Relazione 2024 del Garante per la protezione dei dati personali: riscosse sanzioni per 24 milioni di euro L‘Autorità Garante per la protezione dei dati personali nel 2024 ha adottato 835 provvedimenti collegiali, di cui 468 provvedimenti correttivi e sanzionatori. E ha fornito riscontro a 4.090 reclami e 93.877 segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche. Sono alcuni dei dati della Relazione sull’attività dell’Autorità Garante per la protezione dei dati personali. I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 47 ed hanno riguardato la digitalizzazione della pubblica amministrazione, la sanità, il fisco, la giustizia, l’istruzione e le funzioni di interesse pubblico. 12 sono stati i pareri su norme di rango primario: in particolare, riguardo diritti fondamentali, fisco, digitalizzazione della PA e sanità. Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante. Le sanzioni riscosse sono state invece di oltre 24 milioni di euro. Significativo il numero dei data breach (violazioni di dati personali) notificati nel 2024 al Garante da parte di soggetti pubblici e privati: 2.204. Nel settore pubblico (498 casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (1.706 casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio. Le ispezioni effettuate nel 2024 sono state 130 in linea rispetto a quelle dell’anno precedente.  Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, SPID, impiego di tecnologie innovative (dispositivi installati o sperimentati da alcuni comuni per il controllo dei flussi turistici), registro elettronico, tecnologie di riconoscimento facciale, strumenti di videosorveglianza e controllo dei lavoratori, ricerca scientifica,  data breach. Nell’anno trascorso l’Autorità ha concluso l’istruttoria nei confronti di ChatGPT e ha ordinato a OpenAI, la società che gestisce il chatbot, la realizzazione di una campagna informativa e il pagamento di una sanzione di 15 milioni di euro. Il Garante inoltre ha inviato un avvertimento formale a un importante gruppo editoriale italiano, segnalando il possibile rischio per milioni di persone connesso all’eventuale vendita a OpenAI dei dati personali contenuti nell’archivio del giornale per addestrare gli algoritmi. Particolare attenzione è stata poi riservata all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale. L’Autorità ha inviato un avvertimento a Worldcoin in relazione al progetto di scansione dell’iride in cambio di criptovalute, senza adeguate garanzie e la necessaria consapevolezza da parte degli utenti. Significativi in ambito sanitario due pareri resi con riguardo al cosiddetto Ecosistema dati sanitari (EDS) e alla Piattaforma nazionale sulla telemedicina (PNT) nei quali il Garante ha ribadito che l’introduzione di sistemi di IA nella sanità digitale deve avvenire nel rispetto del Gdpr, del regolamento sull’IA e di quanto indicato nel Decalogo in materia di IA adottato nel 2023. Sul fronte della tutela online dei minori, nell’anno trascorso, è proseguita l’azione di vigilanza dell’Autorità sull’età di iscrizione ai social, anche attraverso sistemi di age verification e particolare attenzione è stata dedicata allo sharenting e al fenomeno del revenge porn in forte aumento: 823 le segnalazioni inviate al Garante da persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, quasi triplicate rispetto allo scorso anno. Nel corso dell’anno inoltre sono pervenute all’Autorità alcune segnalazioni relative alla diffusione di materiale artefatto realizzato attraverso l’impiego di algoritmi e di IA (cd. deep fake). Numerosi, come in passato, i provvedimenti assunti nell’ambito del rapporto di lavoro, soprattutto con riguardo all’utilizzo della posta elettronica sul luogo di lavoro e all’impiego di sistemi di videosorveglianza. Proseguiti inoltre gli approfondimenti sull’impiego di algoritmi da parte di una primaria società di food delivery per l’organizzazione dell’attività dei rider. Tra le criticità emerse: scarsa trasparenza dei trattamenti automatizzati e geolocalizzazione dei lavoratori anche al di fuori dell’orario di lavoro. Sul fronte della tutela dei consumatori, il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’Autorità ha inoltre approvato il Codice di condotta per le attività di telemarketing e di teleselling ed ha accreditato l’organismo di monitoraggio. Per quanto riguarda, infine, il rapporto tra privacy e diritto di cronaca, il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele. Qui per scaricare la Relazione dell’Autorità: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10149391. Giovanni Caprio