In un 2024 segnato dall’irruzione definitiva dell’intelligenza artificiale nel quotidiano - dall’accelerazione della digitalizzazione in ogni ambito della vita pubblica e privata - l’Autorità Garante per la protezione dei dati personali ha completato un processo di cambiamento iniziato cinque anni fa con l’insediamento dell’Autorità, composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza, presentando la Relazione sull’attività svolta nel quinto anno di mandato del Collegio.

In un anno di tensione continua tra innovazione e responsabilità, l’Autorità Garante per la protezione dei dati personali ha operato su fronti decisivi per i diritti digitali, confermandosi strumento di difesa della persona nell’ecosistema tecnologico contemporaneo. Con 835 provvedimenti adottati, circa 24 milioni di euro in sanzioni riscosse, 93.877 segnalazioni gestite e 2204 violazione dei dati notificate, l’anno appena concluso ha visto un’intensa attività sanzionatoria, ispettiva e regolatoria, con un’attenzione crescente alle sfide poste dall’intelligenza artificiale, dalla tutela dei minori e dalle derive invasive della digitalizzazione. Il 2024 si è rivelato un banco di prova decisivo: le tecnologie generative, i modelli predittivi, la monetizzazione dei dati e l’uso indiscriminato di tecniche invasive - come il web scraping e il riconoscimento facciale - hanno imposto una sorveglianza costante, un’attività ispettiva rigorosa e un rinnovato impegno normativo.

Uno degli interventi più significativi ha riguardato ChatGPT, il noto chatbot di OpenAI. Il Garante ha concluso l’istruttoria avviata nel 2023 imponendo alla società statunitense una sanzione da 15 milioni di euro per violazioni del Regolamento generale sulla protezione dei dati (Gdpr). Oltre alla multa, l’azienda dovrà promuovere una campagna informativa obbligatoria, per garantire maggiore trasparenza nell’uso dei dati e consapevolezza tra gli utenti. A rafforzare l’impegno in questa direzione, l’Autorità ha inviato un formale avvertimento a un importante gruppo editoriale italiano, esprimendo preoccupazioni concrete sull’eventuale cessione a OpenAI degli archivi giornalistici, contenenti dati personali di milioni di cittadini, utilizzate per l’addestramento degli algoritmi.

L’Ia è un complesso mutaforma, e ha rappresentato una delle priorità del Garante nel 2024. L’Autorità ha lavorato per definire regole chiare per l’addestramento dei sistemi di Ia, intervenendo contro l’uso massivo del web scraping, la raccolta indiscriminata di dati online, anche senza consenso.

Una menzione a parte merita il caso Worldcoin sull’appropriazione di dati biometrici: propone la scansione dell’iride in cambio di criptovaluta. Il Garante ha contestato l’azione a fronte della carenza di garanzie e della scarsa consapevolezza, da parte degli utenti, rispetto al pericolo rappresentato dalla cessione dei propri dati biometrici. Un tema, quello del sistema di riconoscimento facciale, che è particolarmente sensibile e oggetto di un costante monitoraggio da parte dell’Autorità.

Anche nel mondo del lavoro, ad esempio, è stata vietata a una nota società di food delivery di procedere con l’ulteriore raccolta di dati biometrici dei rider, tramite riconoscimento facciale. Il problema, anche in questo caso, risiede nella scarsa trasparenza e nell’uso improprio della geolocalizzazione, anche fuori dall’orario lavorativo.

La protezione dei minori online è uno degli assi portanti dell’azione dell’Autorità. Per parlare di numeri: le segnalazioni di revenge porn sono cresciute in modo preoccupante, arrivando a 823 casi – quasi il triplo rispetto al 2023 – il che ha generato provvedimenti diretti alle piattaforme, per bloccare la diffusione di materiale sessualmente esplicito. Un capitolo a parte è quello relativo alla vigilanza sull’età di iscrizione ai social. Il richiamo alla responsabilità da parte dei genitori è chiaro ed evidente, basti pensare alla diffusa pratica, apparentemente innocua, dello sharenting - la condivisione eccessiva da parte dei genitori di foto e video dei propri figli online – per contrastare la quale è stata lanciata la campagna “La sua privacy vale più di un like”, che sensibilizza le famiglie sui rischi per l’identità digitale dei minori.

Transizione digitale è il mantra della PA negli ultimi anni. E riguarda anche i Ministeri: l’Autorità ha supportato il Ministero della Giustizia nella gestione degli archivi, con attenzione alla distruzione legittima di documenti analogici nei procedimenti civili. Più in generale, il ruolo svolto dal Garante nel pubblico è stato fondamentale nell’accompagnare la digitalizzazione della Pubblica Amministrazione, nei settori dell’inclusione sociale - col Sistema informativo per l’inclusione sociale e lavorativa (SIISL) - la piattaforma nazionale sulla telemedicina (PNT) e l’Ecosistema dati sanitari (EDS). Il ruolo del Garante è stato quello di ribadire la necessità di rispettare le norme europee sul trattamento dei dati, soprattutto nei settori più delicati come sanità e giustizia. 

Squilla il telefono, il numero è sconosciuto, il pensiero corre al Telemarketing senza controllo. Contro questa pratica aggressiva, il Garante ha inflitto sanzioni pesanti e ha approvato un Codice di condotta specifico, con l’obiettivo di garantire un uso lecito dei dati degli abbonati. L’Autorità ha anche accreditato un organismo di monitoraggio per assicurare il rispetto delle nuove regole.

La presidenza italiana del G7 ha posto al centro il binomio tra intelligenza artificiale e diritti umani. In capo al Garante si è svolta l’organizzazione della Tavola rotonda tra le Autorità del G7, che ha portato alla sottoscrizione di una dichiarazione congiunta sul ruolo cruciale delle autorità di protezione dati nella governance dell’Ia. All’interno del Comitato europeo per la protezione dei dati (EDPB) è stata varata la Convenzione-quadro sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto, che si prepara a diventare il primo trattato internazionale giuridicamente vincolante in materia.

Un 2024 che si è chiuso col segno più, e che ha visto il Garante consolidare il proprio ruolo istituzionale, ponendosi come snodo strategico tra innovazione e diritti. L’azione svolta, spesso in chiave preventiva, ha dimostrato che tecnologia e libertà non sono in antitesi, ma necessitano di regole, trasparenza e supervisione costante. E il Garante italiano, nel quinto anno del suo mandato, si è confermato tra i protagonisti più attivi nel panorama europeo.