COMMISSIONE UE LAVORA SU CODICE IA MA SARA’ VOLONTARIO
La Commissione Ue sta lavorando sulle bozze di un Codice di condotta per la marcatura ed etichettatura dei contenuti generati dall’IA. Il Regolamento europeo 1689 del 2024 sull’intelligenza artificiale, detto anche AI Act, prevede infatti all’art. 50 il concetto di trasparenza nei confronti dell’utilizzatore di IA, la guerra ai deepfake e ai contenuti non veritieri creati dall’IA. Il testo finale del Codice sarà pronto per la fine di giugno, in vista del 2 agosto quando entra in vigore il Regolamento AI Act. In sostanza il Codice, che sarà adottabile volontariamente, permette alle aziende sviluppatrici e ai titolari che utilizzano IA di essere compliant rispetto al Regolamento, a partire dalla trasparenza su tutti i dettagli relativi all’intervento robotico. Il Codice prevede ad esempio una specie di filigrana digitale invisibile incorporata direttamente nei contenuti; l’incorporazione di metadati rivela l’uso di IA ed elimina contenuti falsi in modo che l’utilizzatore umano si renda subito conto se sta utilizzando o consultando un prodotto artificiale. Il fingerprinting consente anche di verificare a posteriori chi ha generato un documento. Il tema IA è sempre più scottante, molti professionisti tra cui i commercialisti, hanno adottato delle informative chiare e trasparenti per informare i clienti su data retention e assicurare che l’IA viene utilizzata solo per redigere bozze di documenti e che c’è sempre l’apporto del professionista. Da rimarcare che le norme vigenti continuano ad attribuire reati penali e civili per il Titolare e chi tratta dati con IA. Insomma finora la responsabilità della mancata sorveglianza sull’uso della macchina è tutta umana.
MEGAMULTA A INTESA SANPAOLO PER 2,4 MILIONI DI DATI DI CLIENTI
Secondo quanto verificato dal Garante privacy, Intesa Sanpaolo Spa avrebbe trasferito 2,4 milioni di clienti e relativi dati bancari a una sua controllata Isybank Spa, banca solo digitale, senza il consenso degli interessati. Dall’inchiesta è emerso che i clienti sono stati scelti con una profilazione non autorizzata e che sono stati trasferiti in blocco alla banca digitale senza essere informati in modo chiaro e trasparente. In sostanza non c’è stata nessuna trasparenza, le informative sull’operazione a volte arrivavano con degli sms per cui gli interessati non ne avevano capito la portata. I clienti trasferiti hanno così scoperto tornando dalle ferie estive di avere un nuovo Iban e spese bancarie diverse e di non avere più il conto sulla banca ‘fisica’. La multa del Garante per una serie notevole di irregolarità è stata di 17.628.000 euro.
IA NELLA SANITA’ ALLO STUDIO DEL CNIL
Il Garante privacy francese CNIL ha avviato una Consultazione pubblica sull’utilizzo dell’Intelligenza artificiale nella sanità. Secondo una ricerca il 65 per cento degli ospedali pubblici francesi utilizza già sistemi di IA, Questi non hanno bisogno di consensi ulteriori da parte degli Interessati, dato che l’uso dell’IA rientra nelle finalità di cura e diagnosi dell’attività medica stessa. Tuttavia il CNIL sottolinea l’importanza della trasparenza nelle informative; la necessità di una mappatura delle strutture informatiche utilizzate in modo che siano chiari, anche dal punto di vista privacy, gli attori, chi fa che cosa. Infine sono indispensabili i regolamenti interni, detti anche Policy, in modo che gli operatori abbiano chiaro l’utilizzo, le regole e i limiti. Alla luce dell’AI Act europeo e anche di quanto stabilito in Europa a livello legislativo, resta che l’operato della macchina necessita sempre una supervisione umana: il CNIL lo sottolinea con forza.
TELEMEDICINA: IL PARERE DEL GARANTE SULLA PIATTAFORMA NAZIONALE
Da alcuni mesi è attiva presso Agenas (Agenzia nazionale per i servizi sanitari regionali) la Piattaforma nazionale di Telemedicina, creata dal Ministero della Salute e delle Finanze e dal Consiglio dei Ministri. Un anno fa è stato pubblicato il parere del Garante Privacy su questa Piattaforma finanziata con fondi Pnrr, che può conferire i dati sanitari al Fascicolo sanitario del cittadino. Nel parere, l’Authority privacy ha sottolineato l’obbligo della Dpia (Valutazione preventiva) per questo genere di trattamenti; una mappatura degli impieghi della Piattaforma; la necessità di misure tecniche e organizzative per garantire la sicurezza del dato, il monitoraggio continuo per prevenire intrusioni informatiche e infine la necessità di informative precise e trasparenti per gli Interessati. Di recente anche l’Agenzia nazionale per la cybericurezza ha dato il via libera e finalmente a dicembre scorso è stato pubblicato un decreto ad hoc sulla Gazzetta nazionale https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10105743
ACEA ENERGIA MULTATA PER CONTRATTI LUCE E GAS
Le truffe e irregolarità sui contratti di luce e gas non sono finite: Acea Energia è appena stata multata per 2 milioni di euro per aver sottoscritto 1.200 contratti all’insaputa degli utenti. Nuovamente, come in passato, è saltato fuori che i contratti erano affidati a ditte esterne, non adeguatamente formate in termini di privacy dal Titolare. Dall’inchiesta è emerso che queste ditte riuscivano a procacciarsi foto e documenti con dispositivi mobili e falsificavano le firme dei malcapitati cittadini. Ovviamente, il Titolare è chiamato a vigilare sull’intera filiera del dato e controllare l’operato di fornitori e sub-fornitori. Ecco perché Acea è stata multata.
ENEL ENERGIA: 500 MILA EURO
Anche Enel Energia è finita nel mirino del Garante per marketing selvaggio e ha preso una sanzione di 500 mila euro. Secondo quanto ricostruito dagli inquirenti in base a segnalazioni di tre persone, l’azienda, anche con ditte in appalto, chiamava ripetutamente i clienti, per proporre nuovi piani tariffari o servizi. Il problema è che venivano chiamati anche gli Interessati che non avevano dato il consenso al marketing, da qui la multa di mezzo milione. La sanzione mette in luce la necessità di creare una black list dove vengono inseriti tutti i clienti che non danno il consenso al marketing. Ricordiamo che se il Titolare fa anche profilazione, deve creare un’altra lista apposita.
MULTA A BAKEKA SRL PER ANNUNCI PERSONALI PICCANTI
Una donna ha fatto reclamo al Garante lamentando che erano stati pubblicati due annunci su incontri privati, a sua insaputa. Addirittura nei testi figurava il suo numero di telefono e l’indirizzo dell’ufficio. Una volta rimossi gli annunci, il Garante ha svelato che i meccanismi di verifica dell’identità di chi pubblicava l’annuncio erano piuttosto deboli, Bakeka Srl. ha dovuto apportare modifiche e ha ricevuto una multa di 5 mila euro. L’episodio dimostra la necessità per tutte le aziende di verificare l’identità delle persone anche in occasione dell’esercizio dei diritti degli interessati.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. Nel 2025 è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi. Infine Amarù, Fava, Fossi, Maschio hanno pubblicato NIS2: come rafforzare la cybersicurezza (FrancoAngeli, 2025).
