Il Garante Privacy ha presentato la Relazione annuale 2024, illustrando le sfide affrontate in un anno che ha visto l’esplosione dell’intelligenza artificiale generativa, l’adozione dell’AI Act e la crescente minaccia dei cyber attacchi.

Il presidente dell’Autorità Pasquale Stanzione ha sottolineato la necessità di governare queste trasformazioni in linea con la missione costituzionale della protezione dei dati, un diritto che tutela la dignità umana ed è caposaldo della democrazia.

Ha richiamato, in questo senso, le parole di Papa Leone XIV, che ha scelto il proprio nome ispirandosi a Leone XIII e alla Rerum Novarum per affrontare con lungimiranza i cambiamenti sociali del proprio tempo, evidenziando come oggi la sfida epocale da governare sia quella dell’intelligenza artificiale.

Richiamando anche Sant’Agostino, Stanzione ha ricordato come la dignità umana sia legata alla responsabilità e al senso del limite, valori fondamentali per un governo etico delle tecnologie.

I numeri del Garante Privacy, tra innovazione e tutela

Il 2024 è stato un anno di grande attività per il Garante per la protezione dei dati personali, che ha operato con intensità su più fronti per garantire la tutela dei diritti e della privacy in un contesto di rapide trasformazioni tecnologiche e sociali.

Di seguito, i principali dati che fotografano l’impegno dell’Autorità nell’anno appena concluso.

Nel corso del 2024, il Garante ha adottato 835 provvedimenti collegiali, di cui 468 correttivi e sanzionatori.

L’Autorità ha risposto a 4.090 reclami e a 93.877 segnalazioni, che hanno riguardato vari settori tra cui marketing e reti telematiche, dati online delle pubbliche amministrazioni, sanità, giustizia, cyberbullismo, revenge porn, sicurezza informatica, settore bancario e finanziario, e lavoro.

I pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 47 ed hanno riguardato la digitalizzazione della Pa, la sanità, il fisco, la giustizia, l’istruzione e le funzioni di interesse pubblico.

Dodici sono stati i pareri su norme di rango primario: in particolare, riguardo ai diritti fondamentali, fisco, digitalizzazione della Pa, sanità.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante.

Sanzioni, data breach e ispezioni

Le sanzioni riscosse sono state oltre 24 milioni di euro.

Significativo il numero dei data breach (violazioni di dati personali) notificati nel 2024 al Garante da parte di soggetti pubblici e privati: 2.204. Nel settore pubblico (498 casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie. Nel settore privato (1.706 casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio.

Le ispezioni effettuate nel 2024 sono state 130, in linea rispetto a quelle dell’anno precedente.

Accertamenti

Gli accertamenti svolti, inoltre, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, SPID, impiego di tecnologie innovative (dispositivi installati o sperimentati da alcuni comuni per il controllo dei flussi turistici), registro elettronico, tecnologie di riconoscimento facciale, strumenti di videosorveglianza e controllo dei lavoratori, ricerca scientifica, data breach.

Nel 2024 è proseguita l’attività di controllo e monitoraggio dei trattamenti su dati registrati nella sezione nazionale del Sistema di informazione Schengen (SIS).

Attività di relazione con il pubblico

Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 16.045 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi:

• all’applicazione del Regolamento Ue;
• all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato;
• al rapporto di lavoro pubblico e privato;
• alla videosorveglianza;
• alle problematiche poste dal web;
• alla salute e alla ricerca;
• all’intelligenza artificiale.

Comunicazione istituzionale

Per quanto riguarda l’attività di informazione e comunicazione istituzionale, nel 2024 l’Autorità ha diffuso 50 comunicati stampa, 15 Newsletter, realizzato 4 campagne informative, e prodotto 52 video informativi su temi di maggiore interesse per il pubblico, diffusi sul web e sui social media.

Impegno su fronti innovativi e attività consolidate

La Relazione illustra i diversi fronti su cui è stata impegnata l’Autorità nel corso di un anno caratterizzato da interventi in ambiti fortemente innovativi – come le nuove tecnologie emergenti, l’intelligenza artificiale generativa, i modelli “pay or ok” e l’addestramento dei sistemi di IA tramite web scraping – accanto a costanti consolidate come il contrasto al telemarketing aggressivo, la tutela dei soggetti più vulnerabili e la protezione dei dati personali particolari.

Intelligenza artificiale: tra dati e geopolitica

Il Presidente ha richiamato l’AI Act europeo come terza via tra il protezionismo cinese e il neo-mercantilismo americano, riaffermando l’approccio umanocentrico della normativa europea come garanzia di un potere digitale al servizio della persona.

Speculare anche la tendenza al “cloud repatriation”, ovvero all’ emancipazione, da parte europea, dalla dipendenza americana nel controllo dei dati di aziende e istituzioni, oggi vincolato al 70% alle big tech.

Ha richiamato il rischio dell’algocrazia, ossia un potere decisionale affidato ciecamente agli algoritmi senza supervisione umana, e il pericolo di un approccio idolatra verso la macchina: “Il 66% dei lavoratori usa IA generativa senza alcuna verifica critica dei risultati, con un approccio quasi oracolare”.

Intelligenza artificiale e tecnologie emergenti sotto i riflettori

L’IA è stata definita una “general-purpose technology” destinata a rivoluzionare interi settori economici e sociali, con riflessi occupazionali, geopolitici ed etici. Tra i rischi evidenziati, l’algocrazia, ovvero il potere decisionale affidato agli algoritmi senza adeguata supervisione umana, e la necessità di sviluppare un’“algoretica” che garantisca la centralità della persona e dei suoi diritti.

In particolare, il Garante ha richiamato l’attenzione sui pericoli per i minori, dall’uso dell’IA generativa per la creazione di materiale pedopornografico, alla dipendenza da chatbot empatici che rischiano di sostituire relazioni umane reali.

E si avverte con sempre maggiore forza l’esigenza di porre l’uomo, con i suoi diritti e le sue libertà, al centro del processo di innovazione, affinché non diventi — come ricordava Paul Valéry — schiavo della stessa potenza che ha creato.

Age verification e consapevolezza digitale

I minori sono tra i più esposti ai rischi dell’IA e del digitale. Stanzione ha sottolineato come l’age verification sia imprescindibile per evitare che accedano a contenuti o tecnologie senza consapevolezza, richiamando la necessità di una pedagogia digitale per non lasciare i ragazzi soli online.

Chatbot e loop dell’empatia

I chatbot generativi diventano spesso un “approdo sicuro” per i ragazzi, offrendo empatia infinita e tono consolatorio. Questo genera dipendenza e svaluta i rapporti umani reali, inducendo all’isolamento sociale e alla perdita della capacità di relazionarsi con l’altro.

Bias e discriminazioni di genere

Gli algoritmi rischiano di perpetuare stereotipi e discriminazioni. “Se la parola uomo è associata al medico e donna all’infermiera, l’IA consoliderà tali ruoli, cancellando decenni di lotta per l’uguaglianza”.

L’educazione algoritmica deve promuovere la libertà, non cristallizzare disuguaglianze.

Revenge porn e sextortion

In preoccupante aumento il fenomeno del revenge porn: 823 le segnalazioni inviate al Garante da persone che temono la diffusione di foto e video a contenuto sessualmente esplicito, quasi triplicate rispetto allo scorso anno.

Le segnalazioni ricevute sono state trattate tempestivamente e, nella maggior parte dei casi, l’esame si è concluso con un provvedimento diretto alle piattaforme coinvolte per ottenere il blocco preventivo della diffusione delle foto e dei video.

Banche dati, sicurezza nazionale e IA

Il Presidente ha richiamato l’attenzione sulla sicurezza delle banche dati, fondamentali per la sovranità digitale. Ha ricordato l’apertura di una task force interdipartimentale per i dossieraggi realizzati con accessi abusivi a banche dati pubbliche e private, al fine di coniugare efficienza e rapidità nell’accertamento, ribadendo che “la privacy è un valore che non può essere apprezzato solo nella fase patologica”.

Costituzione, dati sanitari e IA

Richiamando l’art. 32 Costituzione, Stanzione ha spiegato che il diritto alla salute è al contempo diritto individuale e interesse collettivo, e che l’IA può migliorare cure e diagnosi, ma richiede un governo attento per proteggere i dati più sensibili.

Ha citato FaceAge, algoritmo che stima la sopravvivenza oncologica analizzando i volti, e i robot chirurgici autonomi, ribadendo che la supervisione medica resta imprescindibile.

Giustizia: equilibrio tra esigenze contrapposte

La privacy nella giustizia è un “gioco di equilibri” tra diritto di cronaca, difesa e tutela delle persone. Il Garante è intervenuto per il principio di essenzialità dell’informazione, come nel caso Chiara Poggi per bloccare la diffusione del video autoptico.

Ha richiamato la recente sentenza sul diritto all’affettività in carcere, definendo la protezione dei dati “un diritto di frontiera” che coniuga libertà, solidarietà, dignità e sicurezza.

Telemarketing: strategia integrata

Il telemarketing aggressivo resta un fronte esemplificativo dell’attività del Garante: nel 2024 il Garante ha irrogato sanzioni per oltre 6 milioni di euro, accompagnate da misure preventive, remediali e consultive, a dimostrazione di una strategia integrata che combina repressione e cultura della legalità.

Pay or ok: libertà non patrimonializzabili

Il modello “pay or consent” prevede che l’utente possa accedere a un servizio scegliendo tra due opzioni: pagare per evitare la profilazione, oppure accettare la pubblicità comportamentale.

Questa modalità solleva dubbi di conformità al GDPR, in particolare riguardo alla validità del consenso, che deve essere libero e non condizionato.

Il Garante Privacy ha evidenziato la necessità di offrire un’alternativa gratuita e non invasiva, come la pubblicità contestuale, per garantire il rispetto dei diritti degli utenti e un equilibrio corretto tra modelli di business e tutela della privacy.

Per questo motivo, il Garante Privacy ha avviato una consultazione pubblica per valutare e definire linee guida che garantiscano un equilibrio tra modelli di business e tutela della privacy.

L’Autorità ha sottolineato l’importanza di offrire un’alternativa gratuita e non invasiva, come la pubblicità contestuale, per assicurare il rispetto dei diritti degli utenti.

Rispondendo agli editori europei, il Presidente ha ribadito che la monetizzazione dei dati tramite modelli “pay or ok” non deve trasformare le libertà digitali in un bene patrimoniale, riaffermando la necessità di alternative gratuite e rispettose dei diritti.

Prospettive future: governance, formazione e cooperazione

Guardando al futuro, il Presidente Stanzione ha richiamato la necessità di rafforzare la governance dei dati, investire nella formazione continua dei dipendenti pubblici e privati per diffondere una “cultura della protezione dei dati” come vantaggio competitivo, e promuovere la cooperazione tra autorità, imprese e istituzioni.

Ha infine evidenziato come la protezione dei dati sia “l’elemento fondativo di un potere digitale al servizio della persona e della sua dignità”, citando José Saramago: “Siamo la memoria che abbiamo e la responsabilità che assumiamo”.