Ginevra Brighina, Autore presso DirittoConsenso

Intelligenza artificiale: uno sguardo alla regolamentazione europea

Intelligenza artificiale, priorità dell’UE la quale ha istituito una commissione per esaminare l’impatto della tecnologia

Scenario attuale

“Un’intelligenza artificiale (IA) affidabile può portare molti benefici, quali migliori cure sanitarie, trasporti più sicuri e puliti, processi di produzione più efficienti ed energia più economica e sostenibile. L’approccio dell’UE all’IA permetterà ai cittadini di far proprie tali tecnologie con convinzione, incoraggiando nel contempo le imprese a svilupparle”[1].

Siamo davanti al preludio di un progetto molto ambizioso ed innovativo, attraverso il quale si auspica una vera e propria rivoluzione nell’uso delle tecnologie da parte di cittadini e imprese. Per questa ragione, la Commissione Europea ha recentemente approvato una proposta di Regolamento, che garantisca la sicurezza e i diritti fondamentali delle persone e delle imprese, rafforzando nel contempo gli investimenti e l’innovazione nei paesi dell’UE.

In particolare, innumerevoli sono i benefici che l’intelligenza artificiale[2] potrebbe apportare sotto molteplici punti di vista. Basti pensare che i cittadini potrebbero godere di una migliore assistenza sanitaria, mezzi di trasporto più sicuri, migliore accesso all’informazione e offerta di nuovi posti di lavoro. In particolare, in ambito sanitario alcuni ricercatori si sono serviti dell’intelligenza artificiale per analizzare grandi quantità di dati medici e scoprire corrispondenze e modelli per migliorare le diagnosi e la prevenzione; con riferimento ai trasporti, le nuove tecnologie potrebbero renderli più veloci ed efficienti, aprendo la strada anche alla guida automatica; rispetto all’accesso alle informazioni, sono presenti applicazioni di intelligenza artificiale[3] che sono in grado di individuare fake news e disinformazione, analizzando i contenuti dei social media e identificando le parole e le espressioni sospette, perché sensazionalistiche o allarmanti. Anche alle imprese sarebbe consentito lo sviluppo di una nuova generazione di prodotti e servizi con percorsi di vendita più fluidi ed ottimizzati. Senza contare che l’IA applicata ai servizi pubblici potrebbe migliorare la gestione dell’energia e dei rifiuti, oltre a rendere nettamente migliore la sostenibilità dei prodotti. Ad esempio, vi è stato chi ha suggerito di censire gli abitanti di un comune mediante un sistema di algoritmi e di sacchetti col codice a barre, leggibile sia da parte dell’operatore che ritira i rifiuti dalla strada sia dai camion che li ritirano dai cassonetti. Ciò consentirebbe di conoscere la quantità e la qualità del rifiuto raccolto, nonché di programmare al meglio la programmazione degli itinerari e la tempistica della raccolta. Altro fattore positivo da non sottovalutare è quello della eguaglianza e della democrazia. Invero, grazie agli algoritmi di IA si potrà procedere alle verifiche basate sui dati, alla prevenzione della disinformazione e all’accesso a informazioni di qualità.

Nonostante ciò, anche l’IA è uno strumento fallibile: disparati sono i problemi rispetto ai quali l’intelligenza artificiale non è in grado di fornire una risposta soddisfacente, come ad esempio la risoluzione di complesse questioni sociali. È impellente, quindi, la necessità di scongiurare qualsiasi possibile abuso. L’altra faccia della medaglia è quella della raccolta e dell’utilizzo dei dati. L’intelligenza artificiale potrebbe rappresentare una minaccia nei confronti della protezione dei dati personali, condurre ad una manipolazione del dibattito pubblico o perfino minacciare la libertà di associazione, permettendo di inquadrare gli individui sulla base delle loro opinioni.

Il mese scorso Pasquale Stanzione, presidente dell’Autorità Garante della Privacy, ha chiarito al riguardo che tale sviluppo non può prescindere da un governo antropocentrico dell’innovazione da declinare in chiave personalistica e solidaristica per impedire che la tecnica divenga un fattore di moltiplicazione anziché di riduzione delle diseguaglianze sociali. Con riferimento al rispetto della normativa privacy, bisogna progettare strumenti “privacy-friendly” orientati allo sviluppo delle libertà degli utenti, prevenendo prevaricazioni fondate sull’utilizzo di dati sensibili degli utenti. In questo senso, la valutazione di impatto privacy potrebbe includere anche la prospettiva sul rispetto dei diritti umani complessivamente intesi. Occorre imparare ad utilizzare queste tecnologie in modo da minimizzare il ricorso a dati personali, attraverso una vera e propria pedagogia digitale[4].

Dello stesso avviso, la Vice Presidente del Garante Privacy, Ginevra Cerrina Feroni, che ha posto l’accento sui rischi dell’IA: la migliore modalità per tutelare i dati personali anche nel rapporto con le intelligenze artificiali sta nella pretesa di applicazione stringente di due principi contenuti nel Regolamento Europeo per la protezione dei dati personali. Si tratta dei principi “privacy by design” e “privacy by default”, ai sensi dei quali l’algoritmo deve essere basato sul rispetto della sfera privata e le libertà dell’individuo[5].

Vero è che le distorsioni e le discriminazioni rappresentano un rischio intrinseco di qualunque attività sociale od economica, ma queste stesse distorsioni, se presenti nell’IA, potrebbero tuttavia avere effetti molto maggiori e colpire o discriminare numerose persone in assenza dei meccanismi di controllo sociale che disciplinano il comportamento umano. Ciò può accadere anche quando il sistema di IA “apprende” nel corso del suo funzionamento. In tali casi, in cui i risultati non potevano essere evitati o anticipati in fase di progettazione, i rischi deriveranno non da difetti nella progettazione originale del sistema, bensì dagli effetti pratici delle correlazioni o dei modelli che il sistema individua all’interno di un ampio set di dati. Le caratteristiche specifiche di molte tecnologie di IA, tra cui l’opacità (effetto “scatola nera”), la complessità, l’imprevedibilità e un comportamento parzialmente autonomo, possono rendere difficile verificare il rispetto delle normative dell’UE in vigore volte a proteggere i diritti fondamentali e possono ostacolarne l’applicazione effettiva. Le autorità preposte all’applicazione della legge e le persone interessate potrebbero non disporre dei mezzi per verificare come sia stata presa una determinata decisione con il coinvolgimento di sistemi di IA e, di conseguenza, se sia stata rispettata la normativa pertinente. Le persone fisiche e giuridiche possono incontrare difficoltà nell’accesso effettivo alla giustizia in situazioni in cui tali decisioni possono avere ripercussioni negative su di loro[6]. Inoltre, un tema da non sottovalutare è quello della protezione del mercato in tema di concorrenza. Invero è bene regolamentare le asimmetrie informative e la trasparenza, qualora le informazioni fossero sfruttate a scapito degli utenti.

Alla luce delle questioni ora esposte, è evidente che lo scenario attuale impone un’elevata cautela nell’incoraggiare la diffusione dei sistemi di intelligenza artificiale onde evitare una distorsione negativa.

Categorie di rischio dei sistemi di IA

Ciò posto, interesse primario dell’Unione Europea è quello di sostenere un approccio normativo e orientato agli investimenti con il duplice obiettivo di promuovere l’adozione dell’Intelligenza Artificiale e di affrontare i rischi associati a determinati utilizzi di questa nuova tecnologia. Pertanto, la nuova proposta di disciplina europea è imperniata sulla sicurezza, trasparenza, eticità, imparzialità e controllabilità da parte dell’uomo dei sistemi di IA. Il titolo I della proposta di regolamento definisce l’oggetto del regolamento e il campo di applicazione delle nuove norme che riguardano l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale, nonché le definizioni utilizzate in tutto lo strumento.

La definizione di sistema IA nel quadro giuridico mira ad essere il più neutrale possibile dal punto di vista tecnologico e a prova di futuro, tenendo conto dei rapidi sviluppi tecnologici e di mercato relativi all’IA. Al fine di fornire la necessaria certezza giuridica, il titolo I è completato dall’allegato I, che contiene un elenco dettagliato di approcci e tecniche per lo sviluppo dell’IA che la Commissione deve adattare in linea con i nuovi sviluppi tecnologici. I partecipanti chiave attraverso la catena di valore dell’IA sono anche chiaramente definiti, come i fornitori e gli utenti dei sistemi di IA che coprono sia gli operatori pubblici che quelli privati per garantire condizioni di parità.

Vera novità è rappresentata dal fatto che tali sistemi vengono classificati sulla base del rischio, individuandone quattro categorie.

Rischio inaccettabile. Il titolo II che individua una lista di strumenti IA proibiti. In particolare, In questa categoria rientrano tutti i sistemi considerati una minaccia per i cittadini dell’UE e per ciò stesso vietati. I divieti riguardano pratiche con un significativo potenziale di manipolare le persone attraverso tecniche subliminali al di là della loro coscienza o sfruttano le vulnerabilità di certi gruppi specifici come i bambini o le persone con disabilità al fine di distorcere il loro comportamento. Basti pensare a sistemi di credito sociale utilizzati dai governi ovvero a dispositivi che incoraggino i bambini a tenere comportamenti pericolosi.
Rischio elevato. Il titolo III contiene regole specifiche per i sistemi di IA che creano un alto rischio per la salute e la sicurezza dei diritti fondamentali delle persone fisiche. In questo caso, prima dell’immissione sul mercato e durante la vita dei dispositivi che fanno parte di questa categoria, verranno effettuate delle valutazioni di conformità. È richiesto il soddisfacimento dei requisiti in materia di IA e la registrazione dei sistemi presso una banca dati autonoma.
Si fa riferimento ad ambiti quali quelli delle infrastrutture critiche, come i trasporti; istruzione o formazione professionale, come il punteggio degli esami; componenti di sicurezza dei prodotti; occupazione, gestione dei lavorativi e accesso al lavoro autonomo; servizi pubblici e privati essenziali; attività di contrasto che possono interferire con i diritti fondamentali delle persone; amministrazione della giustizia e processi democratici; gestione della migrazione, dell’asilo e del controllo delle frontiere.
Rischio limitato. I sistemi riferibili a tale categoria di rischio saranno soggetti a obblighi minimi di trasparenza, poiché in grado di consentire agli utenti di prendere una decisione informata e di rinunciare all’utilizzo in qualsiasi momento. Si tratta, ad esempio, dei chatbot.
Rischio minimo. Le nuove norme non intervengono su tali sistemi, poiché essi rappresentano un rischio minimo o nullo per i diritti o la sicurezza dei cittadini. Un esempio è costituito dall’uso gratuito di applicazioni, come i videogiochi o filtri spam che si avvalgono dell’IA[7].

Prospettive future dell’UE

La Commissione europea ritiene che il quadro legislativo possa essere migliorato per affrontare una serie di situazioni e rischi. Anzitutto, le tecnologie di IA rendono difficile garantire l’effettiva applicazione e il rispetto della normativa nazionale e dell’UE in vigore. A causa della mancanza di trasparenza (opacità), è difficile individuare e dimostrare eventuali violazioni delle disposizioni normative- ivi comprese quelle che tutelano i diritti fondamentali-, attribuire la responsabilità e soddisfare le condizioni per chiedere un risarcimento. Pertanto, al fine di garantire l’effettiva applicazione e il rispetto delle norme, può essere necessario adeguare o chiarire la legislazione in vigore in determinati settori, ad esempio in materia di responsabilità.

Altro punto critico è rappresentato dai limiti dell’ambito di applicazione della legislazione dell’UE vigente: la normativa generale dell’UE in materia di sicurezza attualmente in vigore si applica ai prodotti ma non ai servizi, per cui in linea di principio non si applica nemmeno ai servizi basati sulla tecnologia di IA (ad esempio servizi sanitari, finanziari e di trasporto).

Inoltre, a causa della funzionalità mutevole dei sistemi di IA, l’integrazione del software, compresa l’IA, nei prodotti può modificarne il funzionamento durante il ciclo di vita. Ciò vale in particolare per i sistemi che richiedono frequenti aggiornamenti del software o che si basano sull’apprendimento automatico. Tali caratteristiche possono dar luogo a nuovi rischi, peraltro non adeguatamente disciplinati dalla legislazione esistente, che non erano presenti quando il sistema è stato immesso sul mercato. L’evoluzione del concetto di sicurezza implica, poi, che l’uso dell’IA nei prodotti e nei servizi può dar luogo a rischi che la legislazione dell’UE attualmente non affronta in modo esplicito. Tali rischi possono essere collegati alle minacce informatiche, possono riguardare la sicurezza personale (ad esempio i rischi collegati a nuove applicazioni dell’IA, come nel caso dell’IA applicata agli elettrodomestici), o ancora possono derivare dalla perdita di connettività. Tali rischi possono essere presenti al momento dell’immissione dei prodotti sul mercato, o derivare da aggiornamenti del software o dall’apprendimento automatico durante l’uso del prodotto.

L’UE dovrebbe avvalersi appieno degli strumenti a sua disposizione per rafforzare la base di conoscenze scientifiche di cui dispone sui potenziali rischi connessi alle applicazioni di IA, sfruttando anche l’esperienza dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) al fine di valutare il panorama delle minacce dell’IA. Vari Stati membri stanno già valutando diverse opzioni per affrontare attraverso la legislazione nazionale le sfide poste dall’IA, ma ciò comporta un rischio di frammentazione del mercato unico. Norme nazionali divergenti possono creare ostacoli per le imprese che intendono vendere e gestire sistemi di IA nel mercato unico. Garantire un approccio comune a livello di UE consentirebbe alle imprese europee di beneficiare di un accesso agevole al mercato unico e favorirebbe la loro competitività sui mercati mondiali. In base a quanto esposto in precedenza la Commissione conclude che, oltre agli eventuali adeguamenti della legislazione esistente, potrebbe essere necessaria una nuova normativa specifica sull’IA al fine di adeguare il quadro giuridico dell’UE agli sviluppi tecnologici e commerciali attuali e futuri.

In ogni caso, obiettivo della Commissione europea è stato quello della promozione dell’eccellenza nell’intelligenza artificiale, al fine di perseguire strategie nazionali e sviluppi strategici. In particolare, l’intervento del 2021 è fortemente collimante con le priorità verdi e digitali della Commissione, oltre che con la ripresa che si auspica a suggello dell’ondata pandemica di Coronavirus. Sono previsti cospicui investimenti nel settore dell’IA al fine di una tempestiva attuazione e dell’armonizzazione delle politiche in materia in tutta l’Unione.

Quattro sono gli obiettivi chiave individuati a livello comunitario:

La costruzione di una leadership strategica nei vari settori;
La predisposizione delle condizioni di ammissibilità dei sistemi;
Rendere l’UE il posto giusto;
Assicurare che le tecnologie IA siano funzionanti.

A fronte di questa prospettiva, la Commissione si impegna ad istituire un partenariato sull’intelligenza artificiale al fine di attuare e investire in un piano strategico comune di ricerca; reti supplementari che promuovano lo scambio di conoscenze; strumenti di prova e sperimentazione; sportelli unici per fornire acceso alle competenze tecniche e alla sperimentazione; una piattaforma centrale di IA a livello europeo. Sino adesso, gli interventi di IA finanziati dall’UE sono stati di successo e profittevoli. Basti pensare alla sanità e al progetto CDAC (Centre for Development of Advanced Computing) che ha contribuito alla creazione di tecnologie innovative in grado di riabilitare pazienti colpiti da ictus oppure al progetto ANTARES (Advanced Technologies in Sustainable Agriculture and Food Security) che potrebbe aiutare gli agricoltori a produrre cibo più sostenibile per la società. Insomma, quello di regolamentazione dell’IA è un percorso evolutivo già avviato e che potrebbe rendere l’UE il leader mondiale in materia di intelligenza artificiale sicura. Elaborando un solido quadro normativo basato sui diritti umani e sui valori fondamentali, l’UE sarà in grado di sviluppare un sistema di IA di cui beneficeranno i cittadini, le imprese e i governi.

Informazioni

Bibliografia

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trust-artificial-intelligence_it#latest

https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata

https://www.europarl.europa.eu/news/it/headlines/priorities/intelligenza-artificiale-nell-ue/20200206STO72030/intelligenza-artificiale-contrastare-i-rischi-per-i-consumatori

https://www.europarl.europa.eu/news/it/headlines/priorities/intelligenza-artificiale-nell-ue/20200918STO87404/quali-sono-i-rischi-e-i-vantaggi-dell-intelligenza-artificiale

White paper, UE Commission

Proposal for a regulation of the European Parliament and of the council laying down harmonized rules on artificial intelligence (artificial intelligence act) and amending certain union legislative acts

Note

[1] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trust-artificial-intelligence_it#latest

[2] https://www.legaltechitalia.eu/la-strategia-italiana-per-lintelligenza-artificiale-luci-e-ombre/

[3] http://www.dirittoconsenso.it/2020/05/02/il-gdpr-e-intelligenza-artificiale/

[4] https://www.youtube.com/watch?v=a99JXlUsQNo

[5] https://www.youtube.com/watch?v=7u1bfp2JmD0

[6] White paper, UE Commission.

[7] Proposal for a regulation of the European Parliament and of the council laying down harmonized rules on artificial intelligence (artificial intelligence act) and amending certain union legislative acts.

by Ginevra Brighina

Il nuovo pass vaccinale è conforme alla normativa in tema di privacy?

Il Garante per la Privacy afferma che il nuovo pass vaccinale viola la normativa in tema di protezione di dati personali

Il Decreto Riaperture: spostamenti e pass vaccinale

Con il decreto-legge del 22 aprile 2021, n. 52 il Governo ha introdotto misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19 concernenti anche gli spostamenti sul territorio nazionale e le modalità di svolgimento di spettacoli aperti al pubblico, eventi sportivi, fiere, convegni e congressi. In particolare, il decreto prevede che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle c.d. certificazioni verdi. Tali certificazioni vengono rilasciate, su richiesta dell’interessato, al fine di attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 e l’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 (art. 9, comma 2).

Le predette certificazioni hanno una diversa durata di validità in relazione alle condizioni per il rilascio: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione, 48 ore in caso di test con esito negativo. Vale la pena osservare che le disposizioni relative alla certificazione verde sono applicabili in ambito nazionale fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al regolamento del “Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19 che abiliteranno l’attivazione della Piattaforma nazionale digital green certificate”. In un contesto così delineato, occorre individuare chi sia il soggetto incaricato della gestione dei dati personali che confluiranno nelle certificazioni verdi e valutare se il sistema delineato dal D. L. n. 52/2021 sia idoneo alla loro protezione.

L’avvertimento formale del Garante e le criticità riscontrate sul pass vaccinale

Le obiezioni ad un simile sistema non sono tardate ad arrivare. Infatti, il 23 aprile 2021 l’Autorità Garante ha inviato al Governo un provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal Decreto Riaperture, evidenziando i rischi che “l’implementazione della misura determina per i diritti e le libertà degli interessati” nonché la mancata adozione di “misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati”.

La mancata consultazione del Garante

Il Decreto Riaperture è stato adottato senza la previa consultazione del Garante, in violazione dell’art. 36 par. 4 del GDPR[1]. Il suo coinvolgimento avrebbe invece consentito di “indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione”, soprattutto a fronte del fatto che la certificazione verde comporta un trattamento sistematico di dati personali nonché un rischio elevato per i diritti e le libertà degli interessati.

L’inidoneità della base giuridica del trattamento

Ancora, il Garante ha osservato che il Decreto non rappresenta una valida base giuridica per l’introduzione delle certificazioni verdi, poiché privo degli elementi essenziali richiesti dal Regolamento sulla Privacy e dal Codice in materia di protezione dei dati personali. Oltre a non fornire un’indicazione delle finalità perseguite mediante l’introduzione della certificazione verde, non vengono neppure individuate puntualmente le fattispecie in cui essa può essere utilizzata né i casi in cui l’utilizzo di tale documento vada escluso. Ciò non consente di valutare la compatibilità delle predette certificazioni con quanto stabilito in sede comunitaria, tenuto peraltro anche conto del fatto che il loro utilizzo sembrerebbe essere temporaneo, in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione Europea.

Il principio di minimizzazione dei dati

Ad essere violato è, altresì, il principio di minimizzazione dei dati, secondo cui gli stessi devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Invero, secondo il Garante, le certificazioni dovrebbero riportare esclusivamente i dati anagrafici necessari a identificare l’interessato, un identificativo e univoco della certificazione e la data di fine validità della stessa. Tali dati sarebbero gli unici necessari al fine di verificare che la persona munita di certificazioni versi in una delle situazioni individuate dal decreto, ovverossia vaccinazione, guarigione o test negativo. Il suddetto principio rende, inoltre, inutile l’utilizzo di certificazioni diverse a seconda della condizione, dato che il Decreto non prevede ipotesi diverse per il loro utilizzo. La verifica sulla validità della certificazione potrebbe essere banalmente svolta osservandone la data di scadenza- dato, peraltro, attualmente non previsto dal Decreto.

Il principio di esattezza

Il D. L. n. 52/2021 istituisce la Piattaforma nazionale digital green certificate (Piattaforma nazionale-DGC) per l’emissione e validazione delle certificazioni verdi COVID-19: si tratta di un sistema informativo nazionale per il rilascio, la verifica e l’accettazione di certificazioni COVID-19 interoperabili a livello nazionale ed europeo. La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato. Questo sistema transitorio non consente, infatti, di verificare l’attualità delle condizioni attestate nella certificazione perché non può tener conto – in assenza della piattaforma – delle eventuali modificazioni delle condizioni relative all’interessato successive al momento del rilascio della stessa.

Il principio di trasparenza

In aggiunta, secondo l’Autorità, non sono individuate né le puntuali finalità perseguite né le caratteristiche del trattamento o i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni. In particolare, non è individuato l’Ente presso il quale sarà costituita la “Piattaforma Nazionale DGC” che, secondo quanto indicato nell’art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. Questo preclude agli interessati l’esercizio dei diritti in materia di protezione dei dati personali previsti dal Regolamento sulla privacy[2].

I principi di limitazione della conservazione e di integrità e riservatezza

Infine, è bene precisare che la nuova disciplina violerebbe anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Inoltre, non sono state indicate le misure idonee a garantire un’adeguata sicurezza dei dati personali e ciò viola i principi di integrità e sicurezza.

Conclusioni

A fronte delle criticità evidenziate, il Garante ha dichiarato la propria disponibilità ad avviare tempestivamente un dialogo istituzionale col Presidente del Consiglio dei Ministri. Le preoccupazioni dell’Autorità e l’urgenza di porre rimedio alle problematiche riscontrate deriverebbero dal fatto che l’utilizzo della certificazione verde è operativo a partire dal giorno successivo alla pubblicazione del decreto-legge.

Pertanto, onde evitare che gli elevati rischi per le libertà e i diritti degli interessati si trasformino in danni, si auspica che gli avvertimenti del Garante nei confronti dei Ministeri della Salute, dell’Interno, dell’Innovazione Tecnologica e della Transizione Digitale, dell’Economia e delle Finanze e degli Affari Regionali e la Conferenza delle Regioni o delle Province autonome portino ad un ripensamento e alla ricerca di un correttivo dell’attuale e recentissima disciplina. Allo stato attuale, difatti, i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto-legge del 22 aprile 2021, n. 52, ove non debitamente modificato, rischiano di violare le disposizioni del Regolamento UE 2016/679 di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32.

[1] Se vuoi saperne di più in tema di privacy, dai un’occhiata a http://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/.

[2] Sullo storage di informazioni sanitarie consulta anche https://www.legaltechitalia.eu/blockchain-privacy/

Questo contributo è stato redatto da un articolista di Legaltech Italia, partner di DirittoConsenso.it.