GARANTE PROTEZIONE DEI DATI PERSONALI – Nota 14 marzo 2022, n. 487
Sanità: Anagrafe nazionale degli assistiti, ok del Garante privacy – Siti web della Pa: sì del Garante privacy alle Linee guida AgID – Garante privacy: sì al nuovo regolamento Bankitalia sull’analisi degli esposti – Responsabilità civile e AI: i Garanti europei scrivono alla Commissione Ue
Sanità: Anagrafe nazionale degli assistiti, ok del Garante privacy
Il Garante per la protezione dei dati personali ha dato via libera al Ministero della salute sullo schema di decreto del Presidente del Consiglio dei Ministri che disciplina l’Anagrafe nazionale degli assistiti (ANA). Lo schema è stato elaborato tenendo conto delle indicazioni fornite dall’Autorità privacy nell’ambito di numerose interlocuzioni con il Ministero della salute, volte a garantire il rispetto della protezione dei dati personali trattati.
Il via libera del Garante introduce un importante strumento di innovazione che agevola il sistema di monitoraggio della spesa sanitaria, accelera il processo di automazione amministrativa e migliora i servizi per i cittadini e le PA. La nuova banca dati, realizzata dal Ministero della salute in accordo col MEF, assicura infatti alle singole ASL la disponibilità delle informazioni esatte e aggiornate sugli assistiti per lo svolgimento delle funzioni di propria competenza.
Importanti le novità introdotte dal decreto: l’ANA subentra alle anagrafi e agli elenchi degli assistiti tenuti dalle singole Aziende sanitarie locali, che mantengono la titolarità dei dati di propria competenza e ne assicurano l’aggiornamento. Le ASL cessano di fornire ai cittadini il libretto sanitario personale e, in caso di trasferimento di residenza, l’ANA ne dà immediata comunicazione telematica alle aziende sanitarie locali interessate. In questo modo l’ASL della nuova residenza prende in carico il cittadino, e aggiorna i dati di propria competenza nell’ANA, senza che l’interessato debba fornire ulteriori comunicazioni alle Aziende sanitarie coinvolte.
Lo schema di Dpcm definisce anche i contenuti dell’Anagrafe nazionale degli assistiti, tra i quali devono essere inclusi le scelte del medico di medicina generale e del pediatra di libera scelta e il codice esenzione e il domicilio. Lo schema stabilisce inoltre il piano per il graduale subentro dell’ANA alle anagrafi e agli elenchi degli assistiti tenuti dalle singole ASL e le garanzie e le misure di sicurezza. E’ previsto poi che gli interessati possano accedere in rete ai propri dati personali contenuti nell’ANA, ovvero richiederne copia cartacea presso l’ASL competente.
L’adozione del provvedimento consente, tra l’altro, di dare attuazione all’investimento “Potenziamento del Fascicolo sanitario elettronico”, previsto dalla missione 6 del Piano nazionale di ripresa e resilienza.
Siti web della Pa: sì del Garante privacy alle Linee guida AgID
Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.
Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.
Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.
In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.
Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.
Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.
Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.
Garante privacy: sì al nuovo regolamento Bankitalia sull’analisi degli esposti
Utilizzate tecniche di intelligenza artificiale, ma con adeguate tutele per i dati delle persone
Parere favorevole del Garante Privacy alla bozza di regolamento della Banca d’Italia per l’analisi degli esposti presentati da chi intende denunciare comportamenti scorretti e irregolari da parte delle banche e delle finanziarie.
Il regolamento tiene conto della volontà della Banca d’Italia di adottare un sistema di analisi avanzata, tramite tecniche di machine learning e altri strumenti di intelligenza artificiale, che possa far emergere eventuali fenomeni di interesse per l’attività di vigilanza, come comportamenti scorretti e frequenti nell’offerta di prodotti bancari e finanziari.
Il testo del regolamento e la relativa valutazione d’impatto sulla protezione dei dati personali tengono già conto delle indicazioni fornite dal Garante a Bankitalia in numerose interlocuzioni, al fine di garantire il rispetto del GDPR e dei suoi principi. Sarà quindi assicurata la necessaria trasparenza del trattamento dei dati personali e adottate particolari tutele per i dati riferibili ai clienti, agli intermediari o a soggetti terzi, riportati negli esposti.
Banca d’Italia ha previsto che l’analisi degli esposti verrà effettuata mediante l’aggregazione in cluster (gruppi simili) delle informazioni, escludendo però che l’utilizzo degli strumenti di AI sia basato su dati personali.
Non sarà inoltre effettuata alcuna forma di profilazione o predizione di comportamenti individuali. E dai risultati delle analisi sviluppate con sistemi AI, non potranno derivare conseguenze sanzionatorie o decisioni automatiche su persone fisiche. Nel regolamento, infatti, è specificato che tutte le decisioni non saranno automatizzate, ma continueranno ad essere adottate direttamente dal personale dell’Autorità bancaria, all’interno della procedura ordinaria di gestione dei singoli esposti.
Saranno adottate anche apposite misure di sicurezza, consentendo l’accesso alle informazioni ai soli dipendenti autorizzati. È previsto infine il periodico monitoraggio e l’aggiornamento degli algoritmi di machine learning, sotto il controllo di tecnici esperti, al fine di assicurare alle persone interessate il rispetto dei loro diritti ed evitare qualsiasi conseguenza negativa derivante da analisi automatizzate.
Responsabilità civile e AI: i Garanti europei scrivono alla Commissione Ue
Il Comitato europeo per la protezione dei dati personali (EDPB) ha inviato alla Commissione Europea una lettera nella quale ha rivolto alcune raccomandazioni riguardo all’Artificial Intelligence Act (AI Act) proposto recentemente dalla Commissione Ue anche richiamandosi al recente parere congiunto adottato sull’AI Act con l’EDPS.
I Garanti europei hanno accolto con favore l’iniziativa, volta ad adeguare le norme in materia di responsabilità civile nell’era digitale e alla luce dell’impiego dell’intelligenza artificiale (IA), ma hanno sottolineato, in primo luogo, la necessità di chiarire i ruoli dei produttori e fornitori di sistemi di intelligenza artificiale utilizzati per incrementare la sicurezza dei dati personali, così da consentire una corretta attribuzione di responsabilità sia in termini di protezione dei dati sia in termini di responsabilità civile. La lettera evidenzia inoltre l’opportunità di assicurare agli utenti la trasparenza riguardo all’impiego di sistemi di AI attraverso idonee informazioni sui meccanismi di elaborazione dei dati.
I Garanti ricordano infatti che, poiché non sempre risulta possibile illustrare in modo chiaro ed esaustivo il funzionamento di sistemi di AI, vi è la necessità di progettare questi sistemi in modo conforme ai principi di protezione dati, verificando costantemente la qualità dei dati e dei processi di elaborazione. In terzo luogo, è essenziale per il Comitato europeo per la protezione dei dati personali la valutazione preliminare della qualità dei dati utilizzati dagli algoritmi.
Per creare un ambiente tecnologico affidabile e limitare gli effetti negativi di decisioni errate, la misurabilità del grado di equità e causalità delle decisioni algoritmiche dovrebbe costituire un pilastro delle nuove regole.
L’EDPB sottolinea, infine, che la nuova normativa sulla responsabilità civile dovrà essere efficace come legislazione a sé stante e non ricalcare semplicemente gli obblighi previsti dal futuro AI Act.