Il 2024 ha rappresentato un anno complesso e caratterizzato da varie sfide per la tutela della privacy e della protezione dei dati, con un’intensa attività da parte dell’Autorità per la protezione dei dati personali, finalizzata a garantire l’applicazione corretta delle normative sulla protezione dei dati. Due sviluppi significativi sono stati l’approvazione del testo definitivo dell’AI Act e l’adozione della Direttiva NIS2, fondamentale per la sicurezza informatica.
Alla luce di ciò, il 2025 si prevede come un anno altrettanto impegnativo, in particolare a causa delle sfide poste dall’intelligenza artificiale e dalla crescente attività normativa nel campo della cybersecurity.
Il contesto europeo: cosa ci aspetta
Il 2025 si prepara a presentare una serie di sfide, non solo per la necessità di proteggere adeguatamente i dati personali da possibili violazioni, come dimostrano i recenti provvedimenti del Garante, ma anche in relazione agli obblighi derivanti da normative cruciali come l’AI Act e la Direttiva NIS2. È importante evidenziare che queste normative devono essere integrate in un contesto regolatorio più ampio e complesso, considerando le molteplici normative che compongono il panorama della cybersecurity.
È fondamentale prestare attenzione alla strategia dell’Unione Europea in materia di dati, che include il Digital Services Act, il Digital Markets Act, il Data Governance Act e il Data Act. In particolare, il Data Act si configura come un punto cruciale per la regolamentazione dell’uso degli strumenti interconnessi, rappresentando un cambiamento significativo nel panorama digitale attuale. Esso, insieme al Data Governance Act, è essenziale per lo sviluppo di nuovi servizi nelle smart cities e in altre iniziative volte a sostenere la sostenibilità ambientale, la mobilità integrata e la ricerca scientifica.
Data protection e telemarketing, le sanzioni del Garante
Nel settore del telemarketing, è stata imposta una sanzione di 842.062 euro a Sky Italia srl. L’Autorità ha accertato che la società ha condotto attività di marketing telefonico e via SMS senza adeguate verifiche sugli adempimenti informativi e sulla raccolta del consenso, oltre alla mancata consultazione del registro pubblico delle opposizioni prima delle campagne commerciali.
È stato evidenziato che alcune utenze erano state contattate sulla base di un consenso acquisito tempo fa, senza verifiche sull’idoneità di tale consenso rispetto alle evoluzioni normative. Inoltre, la documentazione relativa ai consensi ottenuti da fornitori di dati era risultata non idonea a attestare chiaramente la volontà degli interessati, poiché la società conservava i dettagli dei consensi in file Excel modificabili.
Anche Illumia spa, fornitrice di servizi di luce e gas, ha ricevuto una sanzione di 678.897 euro per trattamento illecito di dati personali a fini promozionali, a seguito di reclami da parte di utenti riguardo a telefonate indesiderate. L’Autorità ha riscontrato la conduzione di telefonate promozionali senza un’adeguata base giuridica e la mancanza di controlli lungo la filiera.
In merito ai concorsi pubblici, l’INPS è stato sanzionato con 50.000 euro per aver pubblicato sul proprio sito i dati personali di migliaia di candidati, inclusi nomi, cognomi e punteggi degli esami. La violazione aveva sollevato preoccupazioni precedentemente, portando a sanzioni in un primo procedimento.
Sanità e protezione dei dati: il ruolo di ospedali e cliniche
Nel settore sanitario, il Garante ha pubblicato FAQ relative all’accesso ai dati personali della cartella clinica. Le strutture sanitarie sono tenute a fornire, su richiesta, copia dei dati trattati, ma hanno la facoltà di decidere se fornire la documentazione completa.
Inoltre, il Garante ha chiarito che, in caso di istanze generiche di accesso, le strutture dovrebbero richiedere agli interessati di specificare l’oggetto della richiesta.
Il caso
Recentemente, il Garante ha concluso un procedimento nei confronti di un’Azienda ospedaliero-universitaria che aveva subito un attacco hacker nel dicembre 2022, compromettendo i dati personali di un numero elevato di soggetti, tra cui dipendenti e pazienti. L’ispezione ha messo in luce carenze nei requisiti di sicurezza previsti dal GDPR, incluse l’adozione di software obsoleti e misure insufficienti per garantire la sicurezza delle reti.
Cybersecurity e IA, il rapporto con la privacy
Le problematiche relative all’area sanitaria sottolineano l’importanza di avere attori del settore cybersecurity conformi alle normative, in un contesto sempre più sfidato dalle minacce informatiche. Allo stesso modo, l’avanzamento dell’intelligenza artificiale presenta nuove sfide per la protezione dei dati. Il Garante ha recentemente adottato un provvedimento correttivo nei confronti di OpenAI, imponendo una sanzione di quindici milioni di euro. OpenAI è stata ritenuta responsabile di non aver notificato una violazione dei dati del marzo 2023 e di aver trattato dati personali senza una base giuridica adeguata.
In risposta a queste violazioni, il Garante ha ordinato a OpenAI di avviare una campagna di comunicazione istituzionale per informare il pubblico sui diritti legati alla privacy e sulle modalità di esercizio di tali diritti, inclusi quelli di opposizione e cancellazione.
