La Autoridad de Protección de Datos, compuesta por Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta hoy el Informe sobre la actividad realizada en 2019.
El informe describe los diferentes frentes en los que se ha contratado el Colegio de Autoridades durante el año de prórroga de su mandato, caracterizado en los últimos meses por el impacto de la Emergencia Sanitaria vinculada a Covid-19 en todas las áreas de la vida nacional. La necesidad de garantizar un procesamiento adecuado de los datos, en particular los datos sanitarios, y el respeto de los derechos de las personas ha visto a la Autoridad proporcionar asesoramiento y proporcionar salvaguardias con respecto a la aplicación «immuni»; pruebas serológicas; recopilación de los datos de salud de empleados y clientes; receta electrónica; ensayos clínicos e investigación médica; activación de sistemas de aprendizaje remoto; proceso penal y administrativo de forma remota.
El 2019 también ha sido un año particularmente difícil para la Autoridad, con vistas a su adaptación progresiva al Reglamento de la UE por entidades públicas y privadas para las que ahora se prevén nuevas responsabilidades.
Las intervenciones más importantes
En 2019 se realizaron una serie de intervenciones centradas principalmente en las importantes innovaciones introducidas por el Reglamento de la UE y en las principales cuestiones relacionadas con la protección de los derechos fundamentales de las personas en el mundo digital: en particular, las implicaciones éticas de la tecnología; la economía basada en datos; grandes plataformas; big data; inteligencia artificial y los problemas planteados por los algoritmos; protección de la seguridad y el ciberespacio; la omnipresencia de las diferentes formas de control y vigilancia; el uso cada vez más generalizado de datos biométricos; monetización de la información personal; noticias falsas; el Internet de las Cosas; venganza porno.
En el frente de las violaciones de datos online y los riesgos de la elaboración de perfiles encubiertos, el año pasado, facebook fue multado con 1 millón de euros por infracciones que surgieron como parte de la investigación sobre el ahora famoso asunto «Cambridge Analytica», que también afectó a los ciudadanos italianos.
En cuanto a los peligros planteados por Tik Tok, la red social china que permite la creación y el intercambio de audio, vídeo e imágenes, utilizados por millones de usuarios, en su mayoría muy jóvenes, el Garante ha solicitado y obtenido el establecimiento de un grupo de trabajo específico dentro del Comité Europeo que reúne a todas las Autoridades de Privacy de la Unión (Edpb).
En el frente de la ciberseguridad y la falta de atención a las medidas de seguridad por parte de las administraciones públicas, las empresas y las plataformas en línea, la Autoridad siguió supervisando e interviniendo, incluso como resultado de casos particularmente graves.
El número de violaciones de datos notificadas en 2019 al Garante por entidades públicas y privadas es significativo a este respecto: 1443.
La Autoridad ha exigido a una empresa que ofrece servicios de correo electrónico certificados que tome medidas estrictas para asegurar su servicio de pectorales y para curar las vulnerabilidades que han surgido durante una inspección.
También en 2019, el Garante ha dado una serie de requisitos oportunos para la seguridad de una plataforma de participación política.
Con respecto al tratamiento de datos con fines de seguridad nacional y las garantías que deben garantizarse a los ciudadanos, se ha reforzado la cooperación con la inteligencia con el nuevo protocolo de intención de ciberseguridad firmado con el Dis.
Se ha continuado trabajando para garantizar la protección de los datos online, en particular en lo que respecta a los posibles riesgos asociados con el uso de asistentes digitales, instalados en nuestros smartphones o presentes en nuestros hogares. Se ha firmado un memorando de entendimiento con algunos Co.Re.Com para combatir el fenómeno del ciberacoso, con el objetivo de fortalecer el sistema de protección y activar una red de respuesta oportuna y coordinada para proteger a las víctimas jóvenes.
El Garante también ha proporcionado orientación sobre cómo defenderse contra el software malicioso, en particular ransomware, programas informáticos que toman «rehén» un dispositivo electrónico (pc, tableta, smartphone, smart TV y luego exigir un rescate (ransom) para «liberarlo». Esta es una amenaza particularmente peligrosa en la era del Covid-19 que ha llevado a muchas más personas y durante mucho más tiempo para estar conectado online.
En 2019, se ha reforzado aún más el trabajo para proteger el derecho al olvido y se ha desarrollado el debate internacional sobre su protección más allá de las fronteras de Europa.
En el mundo del trabajo, el Garante ha definido garantías para la recogida de huellas dactilares de los empleados públicos con el fin de combatir el absentismo y ha establecido las reglas para el uso de las nuevas tecnologías, en particular en lo que respecta al control de los trabajadores y la gestión del correo electrónico.
En el ámbito de la justicia, la Autoridad ha propuesto medidas para garantizar mayores salvaguardias en el uso de los capturadores de computadoras (troyanos) con fines de investigación y ha señalado al Ministerio de Justicia la necesidad de una reforma orgánica para estos instrumentos de investigación particularmente invasivos, entre ellos para limitar los graves riesgos de su uso distorsionado que han surgido por última vez en el caso del «Exodus».
En el sector de la salud, el garante intervino para proporcionar aclaraciones a los ciudadanos, médicos, asl y particulares, sobre las nuevas características introducidas por el Reglamento de la UE y la legislación nacional.
Con respecto a la administración pública, el Garante instó a las administraciones a respetar las normas de proporcionalidad y a cumplir con las obligaciones de dar a conocer los actos y la dignidad de las personas. Ha establecido reglas precisas para el ejercicio del derecho de acceso cívico y ha pedido más protecciones para aquellos que denuncian actos ilícitos con la herramienta «whistleblowing». Para el nuevo censo permanente, la Autoridad pidió salvaguardias para reforzar la protección de la gran cantidad de información recopilada, en particular mediante la mejora de las técnicas de seudónimo de datos.
Con respecto al sistema tributario, el Garante ha solicitado protecciones para evitar el tratamiento desproporcionado de los datos personales de los contribuyentes y las medidas de seguridad para el acceso al archivo de informes financieros para el Isee precargado. Para el sistema de facturación electrónica, la Autoridad reiteró la necesidad de garantizar la proporcionalidad y la selectividad en el almacenamiento de los datos de los contribuyentes. También se han establecido garantías para los procesos automatizados de lucha contra la evasión fiscal y se han establecido normas para el inicio de la llamada «lotería de recibos».
En el ámbito del bienestar, la Autoridad ha pedido que cumpla con el mecanismo de reconocimiento, desembolso y gestión de los ingresos de ciudadanía a la legislación europea, evitando un seguimiento demasiado invasivo de las opciones de consumo individual y garantizando la selectividad de la información relativa a sectores débiles de la población.
En el ámbito de la protección del consumidor, el garante intervino contra el telemarketing agresivo con la aplicación de fuertes sanciones (una de 27,8 millones de euros y otra de 11,5 millones de euros) a los operadores que utilizaron datos de abonados sin su consentimiento. Se han introducido nuevas normas para proteger a los consumidores en los sistemas de información crediticia para hacer frente a los desafíos de la economía digital e imponer transparencia al funcionamiento de los algoritmos.
Un capítulo importante fue la relación entre la privacy y el derecho a denunciar. El Garante ha intervenido varias veces para estigmatizar los excesos de morbilidad que caracterizan una cierta manera de hacer información y para garantizar las protecciones adecuadas ante todo contra las víctimas de abuso sexual, especialmente si son menores de edad.
Por último, en 2019 el Garante se dedicó constantemente a apoyar a las empresas y administraciones públicas con actividades intensivas de formación, incluso a través de proyectos de cooperación internacional (T4Data y Smedata), con el fin de aplicar de manera adecuada y eficaz el Reglamento de la UE, incluso en lo que respecta a la nueva figura del delegado de la protección de datos.
Las cifras
En 2019, se adoptaron 232 medidas colegiadas.
La Autoridad ha respondido a más de 8.000 quejas e informes relativos a la comercialización telefónica; salud; crédito al consumo; ciberseguridad; banca y finanzas; trabajo; las autoridades locales.
El Colegio dictó 46 dictámenes sobre actos reglamentarios y administrativos, que abarcaban la policía y la seguridad nacional; los antecedentes penales; la digitalización de Pa; medidas contra el absentismo y la recolección de huellas dactilares de funcionarios; la voluntad biológica; ingresos por la ciudadanía; reforma del Registro Público de Oposiciones; la «cultura de bonos»; el “whistleblowing”; educación; procreación asistida.
33 fueron los dictámenes dictados en virtud de la legislación sobre transparencia.
Hubo 9 denuncias de infracciones penales a las autoridades judiciales en relación con el incumplimiento de las medidas del Garante, la falsedad en declaraciones y avisos al Garante y un caso de acceso abusivo a un sistema de información y telemática. Hubo 36 mandamientos.
Hubo 147 inspecciones realizadas en 2019. Las investigaciones, también llevadas a cabo con la ayuda de la Unidad Especial de Protección de la Privacy y Fraude Tecnológica de la Guardia de Finanzas, abarcaron una serie de sectores, tanto en el sector público como en el privado. En el sector privado, las inspecciones se destinaron principalmente al tratamiento de las empresas de corretaje financiero; bancos (con especial referencia a los flujos de datos a los registros de cuenta corriente); por empresas que llevan a cabo actividades de marketing y retención (incluso en lo que respecta a la elaboración de perfiles de clientes). En el sector público, la actividad de verificación se centró en el Sistema Estadístico Nacional (Sistan), Spid, software de gestión de denuncias y grandes bases de datos.
Se respondieron a más de 15.800 preguntas en relación con la relación pública, que abarcaba, de manera importante, los requisitos relacionados con la aplicación del Reglamento de la UE, seguidos de cuestiones relacionadas con llamadas telefónicas no deseadas, correos electrónicos, faxes y mensajes de texto promocionales; Internet; relaciones laborales públicas y privadas; videovigilancia; plantas de riesgo privado; datos bancarios.
Actividad internacional
Actividad no menos relevante e intensa del Garante a nivel internacional, con 137 reuniones, y se caracterizó sobre todo por la acción de apoyo a la aplicación del Reglamento de Protección de Datos.
En el seno del Comité Europeo de Protección de Datos (EDPB), que reúne a las autoridades de protección de datos de la UE, el Garante ha contribuido a la adopción de una serie de directrices y dictámenes sobre cuestiones complejas: códigos de conducta; los principios de privacy por design y por default; contratos en línea; videovigilancia; transferencias de datos a países no pertenecientes a la UE sobre la base de normas comerciales vinculantes (BCR).
El Garante también participa en los mecanismos de cooperación («punto de información único») y en la coherencia prevista por el Reglamento de la UE, mediante intercambios diarios de información y documentación (en particular, en lo que respecta a las decisiones sobre reclamaciones transfronterizas) sobre el sistema IMI utilizado para este fin.
También es importante trabajar en la interacción entre el Reglamento Europeo y la Directiva sobre el tratamiento de datos personales y la protección de la privacy en el ámbito de las comunicaciones electrónicas (Directiva sobre privacy electrónica).
También cabe destacar la labor del Garante Italiano para el Consejo de Europa, que, a través del Comité competente encargado de supervisar las cuestiones de protección de datos presidida por un representante del Garante italiano, prosiguió la labor de seguimiento del Protocolo de Modificación del Convenio 108, que dio lugar al denominado «Convenio 108». La Comisión Consultiva del Convenio 108 también adoptó las Directrices de Inteligencia Artificial y el Dictamen sobre el proyecto de segundo protocolo adicional en la Convención de Budapest sobre Ciberdelincuencia. Por último, el Comité de Ministros adoptó la Recomendación sobre la protección de los datos sanitarios.
La contribución realizada en el seno de la OCSE, en particular sobre la seguridad y la protección de la privacy en la economía digital a la protección de los niños en línea, también es significativa. También se ha intensificado la colaboración dentro de grupos internacionales (como la Red Mundial de Cumplimiento de la Privacy, GPEN), que promueven intervenciones conjuntas y específicas para verificar el cumplimiento de la legislación de protección de datos.
También debe señalarse la labor de seguimiento de la aplicación nacional de los reglamentos de la UE sobre el sistema Schengen, Europol (Oficina Europea de Policía) y VIS (Sistema de Visados).
Relazione annuale 2019FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP