Il Garante per la protezione dei dati personali ha presentato in estate la “Relazione Annuale 2020”, nella quale vengono illustrati i diversi fronti su cui l’Autorità ha investito il proprio impegno.

Lo scorso anno, segnato dall’emergenza pandemica, ha richiesto non solo la necessità di un trattamento dei dati legati alla salute estremamente funzionale, ma anche e soprattutto il rispetto dei diritti delle persone, coinvolgendo in tal modo il Garante in una costante azione di bilanciamento, nel momento stesso in cui si è reso necessario indicare misure di garanzia e tutela, così come di fornire pareri quanto più possibile obiettivi.

In modo particolare, nell’anno passato l’Autorità di controllo ha focalizzato la propria attenzione su ambiti ben definiti quali le app di “contact tracing”, l’effettuazione dei test sierologici, la raccolta dei dati sanitari di dipendenti e clienti, l’attivazione dei sistemi di didattica a distanza e il processo amministrativo e tributario da remoto.

Il 2020 si è peraltro rivelato particolarmente impegnativo anche ai fini del progressivo adeguamento al Regolamento UE 2016/679 da parte dei soggetti pubblici e privati, per i quali ad oggi sono previste nuove responsabilità.

Ecco dunque cosa è emerso dal rapporto annuale, riassunto in funzione dei punti più significativi.

Quali sono stati gli interventi più rilevanti nel 2020

Il 2020 è stato protagonista di una serie di interventi incentrati sulle questioni legate alla tutela dei diritti fondamentali delle persone in ambito digitale relative alle grandi piattaforme e alla tutela dei minori, al diffondersi di sistemi di riconoscimento facciale e alla monetizzazione dei dati personali, senza tralasciare fenomeni quali il “deep fake” e il “revenge porn”.

Sul fronte della tutela online, soprattutto dei soggetti minori, lo scorso anno ha registrato un intervento piuttosto importante nei confronti di “Tik Tok”, piattaforma utilizzata da giovani e giovanissimi per condividere video e immagini.

Il Garante in questo caso ha chiesto e ottenuto misure cautelative per la verifica dell’età relativa all’iscrizione alla piattaforma, lanciando una campagna informativa – unitamente a “Telefono Azzurro” – per richiamare l’attenzione dei genitori, invitandoli a vigilare sui comportamenti dei propri figli sui principali social network.

Istruttorie e accertamenti sono stati avviati anche nei confronti del fenomeno del “deep nude”, che avviene mediante l’uso di applicazioni in grado di modificare immagini e video di soggetti vestiti, sostituendole con immagini di nudo create in maniera fittizia.

Attenzione rivolta al contempo anche alla scarsa trasparenza legata all’informativa dell’applicazione di messaggistica istantanea “WhatsApp”, e all’utilizzo di dati biometrici da parte di “Clubhouse”, social che offre possibilità di interazione per mezzo di chat vocali.

Per contrastare invece il pericoloso fenomeno del “revenge porn”, il Garante ha provveduto ad attivare un canale di emergenza per aiutare le persone che temono la diffusione di foto o video intimi senza il relativo consenso.

A tutela invece delle vittime di cyberbullismo, l’Autorità, sulla base della legge 71/2017, ha disposto procedure di intervento, avviando una campagna di sensibilizzazione legata a tale fenomeno.

Sono inoltre proseguite tutte le attività svolte al fine di garantire la protezione dei dati personali online, in particolare relativamente ai probabili rischi correlati all’utilizzo degli assistenti digitali installati comunemente sugli smartphone o presenti negli impianti di domotica.

Per quanto concerne invece la profilazione online, il Garante ha provveduto a disporre una consultazione pubblica che ha condotto all’adozione di nuove linee guida in materia di informativa e consenso per l’uso dei cookie.

Sul fronte cybersecurity e sulla mancata adozione di misure di sicurezza adeguate da parte di pubbliche amministrazioni, imprese e piattaforme online, l’Autorità nel 2020 ha proseguito tutte le attività di vigilanza e intervento prescrittivo previste (intensificate a seguito di casi di particolare gravità), mentre per quel che concerne il settore sanitario è intervenuta fornendo chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati circa il corretto trattamento dei dati personali dei pazienti, anche in merito alla vaccinazione dei dipendenti durante il periodo della pandemia.

Lo stesso Garante lo scorso anno è intervenuto attivamente nella definizione di precise garanzie legate all’utilizzo dell’App Immuni, basando il sistema di “contact tracing” su adesione volontaria dei soggetti, e rendendo pseudonimizzati i dati utilizzati dal sistema di allerta.

Ha altresì approvato la semplificazione delle modalità di trasmissione delle ricette mediche alle farmacie, fornendo il proprio consenso rivolto alle “certificazioni verdi”, a condizione di garantire la tutela dei dati personali dei soggetti coinvolti.

L’Autorità, per quanto riguarda invece il settore della pubblica amministrazione, ha richiamato le PA ad evitare la diffusione illecita di dati personali, e a sottostare a precisi obblighi di pubblicità degli atti e dignità delle persone, chiedendo maggiori garanzie volte alla tutela dell’ingente mole di informazioni raccolte, migliorando ulteriormente i sistemi di pseudonimizzazione dei dati.

Relativamente all’ambito della fiscalità, il 2020 ha visto il Garante autorizzare importanti provvedimenti del Governo, quali il “cashback di Stato”, la “lotteria degli scontrini”, il “bonus Vacanze” e il “bonus Mobilità”, mentre per quanto concerne la fatturazione elettronica ha ampiamente sottolineato l’importanza di garantire la proporzionalità e la selettività nella memorizzazione dei dati dei contribuenti.

Particolare importanza è stata attribuita anche alla tutela dei consumatori: in questo caso l’Autorità è intervenuta contro il telemarketing aggressivo attraverso l’applicazione di ingenti sanzioni, che solo nel 2020 hanno sfiorato una somma complessiva di oltre 57 milioni di euro, la maggior parte delle quali riguardanti l’utilizzo dei dati degli abbonati senza il relativo consenso.

Tra gli interventi effettuati nel 2020, da evidenziare è sicuramente l’impegno profuso da parte del Garante nell’azione di supporto a imprese e pubbliche amministrazioni attraverso una capillare attività di formazione, ai fini di una quanto più corretta applicazione del Regolamento anche circa l’importante figura del responsabile della protezione dei dati.

Tutte le violazioni privacy riscontrate dall’Autorità Garante nel 2020

Nel 2020 le violazioni privacy riscontrate dal Garante sono state le seguenti:

  • 16 casi di omessa o inidonea informativa relativa ai dati raccolti presso il soggetto interessato, con violazione dell’art. 13 del GDPR;
  • 15 casi di violazione dei principi generali applicabili al trattamento dei dati personali, secondo quanto stabilito dall’art. 5;
  • 11 casi di violazione delle condizioni per la liceità del trattamento, secondo quanto stabilito dall’art. 6;
  • 11 casi di violazione delle condizioni per il consenso da parte del soggetto interessato, secondo quanto stabilito dall’art. 7;
  • 8 casi di mancata o inidonea valutazione di impatto sulla protezione dei dati, secondo quanto previsto dall’art. 35;
  • 6 casi di omessa o irregolare tenuta del registro delle attività di trattamento, con conseguente violazione dell’art. 30;
  • 4 casi di omessa o inidonea designazione del responsabile del trattamento, secondo quanto stabilito dall’art. 28;
  • 4 casi di trattamento sotto l’autorità del titolare o del responsabile svolto in assenza di istruzioni, secondo quanto invece stabilito dall’art. 29;
  • 4 casi di omessa o inidonea designazione del responsabile della protezione dei dati, secondo quanto stabilito dall’art. 37;
  • 3 casi di omessa o inidonea informativa per dati che non siano stati ottenuti presso l’interessato, secondo quanto stabilito dall’art. 34;
  • 2 casi di violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione, secondo quanto stabilito dall’art. 8;
  • 1 caso di violazione relativa al trattamento di categorie particolari di dati personali, secondo quanto stabilito dall’art. 9;
  • 1 caso di violazione del principio di responsabilità del titolare del trattamento, secondo quanto stabilito dall’art. 24;
  • 1 caso di mancata adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, secondo quanto stabilito invece dall’art. 32.

Il totale incassato nel 2020 per le sanzioni disposte dal Garante della Privacy ha superato oltre i 38 milioni di euro.

Considerata dunque la vasta “gamma” di inadempienze messe in atto, diviene ancor più fondamentale che il titolare del trattamento, così come i soggetti autorizzati al trattamento dei dati personali, siano in grado di eseguire in modo corretto le attività necessarie per proteggere le informazioni, e siano al contempo in grado di rendicontarle in fase di ispezione, nel rispetto del principio di accountability.