Privacy. IA e lavoro: gli interventi del Garante

Pubblicato il



Privacy. IA e lavoro: gli interventi del Garante

Pubblicata dal Garante per la protezione dei dati personali, sul proprio sito istituzionale, la Relazione che illustra i diversi fronti sui quali è stata impegnata l'Autorità nel corso del 2023, anno caratterizzato da interventi in ambiti fortemente innovativi: digitalizzazione, intelligenza artificiale, contrasto al telemarketing aggressivo, attenzione particolare ai soggetti vulnerabili, tutela dei dati sanitari.

Vediamo i contenuti di questo interessante e corposo documento, focalizzando l’attenzione sulle attività svolte dal Garante in ambito internet, trattamento dei dati nei rapporti di lavoro pubblici e privati, intelligenza artificiale, violazione dei dati personali e attività ispettiva.

Internet

All’esito di un’attività ispettiva avviata sulla base di un reclamo e di una segnalazione, il Garante e intervenuto nei confronti di un operatore di comunicazione elettronica accessibile al pubblico, che offre servizi di invio di SMS tramite web.

Nel provvedimento è stata dichiarata l’illiceità della conservazione del contenuto degli SMS e sono state rilevate misure inidonee per la conservazionemdei dati di traffico.

E’ stata perciò e stata espressa una pronuncia in merito alle basi giuridiche da mutilizzare per effettuare controlli antifrode, fornendo alcuni preliminari chiarimenti rispetto all’uso del legittimo interesse quale base giuridica, comminando alla società una sanzione di 80.000 euro.

Cookie e altri strumenti di tracciamento di dati personali

In tema di strumenti di tracciamento dei dati personali, è stato avviato un procedimento teso a verificare la liceità dell’implementazione, da parte dei principali gruppi editoriali italiani, di un meccanismo di cookie in cui la mancata prestazione del consenso alla ricezione degli stessi impedisce l’accesso ai siti di informazione.

Ebbene, a seguito di informazioni raccolte presso i principali gruppi editoriali nazionali, l’Autorità ha proceduto ad inviare le previste contestazioni e ha aperto un’istruttoria anche nei confronti di un fornitore di servizi di posta elettronica.

L’Autorità ha altresì avviato accertamenti da remoto in merito alla conformità di numerosi siti web agli obblighi in materia di trattamento dei dati personali degli utenti per il tramite di cookie e altri strumenti di tracciamento, anche a seguito della ricezione di un significativo numero di segnalazioni e reclami.

In collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, sono state effettuate una serie di verifiche volte ad accertare il rispetto, da parte di diversi siti web, delle indicazioni contenute nelle linee guida adottate il 10 giugno 2021 ed entrate in vigore a gennaio 2022

Trattamento di dati personali in rete

Il Garante è intervenuto nei confronti di una ditta individuale risultata intestataria di un sito web nel quale erano da anni pubblicati, in forma di elenco, numerosissimi dati personali anche appartenenti a soggetti non presenti negli elenchi telefonici pubblici.

L’assoluta mancanza di riferimenti nel sito e l’utilizzo di server sempre diversi ubicati all’estero hanno reso necessarie lunghe indagini per individuare il soggetto intestatario, cui è stata comminata una sanzione di 60.000 euro.

Attività in materia di trattamento dati mediante sistemi di intelligenza artificiale

L’esigenza di assicurare la tutela dei diritti e delle libertà degli interessati è emersa con particolare rilievo a fronte dei nuovi rischi derivanti dal trattamento di dati personali su larga scala connessi alla creazione e al funzionamento di servizi di intelligenza artificiale generativa.

Con riferimento a tale ambito, l’Autorità è intervenuta nei confronti di una azienda statunitense che gestisce un noto modello di intelligenza artificiale relazionale in grado di simulare ed elaborare conversazioni umane.

L’assenza di una base giuridica idonea a giustificare la raccolta e la conservazione massiva di dati personali allo scopo di “addestrare” gli algoritmi, la non corrispondenza di alcune delle informazioni fornite dal servizio al dato reale, nonché l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti, hanno portato il Garante ad adottare un provvedimento urgente di limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano.

In relazione alla realizzazione e all’uso dei sistemi di IA ad alto rischio, quali quelli correlati all’istruzione e alla formazione professionale, all’occupazione, alla prestazione di servizi pubblici e privati di base, all’impiego di alcuni sistemi di contrasto, come pure di sistemi realizzati per la gestione delle frontiere, per finalità di giustizia e nell’ambito dei processi democratici, il Garante ricorda che sono previsti obblighi penetranti e, tra questi:

  • valutare preventivamente e mitigare i rischi;
  • adottare pratiche di governance per i dati di addestramento, convalida e prova; di predisporre e conservare la pertinente documentazione tecnica;
  • conservare la registrazione automatica degli eventi per l’intera durata del loro ciclo di vita;
  • assolvere obblighi di trasparenza;
  • assicurare l’efficace supervisione umana durante il periodo in cui i dati sono in uso.

Trattamento dei dati nei rapporti di lavoro pubblici e privati

Posta elettronica

Il Garante ha adottato numerosi provvedimenti riguardanti il trattamento dei dati personali effettuato mediante la posta elettronica nell’ambito del rapporto di lavoro.

Al riguardo e stato ribadito che, in tale contesto, il trattamento deve conformarsi al rispetto dei diritti e delle libertà fondamentali e della dignità dell’interessato, in particolare se le comunicazioni sono effettuate mediante l’account di posta elettronica, considerate le particolari tutele che l’ordinamento ricollega alle diverse forme di comunicazione.

La protezione della vita privata riguarda infatti anche l’ambito lavorativo, nel quale si sviluppano relazioni dove si esplica la personalità del lavoratore, tenuto anche conto che la linea di confine tra ambito lavorativo e ambito strettamente privato non sempre è tracciabile con chiarezza.

Tutta questa materia si colloca al crocevia fra la disciplina di protezione dei dati e le norme di settore in materia di controlli a distanza, alle quali il legislatore nazionale

ha fatto rinvio esplicito in sede di adeguamento dell’ordinamento nazionale alle norme del GDPR.

Ebbene, anche in questo caso il Garante ha adottato un provvedimento nei confronti di una società che aveva mantenuto attivo, successivamente alla cessazione della collaborazione, l’account di posta elettronica assegnato alla reclamante con estensione riferita alla società.

Accertato che la condotta del titolare era stata posta in essere in assenza di un idoneo criterio di legittimazione per l’effettuazione del trattamento il Garante ha comminato una sanzione pecuniaria.

Trattamento di dati biometrici

Il Garante, a seguito della presentazione di un reclamo, ha accertato che una società aveva installato un sistema di rilevazione delle presenze basato sulla rilevazione delle impronte digitali, che aveva coinvolto 13 dipendenti ed era stato implementato presso due sedi operative da circa 2 anni. 

In linea con un orientamento ormai consolidato, è stato ribadito che il trattamento di dati biometrici è consentito esclusivamente quando sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, e in ogni caso in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Pertanto, con riferimento al caso esaminato, il Garante ha accertato l’illiceità del trattamento effettuato in quanto l’utilizzo del dato biometrico per finalità di ordinaria gestione del rapporto di lavoro (rilevazione delle presenze) non appare conforme ai principi di minimizzazione e proporzionalità del trattamento, nonché di liceità, correttezza e trasparenza (art. 5 del GDPR).

Violazione dei dati personali

Dal 1° gennaio al 31 dicembre 2023 sono state notificate all’Autorità 2.037 violazioni dei dati personali da parte di soggetti pubblici e privati.

In particolare, nel settore pubblico, le violazioni dei dati personali hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie, mentre nel settore privato sono stati coinvolte grandi società del settore delle telecomunicazioni, energetico, bancario e dei servizi, ma anche piccole e medie imprese e professionisti.

La maggior parte delle violazioni dei dati personali notificate ha riguardato la perdita di riservatezza o di disponibilità, anche temporanea, dei dati personali.

I fenomeni più frequentemente riscontrati sono stati:

  • la diffusione di malware di tipo con compromissione della disponibilità e, in molti casi, della riservatezza dei dati all’interno di server o di postazioni di lavoro di organizzazioni pubbliche e private;
  • l’accesso non autorizzato o illecito ai dati personali trattati all’interno di sistemi informativi;
  • la compromissione di credenziali di autenticazione informatica; la divulgazione accidentale di dati personali a causa di erronea configurazione o utilizzo di piattaforme informatiche o di sistemi software di gestione della posta elettronica.

L’attività ispettiva del Garante

Tutte le attività ispettive svolte, sia quelle scaturenti da autonome iniziative dell’Ufficio sia quelle connesse alla definizione di istruttorie in corso, si sono inserite nel solco delle due delibere approvate dal Collegio con le quali il Garante ha fissato le linee della programmazione semestrale delle ispezioni.

Per quanto concerne le modalità operative delle ispezioni svolte direttamente dall’Ufficio, emerge con sempre maggiore frequenza: la complessità degli accertamenti da effettuare, cosa che ha reso ormai abituale il ricorso ad appositi team ispettivi costituiti da funzionari del dipartimento giuridico competente, da ispettori con funzioni di ufficiale di polizia giudiziaria e da informatici appartenenti al Dipartimento tecnologico dell’Autorità.

Gli interventi del Garante in sintesi

Ambito Intervento Dettagli
Internet Conservazione illecita degli SMS Pronuncia sulla legittimità dell'uso del legittimo interesse per controlli antifrode
Cookie e tracciamento Implementazione dei cookie da parte di gruppi editoriali italiani Accertamenti sulla conformità agli obblighi di trattamento dei dati personali
Trattamento dati personali in rete Pubblicazione illecita di dati personali su sito web Lunghe indagini per identificare il soggetto responsabile
Intelligenza artificiale Utilizzo di dati personali per l'addestramento degli algoritmi Provvedimento di limitazione provvisoria del trattamento dei dati
Posta elettronica nel lavoro Trattamento dati post cessazione rapporto di lavoro Attivazione dell'account di posta elettronica dopo la cessazione del rapporto di lavoro
Dati biometrici Rilevazione delle presenze tramite impronte digitali Utilizzo non conforme ai principi di minimizzazione e proporzionalità
Violazioni dei dati personali Diverse violazioni segnalate da soggetti pubblici e privati Diffusione di malware, accessi non autorizzati, compromissione delle credenziali
Attività ispettiva Ispezioni e verifiche Collaborazione con Guardia di Finanza e accertamenti da remoto
Allegati

Ricevi GRATIS la nostra newsletter

Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.

Richiedila subito