Fisco, lavoro, FSE 2.0, intelligenza artificiale - Il Garante fa il punto nella Relazione annuale
Tra i passaggi più significativi il tema della sinergia “intelligenza artificiale-dati (non solo) personali” che porterà alla completa compenetrazione del mondo analogico con quello digitale
Il 3 luglio scorso, il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulla attività 2023 , dalla quale emergono alcuni spunti di sicuro interesse. Si tratta di 279 pagine suddivise in più sezioni. Una parte introduttiva, relativa allo stato di attuazione del Codice in materia di tutela dei dati personali, alla luce dell’odierno complessivo quadro normativo, essendo stati approvati, nel corso del 2023, numerosi provvedimenti dedicati al tema della protezione dei dati personali; una sezione dedicata ai rapporti istituzionali del Garante, anche in considerazione delle molteplici richieste di consultazione dell’Autorità su atti normativi a carattere primario, per esempio in sede di conversione di decreti legge. Poi, una seconda parte più specificamente dedicata alle attività svolte dal Garante negli ambiti più delicati della tutela dei dati, quali quello fiscale (es. le dichiarazioni precompilate), sanitario, lavorativo “tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza” (si pensi alle email del lavoratore, alla videosorveglianza, al c.d. whistleblowing, ecc.), ai trattamenti in ambito giornalistico, giudiziario e di sicurezza, di ricerca scientifica ecc.; e, infine, in un’ultima parte dedicata all’ufficio dell’Autorità (organizzazione, logistica, manutenzione ecc.).
Lo spettro di azione
Anche in termini numerici, l’attività del Garante dimostra un significativo dinamismo: oltre 9000 riscontri a reclami e segnalazioni e 263 successive decisioni; 144 ispezioni, più di 2000 violazioni dei dati notificate e quasi 8 milioni di sanzioni riscosse. Il quadro che ne emerge suggerisce qualche riflessione.
L’azione del Garante – che, come noto, può assumere natura preventiva e consultiva oppure successiva, in sede di reclamo ed eventualmente in sede sanzionatoria – ha uno spettro che la Relazione evidenzia essere assai ampio, spaziando dall’ambito delle dichiarazioni dei redditi precompilate e della corretta gestione delle deleghe da parte dei Caf, alle scelte relative alla volontaria destinazione di una quota dell’Irpef (2 x1000, 5 x1000, 8x1000) da parte dei contribuenti, al composito sistema sanitario, ove l’attività del Garante viene richiesta pressochè in ogni interstizio, dai sistemi informativi sanitari che alimentano il Nuovo sistema informativo sanitario (NSIS), alla ricette transfrontaliere, al sistema TS per la trasmissione dei dati alla tessera sanitaria (dati comprensivi, per esempio, anche delle spese mediche) e, più in generale, alla cosiddetta “ sanità digitale ”, in particolare, al fascicolo sanitario elettronico (FSE) nella sua versione 2.0 , che, tra l’altro, si colloca nell’ambito della Missione sei (salute) del PNRR.
Proprio in tale contesto, il Garante, nel corso del 2023, è stato richiesto di un’attività ulteriore, dopo che gli schemi di decreto relativi alla disciplina del FSE 2.0 sottoposti al vaglio dell’Autorità nel 2022 non avevano avuto esito positivo; di qui la richiesta di un nuovo parere, in conseguenza di alcune significative modifiche, quali per esempio, l’elencazione tassativa dei dati dei documenti che possono essere consultati attraverso il FSE; il bilanciamento, in chiave di proporzionalità, nei casi di incapacità o grave e irreparabile rischio per la salute del paziente che non possa prestare direttamente il proprio consenso alla consultazione del FSE, senza poter poi, ovviamente, tralasciare i profili applicativi dell’intelligenza artificiale in sanità.
Qui si apre una prospettiva che ad oggi appare certamente sfidante; il tema dell’intelligenza artificiale ha costituito uno dei principali argomenti di discussione e riflessione del 2023.
Con specifico riferimento all’ambito sanitario, a settembre 2023 il Garante ha adottato un decalogo per la realizzazione di servizi sanitari attraverso sistemi di intelligenza artificiale (doc. web n. 9938038), che dedica particolare attenzione ai profili etici, tra i quali, principalmente, il rischio di profilazione e di decisioni automatizzate, ribadendo la necessità di una attenta predisposizione tecnica e organizzativa in termini di privacy by design e by default e sottolineando la centralità della supervisione o “sorveglianza umana”, come d’altronde espressamente indicato nell’art. 14 Regolamento (UE) 2024/1689 ( AI Act , pubblicato nella Gazzetta Ufficiale dell’Unione Europea del 12 luglio scorso, che sarà tuttavia applicabile solo dal 2026).
In sintesi, emerge il fatto che la sinergia “ intelligenza artificiale-dati (non solo) personali ” porterà (anzi ha già portato) alla completa compenetrazione del mondo analogico con quello digitale, di modo che le competenze dell’uno non potranno non evolversi per poter operare adeguatamente anche nell’altro.
Di primo acchito la constatazione è del tutto banale: è necessario che le professionalità si aggiornino; concetto ovvio, certamente, ma ancora non del tutto assimilato se si pensi che la Relazione riferisce anche di una sanzione inflitta dal Garante nel 2023 ad una sezione territoriale del consiglio dell’ordine professionale degli avvocati, che − ai fini dell’attivazione di un profilo professionale su di un sito appositamente predisposto per consentire la presentazione delle istanze di ammissione al gratuito patrocinio per conto dei propri clienti − aveva chiesto ai difensori “ di indicare sia la propria PEC sia la password di accesso alla stessa ”.
In conclusione, se la quotidianità di ciascuno di noi si è fatta sempre più digitale, la tutela dei dati personali si mostra sempre più come uno dei principali strumenti a tutela dei diritti fondamentali della persona, che questa, di volta in volta, sia professionista, cliente, lavoratore o paziente e ciò anche al fine di evitare che gli algoritmi dell’intelligenza artificiale siano alimentati dalla raccolta massiva dei dati in mano alle piattaforme e ai gestori di siti internet sia pubblici, che privati (c.d. web scraping , aspetto sul quale il Garante, nel 2023, ha avviato una apposita attività conoscitiva); conseguentemente sempre più qualificata deve essere la padronanza, anche digitale, degli arnesi del mestiere e ciò non solo per le “nuove” professionalità, quelle specificamente inerenti alla disciplina del dati personali (quali il DPO), ma sempre più anche per le professionalità tradizionali, posto che non è più possibile sottrarsi alla piena permeabilità tra le due aree del quotidiano. Constatazione banale, come detto, ma che talvolta sfugge.
_______
*A cura dell’Avv. Alessandra Spangaro, DigitalMediaLaws