Relazione 2024 del Garante per la protezione dei dati personali: riscosse sanzioni per 24 milioni di euro L‘Autorità Garante per la protezione dei dati personali nel 2024 ha adottato 835 provvedimenti collegiali, di cui 468 provvedimenti correttivi e sanzionatori. E ha fornito riscontro a 4.090 reclami e 93.877 segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche. Sono alcuni dei dati della Relazione sull’attività dell’Autorità Garante per la protezione dei dati personali. I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 47 ed hanno riguardato la digitalizzazione della pubblica amministrazione, la sanità, il fisco, la giustizia, l’istruzione e le funzioni di interesse pubblico. 12 sono stati i pareri su norme di rango primario: in particolare, riguardo diritti fondamentali, fisco, digitalizzazione della PA e sanità. Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante. Le sanzioni riscosse sono state invece di oltre 24 milioni di euro. Significativo il numero dei data breach (violazioni di dati personali) notificati nel 2024 al Garante da parte di soggetti pubblici e privati: 2.204. Nel settore pubblico (498 casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (1.706 casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio. Le ispezioni effettuate nel 2024 sono state 130 in linea rispetto a quelle dell’anno precedente.  Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, SPID, impiego di tecnologie innovative (dispositivi installati o sperimentati da alcuni comuni per il controllo dei flussi turistici), registro elettronico, tecnologie di riconoscimento facciale, strumenti di videosorveglianza e controllo dei lavoratori, ricerca scientifica,  data breach. Nell’anno trascorso l’Autorità ha concluso l’istruttoria nei confronti di ChatGPT e ha ordinato a OpenAI, la società che gestisce il chatbot, la realizzazione di una campagna informativa e il pagamento di una sanzione di 15 milioni di euro. Il Garante inoltre ha inviato un avvertimento formale a un importante gruppo editoriale italiano, segnalando il possibile rischio per milioni di persone connesso all’eventuale vendita a OpenAI dei dati personali contenuti nell’archivio del giornale per addestrare gli algoritmi. Particolare attenzione è stata poi riservata all’uso dei dati biometrici e al diffondersi di sistemi di riconoscimento facciale. L’Autorità ha inviato un avvertimento a Worldcoin in relazione al progetto di scansione dell’iride in cambio di criptovalute, senza adeguate garanzie e la necessaria consapevolezza da parte degli utenti. Significativi in ambito sanitario due pareri resi con riguardo al cosiddetto Ecosistema dati sanitari (EDS) e alla Piattaforma nazionale sulla telemedicina (PNT) nei quali il Garante ha ribadito che l’introduzione di sistemi di IA nella sanità digitale deve avvenire nel rispetto del Gdpr, del regolamento sull’IA e di quanto indicato nel Decalogo in materia di IA adottato nel 2023. Sul fronte della tutela online dei minori, nell’anno trascorso, è proseguita l’azione di vigilanza dell’Autorità sull’età di iscrizione ai social, anche attraverso sistemi di age verification e particolare attenzione è stata dedicata allo sharenting e al fenomeno del revenge porn in forte aumento: 823 le segnalazioni inviate al Garante da persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, quasi triplicate rispetto allo scorso anno. Nel corso dell’anno inoltre sono pervenute all’Autorità alcune segnalazioni relative alla diffusione di materiale artefatto realizzato attraverso l’impiego di algoritmi e di IA (cd. deep fake). Numerosi, come in passato, i provvedimenti assunti nell’ambito del rapporto di lavoro, soprattutto con riguardo all’utilizzo della posta elettronica sul luogo di lavoro e all’impiego di sistemi di videosorveglianza. Proseguiti inoltre gli approfondimenti sull’impiego di algoritmi da parte di una primaria società di food delivery per l’organizzazione dell’attività dei rider. Tra le criticità emerse: scarsa trasparenza dei trattamenti automatizzati e geolocalizzazione dei lavoratori anche al di fuori dell’orario di lavoro. Sul fronte della tutela dei consumatori, il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’Autorità ha inoltre approvato il Codice di condotta per le attività di telemarketing e di teleselling ed ha accreditato l’organismo di monitoraggio. Per quanto riguarda, infine, il rapporto tra privacy e diritto di cronaca, il Garante è intervenuto più volte per stigmatizzare l’eccesso di dettagli e le derive di morbosità e spettacolarizzazione di vicende tragiche e per assicurare le necessarie tutele. Qui per scaricare la Relazione dell’Autorità: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10149391. Giovanni Caprio

Molti ne sono entusiasti: l’AI (Artificial Intelligence), nella forma di ChatGPT (Generative Pre-Trained Transformer Chat) li aiuta a scrivere curriculum e testi, fa ricerche e le consegna ben confezionate, svolge perfettamente i temi scolastici partendo anche dalla traccia più difficile, spiega come procedere nel caso di controversie condominiali. E poi, da brava chat, chiacchiera con te. Puoi darle un nome. Puoi allenarla persino, se sei bravo e sai come aggirare certi limiti imposti, a fornirti eccitazioni erotiche, come se stessi parlando con un essere umano. C’è chi giura che svolga, gratis, addirittura il lavoro di uno psicoanalista, e chi ha smesso di consultare google quando avverte dei sintomi preoccupanti, perché ChatGPT è capace di fornire diagnosi mediche accurate. Ci sono preoccupazioni etiche, ci sono paure. Presto ci trasformeremo tutti in AI-dipendenti, restii a imparare perché non servirà più, goffi nello scrivere perché anche questo non servirà più, inabili nel prendere decisioni perché l’intelligenza artificiale lo saprà fare molto meglio di noi, dotata come sarà (è) di una quantità quasi smisurata di informazioni, scaltrissima nell’effettuare collegamenti che a noi non sarebbero mai venuti in mente, e soprattutto razionale, priva di quelle debolezze psicologiche-emotive che inducono gli umani a commettere errori? Sì, qualcuno ha di questi pensieri. Ma in prospettiva, come materia di riflessione filosofica. Intanto, i problemi che si lamentano, immediati ma che tutto sommato sembrano di scarsa importanza, sono le foto “finte”, immagini di scene che raccontano persone che non esistono, vicende mai avvenute, talmente rifinite da essere scambiate per vere. Ci si stupisce, al massimo. Uno spunto per prendere in giro chi si è lasciato ingannare, e vantarci che noi no, noi siamo più furbi. L’intelligenza artificiale non ci frega. Ben altri sono i risvolti di una tecnologia che è andata molto più avanti di quanto,  a meno che non siamo del settore, possiamo immaginare. Si è impegnata in un’indagine che l’ha portata in giro per il mondo l’immunologa e giornalista scientifica indiana Madhumita Murgia, che ha iniziato le sue ricerche aspettandosi di scoprire come l’AI avesse risolto problemi difficili e migliorato la vita di molte persone. Non è però stato così. Nel suo viaggio, riportato nel libro Essere umani. L’impatto dell’intelligenza artificiale sulle nostre vite (ed. Neri Pozza), ha dovuto registrare quanto pesanti, a volte devastanti e comunque sempre manipolatorie possano essere le conseguenze dell’AI sugli individui, sulle comunità e sulle culture in generale. Murgia approfondisce dei casi esemplari, persone che solo apparentemente non hanno nulla in comune tra loro: un medico dell’India rurale, un rider di Pittsburg, un ingegnere afroamericano, una funzionaria burocratica argentina, una rifugiata irachena a Sofia, una madre single ad Amsterdam, un’attivista cinese in esilio.  Diana, la madre single: una storia kafkiana. Due suoi figli minori erano stati inseriti in liste di “ragazzi ad alto rischio di diventare criminali”, liste compilate con un sistema progettato dall’AI e basate su punteggi di rischio, con punti assegnati non solo per aver commesso un reato, ma per essere stati spesso assenti a scuola, aver assistito a una violenza, essere parente di qualcuno che ha guai con la giustizia, vivere in un quartiere povero o semplicemente essere poveri (le cosiddette “variabili proxy”). A quel punto, ecco una serie di misure volte a “tutelare” la società e prevenire il crimine. Interventi continui e quasi persecutori, con visite ripetute di assistenti sociali, poliziotti, funzionari a controllare e redarguire il genitore –  Diana, in questo caso – trattandolo come un demente, rimproverandolo, minacciandolo. Piatti sporchi nel lavello? Attenzione, potremmo doverti portare via la bambina piccola.  È chiaro che così le situazioni di disagio e povertà non possono che peggiorare. Non esistono perdono, aiuto, comprensione. Nato povero e sfortunato, sei destinato a diventarlo ancora di più. Diana aveva finito col perdere il lavoro, stressata com’era, ed era stata ricoverata in ospedale con palpitazioni cardiache. «Le liste generate dall’algoritmo non erano soltanto fattori predittivi», scrive Murgia. «Erano maledizioni».  Uno degli aspetti più lamentati da chi frequenta i social riguarda la rimozione di immagini e contenuti. Viene subita da utenti che hanno semplicemente postato un quadro rappresentante un nudo, e viene subita anche, al contrario, da chi si trova di fronte foto e filmati cruenti accompagnati da commenti di giubilo, e si domanda perché non siano stati censurati. Quello che non ci domandiamo è chi siano i censori. Attraverso storie vere e dati, Murgia racconta quanto porti al DPTS (disturbi post-traumatici da stress) il dover vagliare i contenuti dei social, guardando violenze e atti d’odio a ritmo sostenuto per tutto il tempo, in modo, oggi, di addestrare gli algoritmi. Un lavoro a sua volta guidato dagli algoritmi: pausa pranzo e tempo per andare in bagno predeterminati, come la produttività, che non deve scendere sotto una certa soglia. A fronte di questo, remunerazione bassa, accordi di segretezza, scoraggiato in ogni modo il contatto con i colleghi, e figuriamoci l’unirsi in sindacato.   C’è poi il risvolto della sostituzione dell’AI generativa in lavori prettamente umani: illustratori, copywriter, progettisti di videogiochi, animatori e doppiatori si trovano già adesso in grande difficoltà, e molti dichiarano che viene chiesto loro, più che di creare… di correggere ciò che è stato fatto dall’AI (pagati un decimo rispetto a prima). E c’è la questione contraffazione, il “deepfake”: generati dalle tecnologie AI, foto di persone reali prese da Internet che un software fonde con corpi di attori porno, ottenendo video assolutamente realistici di cui non sarà facile ottenere la rimozione (su TikTok era diventato virale già nel 2020 un video deepfake di Tom Cruise, e parliamo di cinque anni fa, quando i software erano meno sofisticati di oggi).  Non dimentichiamo nemmeno i pregiudizi. Un esempio: il modo in cui vengono calcolati i punteggi di rischio che riguardano la salute. Negli USA, i pazienti neri – e con redito basso – sembravano avere punteggi più bassi, ma questo non accadeva perché si ammalassero meno, ma perché i progettatori avevano addestrato il sistema a stimare la salute i una persona in base ai suoi costi sanitari (e più si è poveri, meno si ricorre all’assistenza sanitaria). Attivisti pieni di buona volontà stanno cercando di raddrizzare le cose. Non è detto che non ci riescano, ma intanto quanti danni sono stati fatti?  Si potrebbe continuare a lungo, e Murgia non si è tirata indietro. Ha indagato le più varie situazioni, incontrato avvocati che cercano di difendere chi è rimasto intrappolato da questi sistemi opachi che possono disporre delle nostre vite e procurarci danni anche senza che lo sappiamo. E ha affrontato il tema forse più delicato e spaventoso: il controllo. In Cina (e Murgia porta riferimenti precisi) esistono già da un po’ sistemi software interconnessi che aggregano i dati dei cittadini e l collegano ai database della polizia.  Gli algoritmi a funzione predittiva considerano sospette decine di comportamenti (addirittura spegnere ripetutamente il cellulare e avere certe espressioni del viso, riprese dalle infinite videocamere), e per motivi di “sicurezza pubblica” moltissimi cittadini, soprattutto dissidenti o appartenenti a gruppi etnici minoritari, sono stati e sono sorvegliati e vessati, quando non portati in campi di rieducazione. Sorveglianza e controllo. Capillari, incessanti. I governi (la rete di connessioni esisterà solo in Cina? non scherziamo) potranno a breve arrivare a prevedere e neutralizzare qualunque azione o manifestazione di protesta, sia individuale che collettiva. E le aziende tecnologiche, con miliardi di utenti, aumenteranno il loro potere, che già è immenso. George Orwell, in 1984. Ninteeen Eighty Four, scritto nel 1949: «Se vuoi un’immagine del futuro, immagina uno stivale che schiaccia il volto umano. Per sempre». Susanna Schimperna