Nella newsletter del II trimestre 2021 Motif fornisce un aggiornamento su tutte le novità in tema di tutela dei dati personali

LEGGE DI RATIFICA DELLA CONVENZIONE DI STRASBURGO

Il 10 maggio, con la legge 22 aprile 2021 n. 60, l’Italia ha dato "Ratifica ed esecuzione del Protocollo di emendamento alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018" (cd. Convenzione 108). La Convezione disciplina, tra l’altro, la protezione delle persone rispetto al trattamento automatizzato dei dati personali. Lo strumento normativo è giuridicamente vincolante ed aperto anche a Stati non membri del Consiglio d'Europa. Nel Protocollo di modifica viene definito in maniera più specifica il principio di liceità del trattamento (con particolare riferimento ai requisiti relativi al consenso) e viene ulteriormente rafforzata la protezione delle categorie speciali di dati (che vengono al contempo estese a quelle riconosciute come categorie particolari di dati personali nel diritto dell’Unione).

La Convenzione aggiornata prevede, inoltre, ulteriori garanzie per le persone fisiche alle quali si riferiscono i dati personali trattati (in particolare, l’obbligo di valutare il probabile impatto di un’operazione di trattamento dei dati che si intende effettuare, l’obbligo di adottare le opportune misure tecniche e organizzative e l’obbligo di segnalare gravi violazioni dei dati) e consente di rafforzare i loro diritti (in particolare, trasparenza e accesso ai dati). Sono stati introdotti, poi, nuovi diritti degli interessati: non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato che arrechi un pregiudizio significativo alle persone; opporsi al trattamento e disporre di un ricorso in caso di violazione dei diritti della persona. La Convenzione aggiornata prevede la designazione di una o più Autorità indipendenti incaricate di garantire il rispetto delle disposizioni, con poteri supplementari, come ad esempio quello di emanare decisioni riguardo a violazioni della stessa e di imporre sanzioni amministrative.

REGOLAMENTO SUL PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA IN VIGORE DALL'8 MAGGIO

Il 23 aprile è stato pubblicato in Gazzetta Ufficiale il D.P.R. 5 febbraio 2021 n. 54 cioè il secondo Decreto attuativo del Perimetro di Sicurezza Nazionale Cibernetica che disciplina la procedura di valutazione sugli acquisti ICT e i poteri di verifica e ispezione delle Autorità competenti. Il nuovo Decreto, detto anche “Regolamento”, definisce:

1. le procedure, le modalità e i termini da seguire ai fini delle valutazioni da parte del Centro di Valutazione e Certificazione nazionale (CVCN) e dei Centri di valutazione del Ministero dell'interno e del Ministero della difesa (CV), ciascuno nell'ambito delle rispettive competenze, in ordine all'acquisizione, da parte dei soggetti inclusi nel perimetro, dei beni, sistemi e servizi ICT rientranti nelle categorie previste dal Regolamento medesimo;
2. i criteri di natura tecnica per l'individuazione delle categorie di beni, servizi ICT oggetto di fornitura cui si applica la procedura di valutazione di cui al punto precedente;
3. le procedure, le modalità e i termini con cui le Autorità competenti effettuano le attività di verifica e ispezione ai fini dell'accertamento del rispetto degli obblighi stabiliti dal D.L. n. 105/2019 e nei successivi decreti attuativi. Il Regolamento entrerà in vigore l’8 maggio.

RISOLUZIONE PER MODIFICARE LE DECISIONI DI ADEGUATEZZA DEL REGNO UNITO

In una Risoluzione approvata il 2 maggio, i deputati del Parlamento Europeo hanno chiesto alla Commissione di modificare i suoi progetti di decisione sull'adeguatezza o meno della protezione dei dati del Regno Unito e sul trasferimento sicuro dei dati, alla luce delle ultime sentenze dei Tribunali dell'UE e la risposta alle preoccupazioni sollevate dal Comitato Europeo per la Protezione dei Dati (EDPB).

INTELLIGENZA ARTIFICIALE: ECCO LA PROPOSTA EUROPEA

Il 21 aprile la Commissione europea ha adottato la proposta di Regolamento sull’Intelligenza Artificiale (IA) proponendo nuove misure in base a quattro diversi livelli di rischio (4 pilastri).

Il primo pilastro è il “trust” che affronta i rischi per le società e le persone associati a specifici utilizzi dell’IA.

Il secondo è rappresentato dagli usi dell’IA con rischi limitati, come la chatbot di un sito web.

Il terzo è rivolto ad applicazioni ad “alto rischio”, cioè a sistemi che interferiscono con aspetti importanti delle nostre vite, ad esempio la selezione dei curricula dei candidati per un posto di lavoro o la richiesta di un prestito o un mutuo ad una banca. I sistemi AI ad “alto rischio” saranno soggetti a un nuovo set di cinque regole e sarà compito dei singoli Stati membri verificare la conformità dei sistemi ai relativi obblighi.

Il quarto pilastro è rivolto ai sistemi AI che usano tecniche subliminali che potrebbero arrecare un danno fisico o psicologico alle persone, ad esempio, l’assistente vocale di un giocattolo che manipola la mente di un bambino e lo induce a un comportamento pericoloso. Queste applicazioni sono da considerarsi inaccettabili, così come lo sono quelle contrarie ai valori fondamentali dell’Europa, come i sistemi di social scoring che classificano le persone in base al comportamento sociale o come l’identificazione biometrica. La Commissione ritiene accettabile, ma soggetta a stringenti requisiti, la biometria per i controlli alle dogane o per la firma tramite riconoscimento facciale. È invece inaccettabile e vietata la sorveglianza di massa da parte delle forze dell’ordine nei luoghi pubblici.