Intelligenza artificiale: dal Garante privacy le indicazioni per difendere i dati personali dal web scraping

Tratto da www.garanteprivacy.it – Newsletter del 07/06/2024

Il Garante privacy ha pubblicato le indicazioni per difendere i dati personali pubblicati online da soggetti pubblici e privati in qualità di titolari del trattamento dal web scraping, la raccolta indiscriminata di dati personali su internet, effettuata, da terzi, con lo scopo di addestrare i modelli di Intelligenza artificiale generativa (IAG). Il documento tiene conto dei contributi ricevuti dall’Autorità nell’ambito dell’indagine conoscitiva, deliberata lo scorso dicembre.

In attesa di pronunciarsi, all’esito di alcune istruttorie già avviate tra le quali quella nei confronti di OpenAI, sulla liceità del web scraping di dati personali effettuato sulla base del legittimo interesse, l’Autorità ha ritenuto necessario fornire a quanti pubblicano online dati personali in qualità di titolari del trattamento talune prime indicazioni sull’esigenza di compiere alcune valutazioni in ordine all’esigenza di adottare accorgimenti idonei a impedire o, almeno, ostacolare il web scraping.

Nel documento l’Autorità suggerisce alcune tra le misure concrete da adottare: la creazione di aree riservate, accessibili solo previa registrazione, in modo da sottrarre i dati dalla pubblica disponibilità; l’inserimento di clausole anti-scraping nei termini di servizio dei siti; il monitoraggio del traffico verso le pagine web per individuare eventuali flussi anomali di dati in entrata e in uscita; interventi specifici sui bot utilizzando, tra le altre, le soluzioni tecnologiche rese disponibili dalle stesse società responsabili del web scraping (es: l’intervento sul file robots.txt.).

Si tratta di misure non obbligatorie che i titolari del trattamento dovranno valutare, sulla base del principio di accountability, se mettere in atto per prevenire o mitigare, in maniera selettiva, gli effetti del web scraping, in considerazione di una serie di elementi: lo stato dell’arte tecnologico; i costi di attuazione, in particolare per le PMI.

Il provvedimento, consultabile sul sito www.gpdp.it.

14 Giugno 2024

Videosorveglianza e rilevazione delle presenze: il Garante Privacy sanziona un Comune

Tratto da www.garanteprivacy.it – Newsletter del 21/05/2024

L’installazione degli “occhi elettronici” nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa privacy. Il principio è stato ribadito dal Garante Privacy che ha inflitto ad un Comune una sanzione di 3mila euro per trattamento illecito di dati personali.

L’Autorità è intervenuta a seguito della segnalazione di una dipendente che lamentava l’installazione di una telecamera nell’atrio del Comune, in prossimità dei dispositivi di rilevazione delle presenze dei lavoratori. Attraverso l’utilizzo delle immagini registrate, l’amministrazione aveva contestato alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di servizio. Alla richiesta di spiegazioni da parte dell’Autorità, il Comune ha risposto che la telecamera era stata installata per motivi di sicurezza, a seguito di alcune aggressioni ai danni di un assessore e di un’assistente sociale. 

Nel corso dell’istruttoria il Garante ha rilevato che il Comune non aveva, tuttavia, assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e aveva peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice.

L’Autorità ha, pertanto, sanzionato l’Amministrazione ingiungendo, inoltre, alla stessa di fornire a tutti gli interessati (lavoratori e visitatori presso la sede comunale) un’idonea informativa sui dati personali trattati mediante l’utilizzo della telecamera in questione. Il Comune non aveva infatti reso tutti gli elementi informativi previsti dal Regolamento europeo, né potevano essere considerati idonei altri documenti redatti dal titolare per diversi fini.

22 Maggio 2024

Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali

Tratto da www.garanteprivacy.it – Newsletter del 10/04/2024

Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online.

Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.

Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio – e non i dati del dipendente – cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, (la data di nascita, in caso di omonimia) e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

Nel dare il proprio parere positivo sugli schemi standard di pubblicazione, il Garante tuttavia ha chiesto ad Anac di innalzare il livello di tutela. Ad esempio, nel caso di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le Pa devono evitare di pubblicare dati troppo dettagliati che possano identificare il dipendente e l’ammontare del premio erogato (o non erogato) a suo favore. Potranno invece pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati e all’ammontare dei premi effettivamente distribuiti. Il Garante invita, inoltre, a valutare l’opportunità di prevedere un periodo transitorio per consentire alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web istituzionali.

11 Aprile 2024

Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy

Tratto da www.garanteprivacy.it – Newsletter del 10/04/2024

Con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Il data breach – causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione – ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. [VEDI PROVVEDIMENTI doc. web n. 10002324, 10002533, 10002287]

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).

La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.

Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.

Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato la sanzione di 10mila euro.

Le Autorità privacy Ue avranno maggiore autonomia contro le imprese extra Ue. Chiarita dal Comitato dei Garanti la nozione di stabilimento principale

Tratto da www.garanteprivacy.it – Newsletter del 07/03/2024

Quando un’impresa extra europea ha uno stabilimento nei Paesi membri dell’Unione europea, ma le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, il meccanismo del cosiddetto “Sportello Unico” non si applica. In questi casi qualunque Autorità privacy di un Paese membro potrà muoversi in maniera autonoma per tutelare i diritti dei propri cittadini e intervenire direttamente presso il titolare.

L’importante decisione è stata presa dal Comitato europeo per la protezione dati (EDPB) il 13 febbraio adottando un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop, secondo cui l’autorità di controllo capofila funge da punto di contatto principale per il titolare o il responsabile del trattamento (mentre le autorità di controllo interessate fungono da punto di contatto principale per gli interessati nel territorio del proprio Stato membro) ed è incaricata di condurre il processo di cooperazione con le altre Autorità.

La nozione di stabilimento principale è una delle pietre miliari del One-Stop-Shop ed è fondamentale per determinare quale, se del caso, sia l’autorità di controllo principale nei casi di protezione dei dati che coinvolgano più Stati membri.

Il Comitato ha chiarito che il “luogo di amministrazione centrale” di un titolare del trattamento nell’UE può essere considerato “stabilimento principale” solo se è lì che si prendono decisioni sulle finalità e sui mezzi del trattamento dei dati personali e se si ha il potere di far attuare tali decisioni. Solo in questo caso, dunque, si applica il meccanismo dello Sportello Unico.

Quando le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, “luogo di amministrazione centrale” non può essere considerato stabilimento principale del titolare del trattamento nell’Unione né si deve applicare il One-Stop-Shop, e pertanto qualunque Autorità nazionale può intervenire direttamente presso il titolare.

Spetta inoltre al titolare, chiarisce ancora il parere, l’onere di dimostrare che le decisioni sulle finalità e sui mezzi del trattamento dei dati personali siano state prese nel Paese Ue dove è stabilito lo stabilimento principale e le sue conclusioni possono comunque essere confutate dalle Autorità di protezione dati.

8 Marzo 2024