabili in ampie varietà di compiti, sono previsti requisiti vincolanti ancora più stringenti, se risultano “ad alto impatto”.

Per le organizzazioni o le persone fisiche (“deployer”) che pongono in funzione sistemi di IA si applicano numerose disposizioni.

La Circolare del Sole 24 ore sottolinea la burocratizzazione e l’incremento dei costi indotti, soprattutto per le PMI.

E’ stato affermato anche che la regolamentazione basata su rigide classi di rischio, scarsamente dinamica e adattativa, rischia di diventare rapidamente obsoleta, a fronte di nuovi sviluppi dell’IA.

PUBBLICITA’ E PRIVACY

Una recente sentenza della Corte di Giustizia UE ha messo in luce le complessità e le implicazioni legali della profilazione dei dati per fini pubblicitari.

La profilazione [legittima a fronte di un consenso esplicito e separato, NdR] ottimizza l’esperienza online e fornisce contenuti su misura.

Tuttavia l’autore dell’articolo Oltre la bolla: riscoprire la magia della scoperta in un mondo post-profilazione esprime un parere [pienamente condivisibile, NdR] che prende in esame l’impatto sull’aspetto culturale e personale degli individui, proprio per il fatto che con la profilazione si propongono, agli utenti, annunci che rispecchiano i loro interessi presunti. Un esempio rende l’idea. Avendo espresso preferenze [con i click o con gli acquisti] su un certo genere di romanzi, quelli proposti saranno dello stesso genere, limitando la scoperta di altri argomenti, nuovi generi letterari o autori.

Tale circuito chiuso, privo di diversità e novità, è definito “bolla di filtro” e riguarda la perdita dell’opportunità di esplorare e arricchire il nostro orizzonte culturale, rimanendo ancorati a ciò che già si conosce. In campo professionale questo può limitare la visibilità di opportunità di carriera o di formazione in campi differenti da quelli inizialmente esplorati.

I riflessi più gravi, però sono di carattere sociale [e anche politico, NdR], poiché la personalizzazione estrema delle notizie espone l’utente prevalentemente a punti di vista che rafforzano le proprie convinzioni preesistenti, limitando quindi la possibilità di conoscere aspetti ed opinioni differenti [pur nella libertà di criticarli, in senso positivo o negativo; NdR]. L’impoverimento dell’esperienza individuale può anche avere implicazioni più ampie per la società in generale, a causa della limitazione del dialogo, dell’empatia e della comprensione tra gruppi diversi.

Senza la profilazione, i motori di ricerca offrivano risultati basati principalmente sulla pertinenza del contenuto rispetto all’interrogazione dell’utente, ciò che permetteva agli utenti di esplorare un ampio panorama digitale, dove era frequente la scoperta casuale di nuovi contenuti.

L’autore, pertanto, auspica che le piattaforme online forniscano anche suggerimenti di contenuti che si discostano dalle abitudini passate dell’utente, stimolando la curiosità e favorendo l’apprendimento culturale. Questo approccio ridurrebbe significativamente l’estensione della profilazione [il che può far dubitare che possa essere preso in considerazione dalle grandi piattaforme, senza un regolamento vincolante in merito. NdR].

IN BREVE, DALL’ITALIA E DAL MONDO

Il Digital Market Act è operativo per gl interessati

E’ ormai scaduto (il 7 marzo 2024) il termine entro cui, come ricorda l’articolo Il 7 marzo scade il termine per adeguarsi al Digital Markets Act, le grandi realtà, designate come “gatekeeper” dalla Commissione europea, dovevano allinearsi alle disposizioni del Digital Markets Act (DMA), il nuovo regolamento europeo volto a garantire che i mercati nel settore digitale siano equi e contendibili.

Il DMA, insieme al Digital Services Act (DSA), costituisce una parte fondamentale del Digital Services Package. I “gatekeepers” le grandi piattaforme online, che hanno il potere di controllare l’accesso ai mercati digitali, come Amazon, Google, Microsoft, Apple ed altri.

L’articolo prosegue con un elenco riassuntivo degli obblighi e dei divieti secondo il DMA, e delle sanzioni previste per gli inadempienti.

Intelligenza Artificiale: le principali normative di riferimento

E’ fuori dubbio la necessità dell’affidabilità, in termini di soddisfacimento delle aspettative, dei sistemi di IA, in quanto generano contenuti, previsioni, raccomandazioni o decisioni relativi agli obiettivi assegnati.

Per ciò, secondo l’articolo Intelligenza Artificiale, un approccio standardizzato e unificato con la Norma ISO 42001:2023 e la terminologia della ISO 22989, tali sistemi devono essere progettati e convalidati in conformità con le normative ed essere allineati agli obiettivi delle parti interessate. Inoltre, devono essere chiaramente identificate le responsabilità dei vari soggetti e devono essere considerati i rischi derivanti dai destinatari durante lo sviluppo e la gestione.

La norma ISO/IEC 42001:2023, sviluppata secondo i sistemi di gestione, fornisce gli elementi per soddisfare tali requisiti:

• la distorsione e l’equità – per evitare differenze nel trattamento di determinati soggetti o gruppi rispetto ad altri;
• la controllabilità – per consentire agli agenti esterni di intervenire nel suo funzionamento;
• la spiegabilità – per comprendere i fattori che influenzano le decisioni dell’IA;
• la prevedibilità – per garantire ipotesi attendibili da parte delle parti interessate sugli output generati;
• l’affidabilità – per fornire previsioni, raccomandazioni e decisioni coerenti e corrette del funzionamento;
• la resilienza – come capacità del sistema di ripristinare rapidamente le condizioni operative dopo un incidente;
• la robustezza – come capacità di mantenere le prestazioni richieste in varie circostanze, incluso il funzionamento in condizioni ambientali complesse;
• la trasparenza – per garantire che le attività e le decisioni di un’organizzazione appropriate siano comunicate alla parti interessate in modo completo, accessibile e comprensibile.

La ISO/IEC 22989 “Information technology – Artificial intelligence – Artificial intelligence concepts and terminology” fornisce la terminologia dell’intelligenza artificiale, utile per la comprensione dei concetti della ISO 42001. Per agevolare l’utilizzo della terminologia comune, ISO mette a disposizione questo documento in forma gratuita [è scaricabile dalla pagina web Publicly Available Standards; ndr]

Il Garante della Privacy si propone come Autorità di controllo in merito all’intelligenza artificiale

L’articolo Il Garante della Privacy scrive a Parlamento e Governo: necessario individuare autorità di vigilanza sull’intelligenza artificiale indipendenti e imparziali ricorda che il Regolamento europeo sull’intelligenza artificiale (AI Act), recentemente approvato, impone agli stati membri della UE di adeguare, al proposito, i propri regolamenti interni.

Con una segnalazione ai Presidenti di Senato e Camera e al Presidente del Consiglio, il Garante della Privacy ha affermato di possedere i requisiti di competenza e indipendenza necessari per attuare detto Regolamento, coerentemente con la tutela dei diritti fondamentali degli individui.

Ciò è suffragato dalla stretta interrelazione tra intelligenza artificiale e protezione dati e della competenza già acquisita dall’Autorità Garante in materia di processo decisionale automatizzato.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

• Inflitta ad Enel Energia una sanzione di oltre 79 milioni di euro, per gravi carenze nei trattamenti dei dati personali di numerosi utenti, ai fini di telemarketing. In particolare Enel Energia avrebbe acquisito un migliaio di contratti con gli utenti, da quattro società non appartenenti alla propria rete di vendita. Inoltre sarebbero emerse gravi carenze di sicurezza nei sistemi informativi destinati alla gestione dei clienti e all’attivazione dei servizi.
• Sanzionata UniCredit per 2,8 milioni di Euro, a seguito della notifica (del 2018) di data breach avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. La banca non avrebbe adottato adeguate misure tecniche e di sicurezza, nella fattispecie per impedire ai clienti di utilizzare codici PIN deboli.
• Rubati i dati personali di quasi due terzi dell’intera popolazione nell’attacco hacker all’agenzia nazionale per l’impiego. Si tratta delle informazioni relative a nome e cognome, data e luogo di nascita, numero di iscrizione al registro delle persone fisiche (NIR), indirizzo email, indirizzo di casa, numero di telefono.
• I furti di dati accessibili sul dark web o su piattaforme di messaggistica a livello globale sono aumentati di circa il 45% dal 2022 al 2023.

  ing. Michele Lopardo

  Responsabile Qualità @ Wondersys