Il Garante per la protezione dei dati personali ha presentato la Relazione annuale sull’attività svolta nel 2024, quinto anno di mandato dell’attuale Collegio. La Relazione documenta l’ampio raggio d’azione dell’Autorità nel corso dell’anno, segnato da interventi su fronti altamente innovativi – come l’intelligenza artificiale generativa, il web scraping per l’addestramento dei sistemi di IA e i modelli “pay or ok” – affiancati da attività consolidate, quali la lotta al telemarketing aggressivo, la tutela delle persone più vulnerabili e la protezione dei dati in ambito sanitario.
Gli interventi più rilevanti
Nel 2024 il Garante ha affrontato sfide centrali per la tutela dei diritti digitali, con particolare attenzione all’Intelligenza Artificiale, alla protezione dei minori, al cyberbullismo, al telemarketing aggressivo, alla cybersicurezza e alla digitalizzazione della PA.
L’IA generativa è stata al centro del dibattito internazionale, anche in occasione del G7, con l’obiettivo di coniugare innovazione e diritti. Conclusa l’istruttoria su ChatGPT con una sanzione a OpenAI da 15 milioni di euro e avviati interventi su Worldcoin e uso improprio di dati biometrici.
Nel settore sanitario, l’Autorità ha vigilato su ecosistemi digitali e telemedicina, mentre ha intensificato il contrasto al web scraping per l’addestramento di IA.
Numerosi i controlli su piattaforme pubbliche e database obsoleti. Attenzione anche alla tutela dei minori sui social, allo sharenting e all’aumento delle segnalazioni di revenge porn (823 casi) e deepfake.
In ambito lavorativo, l’Autorità è intervenuta sull’uso di email aziendali, videosorveglianza e algoritmi, vietando l’uso di dati biometrici raccolti tramite riconoscimento facciale.
Proseguita l’azione contro il telemarketing illecito, con sanzioni e l’adozione del Codice di condotta. Interventi anche sul rapporto tra privacy e diritto di cronaca, per contrastare derive morbose nella narrazione di eventi tragici.
Le cifre
Nel 2024 sono stati adottati 835 provvedimenti collegiali, di cui 468 sono provvedimenti correttivi e sanzionatori. Sono stati gestiti 4.090 reclami e 93.877 segnalazioni relative il marketing e le reti telematiche, i dati on line delle pubbliche amministrazioni, la sanità, la giustizia, il cyberbullismo e il revenge porn, la sicurezza informatica, il settore bancario e finanziario e il lavoro.
Il Collegio ha espresso 47 pareri su atti regolamentari e amministrativi, in ambiti come digitalizzazione della PA, fisco, sanità e giustizia, e 12 su norme primarie riguardanti i diritti fondamentali.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16, riguardanti violazioni in materia di controllo dei lavoratori, accessi abusivi a sistemi informatici e dichiarazioni false. Le sanzioni riscosse hanno superato i 24 milioni di euro. I data breach (violazioni di dati personali) notificati sono stati 2.204: nel settore pubblico hanno riguardato soprattutto Comuni, scuole e strutture sanitarie; nel privato, sia PMI sia grandi aziende di telecomunicazioni, energia e finanza.
Le ispezioni svolte sono state 130, in linea rispetto con l’anno precedente e hanno coinvolto ambiti come SPID, riconoscimento facciale, videosorveglianza, ricerca scientifica e controllo dei lavoratori. È proseguito il monitoraggio sul Sistema d’informazione Schengen (SIS). L’Autorità ha risposto a oltre 16.000 quesiti da parte di cittadini, imprese e pubbliche amministrazioni, su temi come il Regolamento Ue, telemarketing, videosorveglianza, intelligenza artificiale e lavoro.
Sul fronte della comunicazione istituzionale, nel corso dell’anno sono stati diffusi 50 comunicati stampa, 15 newsletter, 4 campagne informative e 52 video divulgativi su web e social media.
Attività internazionale
Nel 2024 l’attività internazionale del Garante è stata particolarmente intensa, con la partecipazione a 280 riunioni, molte in presenza. Oltre ai consueti impegni con organismi come il Consiglio d’Europa e l’Ocse, grande attenzione è stata dedicata al G7 Privacy, sotto presidenza italiana. Il tema centrale è stato il rapporto tra intelligenza artificiale e diritti umani, alla luce anche dell’entrata in vigore dell’AI Act europeo.
A Roma, il Garante ha organizzato la Tavola rotonda tra le autorità del G7, occasione per definire proposte comuni su IA e diritti fondamentali. Centrale è stata la riflessione sul ruolo delle autorità di protezione dei dati, riconosciuto sia dall’EDPB sia dai partecipanti al G7 Privacy.
Nel 2024 è stata anche aperta alla firma la Convenzione-quadro sull’intelligenza artificiale del Consiglio d’Europa, primo trattato internazionale vincolante su IA, diritti umani e Stato di diritto. L’EDPB ha rafforzato il suo ruolo di guida interpretativa su temi chiave come il riutilizzo dei dati per l’IA, il riconoscimento facciale e i modelli “pay or ok”.
Numerose anche le sentenze della Corte di giustizia dell’UE, che hanno consolidato la protezione dei dati come riferimento sovranazionale. In parallelo, l’UE ha avviato l’attuazione di normative cruciali della strategia digitale, tra cui il Digital Governance Act e il Digital Markets Act.
La Relazione è disponibile sulla pagina ufficiale del Garante per la protezione dei dati personali.
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10150195
