Dal 10 al 12 maggio 2023, a Budapest, si è tenuta la Spring Session della European Conference of Data Protection Authorities, la Conferenza di primavera dei Garanti UE.

Si è trattato di un appuntamento aperto al pubblico, che ha avuto come tema principale il ruolo del Data Protection Officer (DPO), i suoi compiti all’interno delle organizzazioni, e il rapporto con le Autorità garanti della privacy.

Il ruolo del DPO

Durante gli incontri sono state affrontate varie tematiche, come l’impatto sociale delle nuove tecnologie e l’interazione tra protezione dei dati e diritto alla concorrenza. 

In particolare, le Autorità hanno discusso dell’implementazione del Regolamento Generale sulla Protezione dei Dati (GDPR) e del nuovo Coordinated Enforcement Framework 2023, che mira a consolidare la cooperazione tra le Autorità regolamentari a livello europeo.

Il focus della conferenza è in linea con la strategia del Comitato Europeo per la Protezione Dati (EDPB), che ha riconosciuto il ruolo cruciale dei DPO per garantire il rispetto delle normative sulla protezione dei dati.

L’obiettivo è quello di fornire ai Data Protection Officer le competenze necessarie per gestire le sfide in continua evoluzione delle tecnologie digitali e proteggere le informazioni personali degli utenti.

Le proposte per la tutela internazionale della privacy dei minori online

Nell’ambito della conferenza, l’11 maggio il Garante italiano della privacy ha organizzato nella sede dell’Istituto Italiano di Cultura di Budapest il workshop “Persone vulnerabili: strumenti di tutela online. I minori e la verifica dell’età”.

Sul sito del Garante sono disponibili gli interventi al seminario di Paquale Stanzione, Ginevra Cerrina Feroni e Agostino Ghiglia.

In particolare, il Presidente dell’Autorità ha ricordato come sia necessario avviare una vera e propria pedagogia digitale, tale da rendere i ragazzi consapevoli dei rischi cui li espone la rete.

La Vice Presidente Ginevra Cerrina Feroni, ha posto invece l’attenzione sul tema dei minori nel diritto internazionale, e su un’analisi delle forme di tutela degli interessi dei più giovani nelle costituzioni nazionali europee. 

Quanto all’accesso al digitale, il componente del Collegio, Agostino Ghiglia, ha ricordato il grande impegno del Garante italiano nel rafforzare la protezione dei minori attraverso la richiesta di adottare misure e sistemi avanzati di age verification, o ricorrendo a enti terzi affidabili.

Secondo il Segretario generale del Garante, Fabio Mattei, altre forme di tutela potrebbero derivare dal confronto tra le organizzazioni di ricerca sull’Intelligenza Artificiale e le Autorità di protezione dei dati, per una governance sostenibile delle nuove tecnologie.

Il componente del Garante Guido Scorza ha infine suggerito di affiancare alla cooperazione extraeuropea, basata su norme e regole, un maggiore impegno nella creazione di occasioni per la condivisione di idee, esperienze e buone pratiche.

Il provvedimento contro ChatGPT: un altro esempio di cooperazione internazionale

Che l’unione fa la forza si sa. È una best practice universalmente valida e applicabile a ogni ambito. 

Quella tra Garanti europei per la tutela dei minori online è un’unione particolarmente utile, dal momento che può determinare l’applicazione di normative in grado di incidere sull’ordinamento giuridico dei vari Paesi. 

Lo scorso 30 marzo il Garante italiano per la protezione dei dati personali ha disposto una limitazione provvisoria del trattamento dei dati degli utenti del nostro Paese da parte di OpenAI, società statunitense che ha sviluppato ChatGPT.

Tra le ragioni del provvedimento, la totale inesistenza di qualsiasi tipo di meccanismo di verifica dell’età degli utenti, cosa che espone i minori di 13 anni (considerati generalmente ancora troppo immaturi per accedere alla maggior parte dei servizi online) a risposte e interazioni del tutto inadeguate al loro grado di sviluppo.

Successivamente all’azione del nostro Garante, secondo quanto riportato da Reuters il 3 aprile, le Autorità di Francia e Irlanda hanno contattato quella italiana per comprendere meglio le ragioni della decisione (esposte in modo molto sintetico nel provvedimento del 30 marzo), e valutare l’adozione di misure simili anche per gli interessati che si trovano nei loro Paesi.

Sulla stessa testata, l’11 aprile è stata pubblicata la risposta della CNIL (Commissione Nazionale per l’Informatica e la Libertà) che, interrogata sull’argomento, ha affermato di aver ricevuto varie denunce su ChatGPT e di avere dato il via ad apposite indagini.

Il Commissario federale tedesco per la protezione dei dati e la libertà di informazione ha riferito che anche in Germania ChatGPT potrebbe essere bloccata a causa di preoccupazioni sulla sicurezza dei dati.

Anche l’Autorità spagnola ha affermato di non escludere future attività istruttorie sul popolare chatbot, e ha chiesto all’EDPB di valutare le preoccupazioni relative alla tutela dei dati personali sollevate dal prodotto di OpenAI.

L’importanza di una task force europea per risolvere il caso TikTok

Il 22 gennaio 2021 la nostra Autorità per la privacy aveva avviato un provvedimento nei confronti di TikTok per l’interruzione del trattamento dei dati per gli utenti dei quali il social non poteva accertare l’età.

A dire il vero, le preoccupazioni del Garante verso TikTok si sono palesate attraverso più interventi e a seguito di diverse circostanze.

L’Autorità aveva inoltre chiesto al Comitato Europeo per la Protezione Dati (EDPB), che riunisce tutte le Autorità privacy dell’Unione, di attivare una specifica task force.

Nella lettera inviata al Comitato, l’allora Presidente del Garante, Antonello Soro, aveva sottolineato come fossero già pervenute all’Autorità italiana alcune segnalazioni in merito alle possibili vulnerabilità dell’app, e come anche altre Autorità, come l’ICO inglese e l’FTC americana, avessero già provveduto ad avviare indagini autonome.

Il Garante italiano aveva dunque segnalato agli altri partner europei la necessità di procedere in maniera forte e coordinata, anche in considerazione della delicatezza e della rilevanza di questo tipo di piattaforme, rivolte soprattutto alle fasce di utenti più giovani.

Il Presidente Soro, in definitiva, aveva chiesto che la questione venisse posta all’attenzione dello European Data Protection Board (EDPB), il comitato che riunisce tutti i Garanti privacy europei.

In un quadro così complesso, le Autorità nazionali avranno il gravoso compito di adottare in breve tempo le misure necessarie per garantire che i minori possano utilizzare internet in modo sicuro e responsabile.