Cybersecurity & Privacy

Provvedimenti Garante Privacy: relazione 2020 con numeri da record

Scritto da Paolo Monini | Jul 18, 2021 10:00:00 PM

Guardia alta nell’attività di protezione dei dati personali: numeri da record per l’Autorità Garante. Basta una cifra per capire la grande mole di lavoro, a causa di pericoli sempre maggiori nella rete: 1.387. È questo il numero dei data breach notificati nel 2020 al Garante, da parte di soggetti pubblici e privati.

È uno degli elementi più significativi che emerge dall’analisi della relazione sull’attività del 2020 presentata dall’Autorità Garante per la protezione dei dati personali, nel primo anno di mandato del nuovo collegio.

Non solo violazione dei dati personali, ma, in generale, tutela online (anzitutto dei minori, dei consumatori, nonché in tema di pubblica amministrazione e sanità) e cybersecurity. Sempre nel solco tracciato dal Gdpr, con un impegno dell’Autorità anche a livello internazionale per rafforzare gli strumenti necessari all’applicazione del Regolamento europeo.

La relazione illustra “i diversi fronti sui quali è stato impegnata l'Autorità nel corso di un anno caratterizzato ancora dall’impatto dell’emergenza sanitaria legata al Covid 19 su tutti i settori della vita nazionale e dal massiccio ricorso a piattaforme online", come spiega il Garante stesso.

Un’importante opera di bilanciamento al momento di fornire pareri e indicare misure di garanzia per la “necessità di assicurare, da una parte, un funzionale trattamento dei dati - in particolare di quelli sulla salute - e, dall’altra, il rispetto dei diritti delle persone”. Specialmente, con riguardo ad alcuni ambiti come le app di contact tracing, l’effettuazione dei test sierologici, la raccolta dei dati sanitari di dipendenti e clienti, il “green pass”, la sperimentazione clinica e la ricerca medica, l’attivazione dei sistemi di didattica a distanza, il processo amministrativo e tributario da remoto.

 

I numeri dell’attività del Garante

Le cifre danno il peso dell’importante attività del Garante: lo scorso anno sono stati adottati 278 provvedimenti collegiali, che hanno portato a 38 milioni di euro di sanzioni riscosse.

In particolare, l’Autorità ha fornito riscontro a circa 9mila reclami e segnalazioni riguardanti, tra l’altro: il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro.

I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 60 ed hanno riguardato, tra le materie più importanti, la sanità (Covid 19) e la digitalizzazione della pubblica amministrazione. 7 sono stati i pareri in particolare, su digitalizzazione della pubblica amministrazione e Covid 19.

In tema di giustizia, le comunicazioni di notizie di reato all’autorità giudiziaria sono state 8 e hanno riguardato violazioni in materie come gli accessi abusivi a sistemi informatici e il trattamento illecito dei dati.

Nel 2020, sono state effettuate 21 ispezioni. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, nel pubblico e nel privato, come la fatturazione elettronica e il marketing.

 

Gli interventi più rilevanti dell’Autorità

La tutela dei diritti fondamentali delle persone nel mondo digitale è stata al centro degli interventi più rilevanti dell’Autorità. Con riferimento, in particolare, alle implicazioni etiche della tecnologia, l’economia fondata sui dati, le grandi piattaforme e la tutela dei minori, i big data, l’intelligenza artificiale e le problematiche poste dagli algoritmi, la sicurezza dei sistemi e la protezione dello spazio cibernetico, il diffondersi di sistemi di riconoscimento facciale, la monetizzazione delle informazioni personali, il revenge porn.

Sul fronte della tutela online, innanzitutto dei minori, l’anno trascorso ha registrato un rilevante intervento nei confronti di Tik Tok, la piattaforma usata soprattutto da giovanissimi per condividere video e immagini (in particolare per la verifica dell’età di chi si iscrive alla piattaforma al di sotto dell’età minima prevista, lanciando una campagna informativa per richiamare i genitori a vigilare sull’iscrizione dei propri figli ai social network).

Per contrastare il fenomeno del revenge porn, il Garante ha attivato un canale di emergenza per aiutare le persone che temono la diffusione di foto o video intimi senza il loro consenso.

L’Autorità è stata molto attenta anche alla tutela delle vittime di cyberbullismo, assicurando procedure di intervento e ha avviato una campagna di sensibilizzazione per il contrasto al fenomeno.

Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che infettano e prendono “in ostaggio” un dispositivo elettronico. Una minaccia che si è particolarmente diffusa nell’epoca del Covid 19 con molte più persone e per molto più tempo connesse online.

È proseguito il lavoro svolto per assicurare la protezione dei dati online, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sugli smartphone o presenti nelle case.

Importante anche l’intervento per quanto riguarda la profilazione online: infatti, è stata avviata una consultazione pubblica che ha portato all’adozione di nuove linee guida in materia di informativa e consenso per l’uso dei cookie.

Sul fronte della cybersecurity e sulla mancata adozione di adeguate di misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme online, l’Autorità ha proseguito l’attività di vigilanza e intervento prescrittivo, anche a seguito di casi di particolare gravità.

Come anticipato, è significativo a questo proposito il numero dei data breach notificati nel 2020 al Garante da parte di soggetti pubblici e privati: 1387, in alcuni casi relativi anche a dati sanitari.

Nel settore della sanità, il Garante ha svolto un’intensa attività intervenendo a dare chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e sulla vaccinazione dei dipendenti durante la pandemia. Ha contribuito alla definizione di precise garanzie per l’utilizzo dell’App Immuni, facendo in modo che il sistema di conctact tracing digitale fosse basato sull’adesione volontaria delle persone e i dati utilizzati dal sistema di allerta fossero pseudonimizzati.

Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Ha fissato precise regole per l’esercizio del diritto di accesso civico (l’accesso a dati e documenti che hanno le pubbliche amministrazioni). E per il nuovo censimento permanente, l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.

Nel mondo del lavoro, con particolare riferimento allo smart working, il Garante ha chiesto al Parlamento che venga assicurato ai lavoratori il diritto alla disconnessione.

L’Autorità è in prima linea anche sul fronte della tutela dei consumatori. Infatti, il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati).

Un capitolo importante ha riguardato il rapporto tra privacydiritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele, innanzitutto nei confronti delle vittime di abusi sessuali, e dei minori.

Il Garante si è impegnato molto anche ai fini della preparazione all’interno delle organizzazioni. Nel 2020, infatti, l’Autorità è stata costantemente impegnata nell’azione di supporto a imprese e pubbliche amministrazioni con un’intensa attività di formazione, anche attraverso progetti di cooperazione internazionale, ai fini di una corretta ed effettiva applicazione del Regolamento UE, anche riguardo alla nuova figura del Responsabile della protezione dei dati.

 

L’attività internazionale del Garante

L’attività del Garante è stata decisiva anche a livello internazionale. Infatti, nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dell’Ue, l’Autorità ha contribuito all’adozione di numerose linee guida, raccomandazioni e pareri su tematiche complesse, come i ruoli di titolare e responsabile del trattamento, la certificazione dei trattamenti, le tutele ulteriori per i trasferimenti di dati verso Paesi extra Ue.

Il Garante partecipa, inoltre, ai meccanismi di cooperazione (“sportello unico”) e coerenza previsti dal Regolamento Ue, il Gdpr. Nel corso del 2020 è proseguito anche il lavoro svolto sull’interazione tra Regolamento europeo e Direttiva in materia di privacy e comunicazioni elettroniche (direttiva e-Privacy).

Da sottolineare anche l’attività del Garante italiano per il Consiglio d’Europa, che - attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante dell’Autorità - ha adottato le linee guida in materia di riconoscimento facciale e le linee guida sulla protezione dei dati dei minori nei contesti educativi, anche alla luce della crescente digitalizzazione delle attività didattiche.

 

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza nel caso in cui si verifichi un data breach. Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.