PROTEGGERE I DATI NELL’ERA DELL’INFORMAZIONE: PROVIAMO A DECIFRARE PSEUDONIMIZZAZIONE E ANONIMIZZAZIONE

In un’era digitale dove la quotidiana raccolta e gestione di ingenti quantità di dati personali si intreccia alle crescenti e giustificate preoccupazioni per la privacy e la sicurezza, la pseudonimizzazione e l’anonimizzazione emergono come strumenti chiave. La corretta adozione di queste tecniche non solo permette la salvaguardia dei dati ma soprattutto tutela diritti fondamentali come la riservatezza e la sicurezza degli individui coinvolti, mantenendo costantemente il delicato equilibrio tra corretto utilizzo dei dati e principi di integrità; pur essendo distinte nella loro applicazione e impatto, condividono l’obiettivo comune di proteggere le informazioni personali da usi impropri e da accessi non autorizzati.

La pseudonimizzazione, definita nel GDPR dell’Unione Europea, implica l’adozione di soluzioni tecniche volte a sostituire identificatori diretti per impedire, senza ulteriori informazioni, l’identificazione diretta dell’individuo. Queste tipologie di soluzioni, se applicate correttamente, offrono un efficace equilibrio tra la necessità di proteggere i dati personali e la possibilità di utilizzarli per scopi legittimi, quali ad esempio analisi e ricerca.

D’altro canto, l’anonimizzazione rimuove permanentemente e irreversibilmente qualsiasi traccia identificativa dai dati, trasformandoli in informazioni non personali. Questo processo, se eseguito correttamente, può offrire una maggiore libertà nella loro elaborazione e condivisione.

In questo articolo, esploreremo queste due tecniche analizzandole principalmente da un punto di vista di progettazione ed integrazione tecnologica. Attraverso alcuni esempi, analizzando le pratiche ottimali e valutando anche delle considerazioni che prevedono aspetti etici, sarà possibile comprendere come la pseudonimizzazione e l’anonimizzazione, se progettate ed implementate efficacemente, possano contribuire significativamente ad un uso corretto e responsabile dei dati nell’era dell’informazione.

Approfondimento sulla Pseudonimizzazione

La pseudonimizzazione è un processo tecnico che mira a ridurre i rischi associati al trattamento dei dati personali, mascherando gli identificatori che potrebbero ricondurre a un individuo specifico. Questa tecnica si differenzia dall’anonimizzazione in quanto, con strumenti e tecniche aggiuntive, può essere possibile ricollegare i dati alla persona originale. Nella pseudonimizzazione, gli identificatori chiari come nomi, indirizzi o numeri di identificazione vengono sostituiti con codici o pseudonimi.

Esistono diverse metodologie per implementare la pseudonimizzazione. Ad esempio: 

  • L’hashing crittografico trasforma i dati in una stringa di testo apparentemente casuale, ma costante per lo stesso input, rendendo difficile, ma non impossibile, risalire all’informazione originale senza la chiave di hash.
  • La cifratura applica algoritmi per trasformare i dati in una forma leggibile solo da chi possiede la chiave di decifratura.
  • La tokenizzazione, un’altra tecnica popolare, sostituisce i dati sensibili con token non riconducibili direttamente all’informazione originale, ma che possono essere mappati a essa tramite un sistema sicuro di gestione dei token.

Il vantaggio principale della pseudonimizzazione è la sua capacità di mantenere una certa utilità dei dati per analisi e ricerca, proteggendo al contempo l’identità degli individui. Ciò è particolarmente rilevante in contesti come la sanità o le ricerche di mercato, dove i dati devono essere utilizzati per scopi specifici, ma la privacy degli individui deve essere rigorosamente salvaguardata.

La pseudonimizzazione, tuttavia, non è esente da sfide. La principale è garantire che il processo di pseudonimizzazione sia sufficientemente robusto per prevenire la re-identificazione, specialmente in presenza di altri dati che, se combinati, potrebbero rivelare l’identità di un individuo. Pertanto, la scelta delle tecniche e la loro implementazione devono essere attentamente valutate e monitorate per assicurare un adeguato livello di sicurezza dei dati e di conformità alle direttive vigenti.

Approfondimento sull’ Anonimizzazione

L’anonimizzazione è il processo che rende i dati personali completamente irriconoscibili, eliminando ogni possibile collegamento con l’identità di un individuo. A differenza della pseudonimizzazione, l’anonimizzazione è un processo irreversibile: una volta che i dati sono stati anonimizzati, non è più possibile risalire all’identità dell’individuo. 

Tecnicamente, l’anonimizzazione può essere attuata attraverso varie metodologie, ognuna con il suo specifico approccio e livello di efficacia:

  • Rimozione delle Informazioni Identificative: eliminazione di dati direttamente riconducibili all’individuo, come nomi, indirizzi, numeri di telefono o di identità. È il metodo più diretto, ma richiede attenzione per evitare di lasciare dati che potrebbero essere combinati per identificare l’individuo.
  • Distorsione Statistica: modifica leggera dei dati per impedirne l’associazione diretta con un individuo. Utilizzata in analisi statistiche dove la precisione assoluta non è un fattore critico.
  • Randomizzazione: introduzione di un elemento di casualità nei dati. Aiuta a mascherare pattern che potrebbero portare all’identificazione.

L’anonimizzazione è particolarmente importante in settori dove la privacy è di massima importanza, come nella ricerca medica, dove i dati dei pazienti devono essere utilizzati per scopi di studio senza compromettere  in alcun modo la loro identità. Un processo di anonimizzazione efficace garantisce che i dati possano essere utilizzati in modo sicuro e responsabile, riducendo significativamente i rischi di violazioni della privacy e di sicurezza dei dati.

Comparazione e contesti di utilizzo

La scelta tra pseudonimizzazione e anonimizzazione dipende dal contesto specifico e dagli obiettivi di utilizzo dei dati. 

La pseudonimizzazione è preferibile quando si richiede un equilibrio tra privacy e utilità dei dati, situazioni dove i dati devono essere utilizzati per scopi analitici o di ricerca, mantenendo un certo grado di riconducibilità per necessità di verifica o aggiornamento. 

L’anonimizzazione, invece, è la scelta ideale in contesti dove non è necessario o desiderabile mantenere alcun collegamento tra i dati e l’individuo, come nel caso di pubblicazioni di dati per uso pubblico o studi su larga scala che richiedono massima protezione della privacy. 

Questa decisione implica una valutazione attenta dei rischi, delle esigenze e delle normative applicabili.

Pratiche ottimali

Progettare ed implementare efficacemente tecniche di pseudonimizzazione ed anonimizzazione richiede non solo l’adozione delle best practices in continua evoluzione con lo stato dell’arte tecnologico ma anche riflessioni e consapevolezza dei relativi aspetti etici e normativi. 

È essenziale condurre valutazioni del rischio regolari per identificare vulnerabilità potenziali. La scelta delle tecniche appropriate deve basarsi sulla sensibilità dei dati e sul contesto di utilizzo. Inoltre, è fondamentale una revisione continua delle strategie di sicurezza dei dati per rispondere a nuove minacce e sviluppi tecnologici. 

Le organizzazioni devono assicurarsi che il consenso per l’utilizzo dei dati venga rispettato e che i diritti e la privacy degli individui siano costantemente salvaguardati. La trasparenza nelle politiche di gestione dei dati e la responsabilità nei confronti delle parti interessate sono cruciali per costruire un rapporto di fiducia e garantire il rispetto delle norme e dei principi etici.

Applicazioni nel mondo reale

I casi di studio nel campo della sanità offrono esempi concreti e di più facile comprensione dell’importanza della pseudonimizzazione e dell’anonimizzazione. 

Ad esempio, i dati dei pazienti utilizzati nella ricerca clinica vengono spesso pseudonimizzati per proteggere la loro identità, pur consentendo l’analisi dei trattamenti e delle tendenze sanitarie.

In ambito accademico invece, i ricercatori utilizzano dati anonimizzati per studi su larga scala, garantendo che le informazioni personali non possano essere ricollegate agli individui. 

Questa possibilità di approccio dualistico dimostra come la protezione dei dati personali possa essere integrata efficacemente in pratiche importanti per un sostenibile progresso sociale e scientifico, proteggendo la privacy degli individui coinvolti e mantenendo al contempo l’utilità dei dati per scopi legittimi.

Considerazioni finali

In conclusione, consapevoli o no, stiamo tutti vivendo quella che molti definiscono la quarta rivoluzione industriale, caratterizzata da progressi senza precedenti nella gestione e nell’analisi dei dati, un’era in cui tecniche come la pseudonimizzazione e l’anonimizzazione emergono come strumenti indispensabili. 

Queste tecniche non solo aiutano a conformarsi alle normative sulla privacy ma promuovono anche una cultura consapevole verso la sicurezza dei dati, essenziale per costruire la fiducia del pubblico nell’uso responsabile delle informazioni personali. 

La comprensione approfondita e la corretta applicazione di queste strategie sono aspetti indispensabili per qualsiasi organizzazione che gestisce dati personali, per garantire una protezione efficace ed il rispetto dei diritti e dell’etica in merito a principi di riservatezza ed integrità.

Pseudonimizzazione e anonimizzazione: la linea sfocata tra dato personale e non

Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), l’articolo 4, comma 5, definisce la pseudonimizzazione come il trattamento dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. È essenziale notare che queste informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative atte a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Contrariamente a una percezione comune, la pseudonimizzazione non dovrebbe essere considerata unicamente un aspetto tecnologico ma piuttosto una strategia operativa e organizzativa. Difatti, il GDPR, al considerando 29, riconosce la possibilità di misure di pseudonimizzazione con la capacità di analisi generale all’interno dello stesso titolare del trattamento, a patto che siano adottate le misure tecniche e organizzative necessarie e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente.

Fondamenta Concettuali e Giuridiche della Pseudonimizzazione e Anonimizzazione

L’approfondimento concettuale rivela che la pseudonimizzazione non è un concetto isolato, ma piuttosto parte integrante di un complesso orchestrale di misure volte, da un lato alla protezione dei dati del soggetto interessato e, dall’altro, a facilitare la circolazione degli stessi salvaguardando il rispetto degli obblighi di protezione dei dati da parte dei titolari del trattamento.

In questo contesto, discernere tra pseudonimizzazione e anonimizzazione ha una rilevanza cruciale. In breve, mentre la pseudonimizzazione consente la ricostruzione dell’informazione, l’anonimizzazione rende il dato irricostruibile.  Questo principio è chiaramente enunciato nel Considerando 26, che esclude l’applicazione dei principi di protezione dei dati alle informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.

Ma nella pratica come possiamo stabilire se un dato è pseudonimo o anonimo? Anche in questo caso ci viene in aiuto il considerando 26 del GDPR il quale stabilisce che per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. 

La Sentenza T-557-20 del Tribunale Europeo sulla Pseudonimizzazione e Anonimizzazione dei Dati

La recente sentenza emessa dal Tribunale Europeo il 26 aprile 2023, nel contesto del caso T-557-20, rappresenta una pietra miliare significativa nella comprensione giuridica delle pratiche di anonimizzazione e pseudonimizzazione. Allontanandosi dal precedente orientamento del Gruppo Articolo 29 (ora sostituito dall’European Data Protection Board), che postulava un approccio più restrittivo, il Tribunale ha adottato una prospettiva più sfumata e relativista.

La decisione del Tribunale ha sottolineato la necessità di considerare attentamente le circostanze specifiche nel valutare l’identificabilità dei dati. Nel caso in questione, riguardante la trasmissione di osservazioni di azionisti e creditori da parte del Comitato di risoluzione unico (CRU) a terzi, il Tribunale ha respinto l’idea che la possibilità di re-identificazione automaticamente qualifichi i dati come personali. In particolare, il Tribunale ha concluso che, nonostante il CRU avesse accesso a dati aggiuntivi per l’identificazione, le osservazioni e i codici alfanumerici trasmessi dovevano essere qualificati come dati anonimi applicando coerentemente un principio che è quello contenuto nei Considerando 26 del GDPR e Considerando 16 del Regolamento 1725/18 tale per cui  se i dati personali sono stati resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato, non si applicano i principi di protezione dei dati.

Questo cambiamento di rotta rappresenta una deviazione significativa dalle precedenti interpretazioni restrittive, enfatizzando la necessità di valutare attentamente la reale identificabilità dei dati in contesti specifici. La sentenza del Tribunale Europeo ha notevolmente influenzato il panorama legale in merito alle tecniche di anonimizzazione e pseudonimizzazione, sollevando questioni cruciali sull’applicazione pratica di tali concetti nel contesto normativo attuale.

Conclusioni e Ruolo Chiave delle Tecniche di Pseudonimizzazione e Anonimizzazione

In conclusione, la corretta implementazione di tecniche di pseudonimizzazione e anonimizzazione è imperativa per garantire la privacy dell’utente, soprattutto nei settori sensibili come quello sanitario e finanziario. Le tecnologie utilizzate devono rispettare i principi giuridici, e la scelta tra pseudonimizzazione e anonimizzazione dovrebbe essere guidata dalle esigenze specifiche e dalla reversibilità richiesta. La comprensione approfondita di questi concetti e la loro implementazione accurata sono fondamentali per affrontare le sfide legali e normative connesse alla protezione dei dati personali.

In questo contesto la sentenza del Tribunale Europeo non solo fornisce un chiarimento cruciale sulla distinzione tra dati anonimi e pseudonimi, ma solleva anche importanti riflessioni sul futuro delle pratiche di protezione dei dati. La decisione sottolinea l’importanza di adottare un approccio contestuale e circostanziato nella valutazione dell’anonimizzazione e pseudonimizzazione dei dati. Definendo che, per stabilire se le informazioni costituiscano dati personali, sia necessario porsi dal punto di vista del soggetto destinatario, valutando se la possibilità di combinare le informazioni trasmesse con eventuali informazioni aggiuntive in possesso del terzo costituisca un mezzo ragionevolmente attuabile per identificare gli interessati.

Questo nuovo orientamento dei giudici lussemburghesi potrebbe influenzare il modo in cui le organizzazioni implementeranno le misure di protezione dei dati. L’analisi accurata delle circostanze specifiche diventa, dunque, cruciale per determinare se i dati possano essere effettivamente considerati anonimi, anche quando sono associati a codici alfanumerici o altri identificatori.

Il Risarcimento dei Danni per Trattamento Illecito di Dati Personali

La sentenza della Corte di Cassazione, Cass. civ., Sez. I, Ord. 12-05-2023, n. 13073, affronta un caso in cui un Comune è stato condannato a risarcire i danni causati a un’impiegata a seguito di un trattamento illecito dei suoi dati personali. Questa sentenza solleva importanti questioni in merito al risarcimento dei danni derivanti da violazioni delle normative sulla protezione dei dati personali, in particolare il Regolamento (UE) 2016/679, noto come GDPR.

I Fatti del Caso

Nel caso in questione, il Comune aveva accidentalmente pubblicato sul proprio sito istituzionale una determina relativa al pignoramento per un certo importo dello stipendio di una dipendente comunale, violando così le norme di protezione dei dati personali previste dal GDPR. Scoperto l’errore il Comune aveva ammesso che la divulgazione dei dati era avvenuta accidentalmente, attivandosi tempestivamente per rimuovere i suddetti dati in poco più di 24 ore.

Ciononostante, il Tribunale di prima istanza aveva rilevato la responsabilità del Comune, imponendo allo stesso il risarcimento del danno. La Corte d’Appello confermava tale sentenza la quale, a sua volta, veniva impugnata dal Comune di fronte agli Ermellini.

La sentenza della Suprema corte, rigettando le istanza del Comune, sottolinea che il danno non patrimoniale risarcibile in casi di violazione dei dati personali è determinato dalla lesione del diritto fondamentale alla protezione dei dati personali, sancito sia a livello costituzionale che dal GDPR. Ricordando che il GDPR, all’articolo 82, stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione delle disposizioni del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento dei dati o dal responsabile del trattamento.

Il Cambiamento Normativo

Prima dell’entrata in vigore del Regolamento (UE) 2016/679, nel nostro ordinamento, il tema della responsabilità civile derivante dall’illecito trattamento dei dati personali trovava la propria disciplina nell’art. 15 del d.lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali). Questo stabiliva che chiunque causasse danno ad altri a causa del trattamento di dati personali doveva risarcire il danno ai sensi dell’art. 2050 del codice civile. Il danno non patrimoniale era risarcibile anche in caso di violazione dell’articolo 11.

Con l’entrata in vigore del GDPR, la normativa è cambiata, introducendo regole più uniformi per la responsabilità in caso di trattamento illecito dei dati personali. La nuova normativa stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Tuttavia, questi soggetti possono essere esentati dalla responsabilità se dimostrano che l’evento dannoso non è loro “in alcun modo imputabile.”

La Responsabilità del Titolare vs. il Responsabile

La responsabilità del titolare e quella del responsabile discendono da fatti diversi. Il titolare è colui che determina le finalità e i mezzi del trattamento ed è responsabile per il danno cagionato dal suo trattamento che violi il regolamento. Inoltre, secondo la massima degli ermellini “il titolare del trattamento dei  dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non  conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è  attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento  dannoso non gli è in alcun modo imputabile”.

Il responsabile, invece, tratta dati personali per conto del titolare del trattamento e risponde solo se non ha adempiuto gli obblighi del regolamento specificamente diretti ai responsabili del trattamento o ha agito in modo difforme rispetto alle istruzioni del titolare.

La Serietà del Danno

Per quanto riguarda il risarcimento del danno non patrimoniale, derivante da una lesione del diritto fondamentale alla protezione dei dati personali, devono ricorrere i presupposti della gravità della lesione e della serietà del danno. La violazione delle prescrizioni in materia di protezione dei dati personali può ritenersi ingiustificabile, e dunque risarcibile, solo se la stessa ha offeso in maniera sensibile la portata del diritto stesso. Pertanto può non determinare il danno la mera violazione delle  prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione  che concretamente offenda la portata effettiva del diritto alla riservatezza

L’onere della prova per dimostrare il danno non patrimoniale è a carico del danneggiato, mentre il titolare del trattamento deve dimostrare di aver adottato misure adeguate per evitare il danno.

Il Principio di Accountability

L’entrata in vigore del GDPR ha introdotto il principio di accountability, che impone al titolare del trattamento di assumersi la responsabilità di individuare un equilibrio tra interessi contrapposti, con piena autonomia di giudizio. L’accountability richiede al titolare di modulare la concreta attuazione dei principi sanciti dalla normativa, in astratto, e di documentare come ha dato attuazione alle previsioni normative.

In conclusione, il Regolamento (UE) 2016/679 ha ridefinito il quadro normativo in materia di trattamento dei dati personali, introducendo regole più uniformi sulla responsabilità e sull’accountability. Queste normative pongono un’enfasi significativa sulla protezione dei dati personali e sul risarcimento dei danni in caso di violazioni. La sentenza della Corte di Cassazione rafforza l’importanza di tali norme e la necessità per le organizzazioni di rispettarle per evitare controversie legali e risarcimenti dei danni. La protezione dei dati personali è una questione cruciale nella società digitale odierna e richiede l’attenzione e la conformità da parte di tutti gli attori coinvolti.

Il Garante Privacy sanziona il web scraping: il caso del portale Trovanumeri.com

Il Garante Privacy ha recentemente vietato il web scraping e ha sanzionato il portale Trovanumeri.com per aver rastrellato utenze online al fine di creare elenchi. Queste violazioni hanno coinvolto ben 26 milioni di utenti, suscitando grande preoccupazione per la tutela dei dati personali. Preoccupazioni culminate in un provvedimento emesso il 17 maggio scorso dal Garante il quale ha vietato al gestore del sito web la creazione e la diffusione di un elenco telefonico ottenuto tramite web scraping una tecnica che consiste nell’estrazione di dati da uno o più siti web mediante l’uso di programmi software appositi.

IL FATTO

Nel caso specifico, sono state presentate numerose segnalazioni al Garante Privacy riguardo alla pubblicazione non autorizzata di nomi, indirizzi e numeri di telefono, di soggetti senza l’ottenimento del consenso da parte di quest’ultimi. Inoltre, stando a quanto segnalato, in alcuni casi la pubblicazione avrebbe riguardato anche dati personali di soggetti che avevano particolari esigenze di riservatezza circa il numero telefonico e l’indirizzo di abitazione: alcuni segnalanti avevano infatti rappresentato di essere titolari di utenze riservate, cioè non pubblicate nell’elenco telefonico generale.

Infine, diversi soggetti lamentavano che nel sito e nella breve informativa privacy in esso pubblicata non era rinvenibile alcuna indicazione (neanche le informazioni obbligatorie per legge) in merito al soggetto intestatario del sito, rendendo pertanto impossibile l’identificazione del titolare del trattamento.

LE VIOLAZIONI RISCONTRATE

Diffusione di dati personali in assenza di idonea base giuridica e trattamento in violazione di legge

Il trattamento consistente nella realizzazione, di fatto, di un elenco telefonico è stato ritenuto dal Garante in contrasto con la normativa vigente, con la conseguente diffusione di dati personali su Internet in assenza di un’idonea base giuridica. È importante sottolineare che non è legittimo formare un elenco telefonico, sia online che cartaceo, con dati che non siano tratti da fonti autorizzate, come il database degli operatori telefonici. Solo tale fonte può garantire la correttezza e l’aggiornamento dei dati, nonché documentare la volontà degli interessati di renderli pubblici.

Dagli accertamenti condotti è emerso che il sito web trovanumeri.com rendeva disponibile anche la ricerca inversa, senza però consentire agli utenti di esprimere un consenso libero e specifico per tale funzionalità. Il flag del consenso era infatti pre-selezionato e non modificabile, violando così i requisiti previsti dalla normativa vigente.

È inoltre importante sottolineare che il proprietario del sito aveva dichiarato che i dati presenti nei suoi siti web erano stati raccolti tramite l’inserimento autonomo degli utenti o tramite web scraping, ovvero tramite un processo automatizzato di ricerca di dati personali nel web. Tale tecnica, tuttavia, era già stata considerata illecita dal Garante tramite in provvedimento che sanzionava l’illiceità dell’utilizzo di dati raccolti tramite web scraping per finalità incompatibili con quelle iniziali. Pertanto, i dati acquisiti e trattati senza il consenso degli interessati e senza una base giuridica valida rappresentano una violazione delle norme sulla privacy.

Mancato rispetto dei diritti degli interessati, inidoneità dell’informativa e assenza di misure di garanzia

Le segnalazioni ricevute hanno evidenziato non solo la diffusione non autorizzata dei dati, ma anche l’impossibilità per gli interessati di esercitare il diritto alla cancellazione e, potenzialmente, altri diritti legati alla protezione dei dati personali. Nel sito web non erano infatti presenti informazioni sul titolare né risultavano disponibili canali di contatto con lo stesso. 

Inosservanza del divieto di trattamento

Infine, nonostante il divieto disposto dal Garante Privacy, il portale Trovanumeri.com ha continuato a operare e rendere disponibili online numerosi dati personali. Questa inosservanza del divieto è stata ulteriormente contestata come una violazione delle disposizioni dell’autorità di regolamentazione.

CONCLUSIONI E MISURE CORRETTIVE ADOTTATE

Il trattamento dei dati personali da parte di Trovanumeri.com è stato ritenuto illecito e presenta numerosi profili di illegalità. Anche se alcune delle violazioni possono essere corrette, la violazione principale riguardante l’assenza di una base giuridica idonea è sufficiente a inficiare l’intero trattamento. Pertanto, le misure correttive adottate devono affrontare la questione di base e garantire che i dati personali vengano trattati nel rispetto della normativa sulla privacy.

In conclusione, il caso del portale Trovanumeri.com ha evidenziato l’importanza della tutela dei dati personali e le conseguenze negative del web scraping non autorizzato. Il Garante Privacy ha adottato misure sanzionatorie per garantire che i diritti degli utenti siano rispettati e che il trattamento dei dati avvenga nel rispetto della legge. Questo caso rappresenta un richiamo per le aziende e i siti web che trattano dati personali, sottolineando l’importanza della conformità normativa e del rispetto della privacy degli utenti.

Il blocco (e lo sblocco) di ChatGPT in Italia: cause, modifiche e soluzioni adottate.

ChatGPT è un modello di linguaggio sviluppato da OpenAI basato sull’architettura GPT-4. È progettato per comprendere e generare testo in modo simile agli esseri umani, rendendo possibile la creazione di conversazioni fluide e coerenti. Tuttavia, il 30 marzo 2023, l’utilizzo di ChatGPT è stato bloccato in Italia a causa di preoccupazioni riguardanti la privacy degli utenti e la protezione dei dati. In questo articolo, esploreremo le ragioni del blocco, le modifiche richieste dal Garante Privacy ad OpenAI e le soluzioni che sono state implementate per risolvere il problema e tutelare la privacy dei cittadini italiani.

Il blocco di ChatGPT in Italia

Il blocco di ChatGPT in Italia, auto-imposto dalla stessa OpenAI, era stato causato da un provvedimento del Garante che aveva imposto alla piattaforma di limitare temporaneamente il trattamento dei dati degli utenti italiani finché non fosse stata messa in regola con la normativa privacy italiana e europea. Il Garante, con un provvedimento d’urgenza, aveva ritenuto che l’uso di ChatGPT potesse violare le normative sulla privacy, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, che prevede una rigorosa tutela dei dati personali degli individui.

Il motivo del blocco

All’interno del provvedimento del 30 marzo, il Garante per la Protezione dei Dati Personali aveva identificato diversi motivi di preoccupazione riguardo l’uso di ChatGPT nel paese. Tra questi, i principali erano:

  • la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, 
  • l’assenza di una base giuridica che giustificasse la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma;
  • un trattamento di dati personali inesatto dovuto dalla ricorrente inesattezza delle informazioni informazioni fornite da ChatGPT 
  • l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti che esponeva i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Modifiche richieste ad OpenAI

Per affrontare queste preoccupazioni, il Garante ha richiesto a OpenAI di apportare una serie di modifiche e interventi alla piattaforma sulla quale opera ChatGPT al fine garantire una maggiore tutela della privacy degli utenti. Tra le principali modifiche il Garante ha richiesto di:

  1. Predisporre un’informativa sul sito per spiegare il trattamento dei dati e i diritti degli interessati, anche non utenti di ChatGPT.
  2. Fornire uno strumento per esercitare il diritto di opposizione al trattamento dei dati per l’addestramento degli algoritmi.
  3. Consentire la correzione o cancellazione dei dati personali inesatti attraverso uno strumento sul sito.
  4. Inserire un link all’informativa durante la registrazione, visibile prima di completare il processo.
  5. Modificare la base giuridica del trattamento dei dati per l’addestramento degli algoritmi da contratto a consenso o legittimo interesse.
  6. Fornire uno strumento per esercitare il diritto di opposizione al trattamento dei dati per l’addestramento degli algoritmi, se basato sul legittimo interesse.
  7. Implementare un age gate per gli utenti italiani, escludendo minorenni.
  8. Sottoporre al Garante un piano per l’adozione di strumenti di age verification entro il 31 maggio 2023, con implementazione entro il 30 settembre 2023.
  9. Promuovere una campagna informativa entro il 15 maggio 2023, concordata con il Garante, per informare sulla raccolta dei dati e gli strumenti disponibili per la cancellazione dei dati personali.

Modifiche implementate da OpenAI

Per rispondere alle richieste del Garante, OpenAI ha implementato una serie di modifiche a ChatGPT per garantire una maggiore tutela della privacy degli utenti italiani. Tra le principali modifiche adottate, vi sono:

  1. La predisposizione di un’informativa accessibile a utenti e non utenti sia europei che extra-europei riguardante il trattamento dei dati personali per l’addestramento degli algoritmi e il diritto di opporsi a tale trattamento.
  2. L’ampliamento dell’informativa sul trattamento dei dati riservata agli utenti, rendendola accessibile nella maschera di registrazione prima che un utente si registri al servizio.
  3. La facoltà di esercitare il diritto di opporsi al trattamento dei dati personali per l’addestramento degli algoritmi anche a non utenti residenti in Europa, fornendo un modulo compilabile online e facilmente accessibile.
  4. L’introduzione di una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi.
  5. La previsione, per gli interessati di far cancellare le informazioni ritenute errate. A ciò va tuttavia aggiunto che OpenAI si è dichiarata tecnicamente impossibilitata a correggere gli errori.
  6. Esplicitazione, nell’informativa riservata agli utenti, la base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi e il corretto funzionamento del servizio.
  7. L’implementazione di un modulo che consenta a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi.
  8. L’inserimento nella schermata di benvenuto riservata agli utenti italiani già registrati un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori.
  9. L’inserimento nella maschera di registrazione al servizio della richiesta di data di nascita, prevedendo un blocco alla registrazione per gli utenti infratredicenni e la necessità di confermare il consenso dei genitori per gli utenti ultratredicenni ma minorenni.

Gli interventi suesposti sono stati accolti con favore dal Garante che ha spospeso il provvedimento di limitazione del trattamento dei dati personali nei confronti di OpenAI che, contestualmente, ha riaperto la piattaforma agli utenti italiani.