Data protection, rischi crescenti. “Bisogna rafforzare il Garante Privacy”
Agostino Ghiglia accende i riflettori sui dossier in forte aumento sul tavolo dell’Autorità: “Servono fra le 100 e le 150 risorse aggiuntive, confidiamo nel Governo”. Allo studio un’indagine conoscitiva a 360 gradi su chatbot e intelligenze artificiali. Riflettori sui Dpo: “Un decimo dei Comuni inadempiente a 5 anni dal Gdpr, è inaccettabile”
Intervista a Agostino Ghiglia, Componente del Garante per la protezione dei dati personali
(di Mila Fiordalisi, Corcom.it, 1 giugno maggio 2023)

Avviare un’indagine conoscitiva a 360 grandi per mappare software di intelligenza artificiale relazionale, i cosiddetti chatbot e non solo. Questa la missione a cui punta il Garante Privacy, ma per accelerare i tempi sarà necessario portare a bordo università e centri di ricerca. È quanto evidenzia a CorCom Agostino Ghiglia, membro dell’Autorità.

“Gli app store sono pieni di software di questo tipo, ce ne sono a decine e il Garante non ha gli strumenti per andare a indagarle tutte e soprattutto in tempi rapidi. Sarebbe imporrante l’aiuto di università e centri di ricerca. Abbiamo intanto deciso di intervenire sui due casi più eclatanti e pericolosi: in primis Replika che di fatto è bloccata da febbraio e poi Chatgpt: con OpenAi il dialogo è aperto, implementeranno man mano le iniziative volte a informare gli utenti sull’uso dei dati e si procederà con il sistema di verifica anagrafica”.

A proposito di ChatGpt, il Garante italiano dopo le critiche iniziali è diventato un modello di riferimento a livello europeo e persino mondiale. Ma la domanda è: sarà davvero possibile arginare i rischi in termini di privacy? Le intelligenze artificiali potrebbero sfuggire al radar vista la natura “mutante” delle piattaforme? Come fare a stare dietro a un fenomeno del genere in termini regolatori?

Molti di coloro che ci avevano criticato nella fase iniziale sono tornati sui loro passi. E a dimostrazione della bontà della nostra azionel’Edpb, il Comitato che riunisce le Autorità garanti dell’Unione, ha avviato persino una task force dedicata, e si sono mossi nella nostra stessa direzione Canada e Giappone. La questione è che ci sono delle norme e vanno rispettate: il nostro compito è farle applicare. Chi teme un freno all’innovazione deve inoltre ricordarsi che dietro questi fenomeni ci sono società per azioni, che hanno come obiettivo quello di fare business. E poi è bene ricordare che sono state le stesse società protagoniste, a partire da OpenAi, a sottoscrivere appelli per arrivare a una regolamentazione. Loro conoscono meglio degli altri la situazione e, tanto per cominciare, sarebbe auspicabile un’autoregolamentazione. Prima che si arrivi a un regolamento europeo – e l’Europa sarebbe apripista mondiale – ci vorranno almeno due tre anni. E sarà troppo tardi per arginare la situazione, quindi auspichiamo che i principali player del settore per primi arrivino a una quadra e presentino una proposta congiunta.

Il Gdpr ha compiuto 5 anni: qual è il bilancio per l’Italia?

Il Gdpr sta prendendo sempre più piede e sempre più persone comprendono l’importanza dei dati personali. La cosa che non è cambiata sono i numeri delle nostre risorse umane. Negli ultimi 3 anni c’è stato un aumento dei carichi di lavoro per il Garante del 352% e necessitiamo almeno di 100-150 persone in più per allinearci alle Autorità europee. Confidiamo nel Governo affinché affronti la questione. Intelligenza artificiale, revenge porn, cybersecurity, videosorveglianza, data breach, cyberbullismo, neurodiritti: ci occupiamo di una quantità di tematiche crescenti e trasversali oltre a dare pareri al Governo su tutti i provvedimenti e le nuove norme che impattano sulla protezione dei dati.

Alcuni report segnalano il proliferare di Dpo “improvvisati” e senza adeguate competenze, cosa ne pensa?

Purtroppo è una realtà anche in ragione del fatto che è una professione non regolamentata. D’altra parte, la proposta di istituire un Ordine non ha avuto finora successo. L’assenza di un codice etico comportamentale o di limitazioni all’accesso alla professione per esperti accreditati, aumenta il rischio di avere, nel settore pubblico come in quello privato, persone impreparate. Ciò che è però inaccettabile è il fatto che molti Comuni non abbiano ancora nominato il Dpo: circa un decimo dei comuni italiani sono ancora inadempienti dopo 5 anni. È quindi il settore pubblico il primo a dover fare il suo dovere. Per quanto riguarda il settore privato, molte aziende non vogliono caricarsi di extra costi per affidarsi a figure esperte esterne all’azienda. È opportuno invece non risparmiare sul Dpo e mettere in secondo piano il dato economico: la figura del Dpo è nodale all’interno di un’organizzazione che voglia porsi in regola con le norme nazionali ed europee.

Il telemarketing selvaggio: lo scenario sta peggiorando, siamo passati dalle chiamate “anonime” a sistemi che generano numeri di cellulare sempre diversi per “bombardare” le utenze. Emblematico il caso Amazon trading: possibile che non si riescano a stanare gli autori della truffa e che non si trovi un sistema per mettere fine al fenomeno?

Come Garante non abbiamo alcun tipo di ruolo nella gestione del Registro pubblico delle opposizioni, ma possiamo vigilare e sanzionare. In 3 anni abbiamo comminato oltre 110 milioni di euro di sanzioni nei confronti di operatori di varie società. Di recente è stato elaborato dai maggiori attori e approvato dal Garante il Codice di condotta, che prevede l’obbligo di rispettare tutta una serie di regole: ad esempio, la trasparenza sull’intera filiera dei call center. Entrerà in vigore a breve, non appena le associazioni che hanno elaborato il Codice nomineranno l’organismo di controllo e consentirà di “ripulire” il mercato dalle troppe distorsioni. Teniamo presente però che in Italia esistono 100 milioni di utenze telefoniche e solo 6 milioni sono quelle iscritte al Registro delle opposizioni. È necessaria dunque maggiore consapevolezza anche da parte dei cittadini: troppo spesso si cede il consenso all’uso dei propri dati personali senza pensare e dietro questa accettazione c’è la vendita dei nostri dati personali a terzi, che poi magari sono gli stessi soggetti che ci bombardano con chiamate indesiderate. A questo occorre aggiungere che si sta sempre più diffondendo il fenomeno dello “spoofing”, la creazione di numeri fasulli automatici.  Per questo grave fenomeno occorre necessariamente una legge che consenta il blocco di tutti i numeri di cui non ricontattabile il chiamante.