Garante - Discorso Presidente 2016

Ciascuno di noi e' conosciuto quasi esclusivamente attraverso i dati che lo riguardano, detenuti in banche dati, pubbliche e private, nelle quali l’identita' e' frammentata in ragione della particolare tipologia di sistema informativo in cui e' inserita.

Di qui l’importanza di garantire l’esattezza, l’aggiornamento, la pertinenza dei dati trattati in modo da scongiurare il rischio di classificazioni errate e distorsioni di tratti importanti dell’identita' individuale, sfuggendo alla tentazione di delegare tutto alla tecnologia.

In ogni caso e' necessaria un’adeguata trasparenza sul funzionamento dei meccanismi di decisione automatizzata.

Sui limiti intrinseci che presentano tali decisioni e' basato il provvedimento con cui abbiamo dichiarato illegittima l’ipotizzata costituzione di una banca dati per la misurazione del “rating reputazionale”.

In quel caso una questione complessa come la reputazione, sotto il profilo professionale ed economico, sarebbe stata ridotta a mero calcolo svolto da un software, in base a dati reperiti in rete o caricati dagli stessi interessati dietro la pressione delle conseguenze negative altrimenti preconizzate.

Al di la' del fatto che affidare ad un algoritmo la “recensione” di una persona al pari di un prodotto commerciale, aprirebbe una deriva davvero pericolosa, tale sistema avrebbe presentato un rischio elevato di attribuire agli interessati profili deformati della loro reale identita', con danni irreparabili per la dignita' e la vita sociale e lavorativa degli stessi.

In questi anni la sottrazione di dati personali nel web, a scopo di frode, ha registrato una crescita smisurata: spesso per realizzare, attraverso il furto di identita', ulteriori crimini.

E' il caso di un’importante operazione di riciclaggio nel settore del money transfer, rispetto alla quale abbiamo irrogato una sanzione di 11 milioni di euro.

Anche quest’anno l’Autorita' ha profuso un grande impegno in relazione al governo delle banche dati pubbliche e private, in ragione dell’importanza che assumono la sicurezza e la qualita' dei dati per evitare inefficienze e procedure decisionali viziate, pregiudizievoli per l’affidabilita' di enti pubblici e privati e per la stessa funzionalita' della pubblica amministrazione e del mercato.

Significativo il provvedimento con cui, al termine di una complessa attivita' ispettiva, si sono accertate gravi criticita', da parte di un grande operatore telefonico, nell’integrita' e qualita' delle proprie banche dati (perfino quella sul traffico telefonico a disposizione dell’autorita' giudiziaria), che hanno determinato l’assegnazione indebita di utenze a un numero consistente di clienti ignari.

Deve essere inoltre segnalata la condotta omissiva tenuta dalla Societa', durante un assai ampio arco temporale, anche successivo alla segnalazione.

Con riserva dei successivi provvedimenti sanzionatori, abbiamo prescritto una ricognizione generale dei sistemi, insieme a verifiche puntuali e misure organizzative volte a consentire controlli preventivi e correzioni tempestive delle anomalie riscontrate.

In un caso recente, relativo ad altro operatore, un attacco informatico effettuato sfruttando una vulnerabilita' dei sistemi, ha consentito l’accesso, con successiva copia, alle credenziali di autenticazione di oltre 5.000 clienti, utilizzate per accedere all’area riservata delle proprie utenze.

La sola acquisizione delle credenziali di accesso, infatti, e' da considerare, gia' di per se', fonte di potenziale pregiudizio per gli interessati, con particolare riferimento al rischio di furto d’identita', indipendentemente dal fatto che vi sia un loro effettivo utilizzo nel medesimo contesto, giacche' spesso gli utenti adoperano le stesse credenziali per accedere a diversi servizi web.

Per quanto concerne le grandi banche dati pubbliche, all’esito di verifiche ispettive e di accertate vulnerabilita', abbiamo prescritto all’Agenzia delle Entrate un incremento dei livelli di sicurezza rispetto all’Anagrafe tributaria.

Ci siamo anche adoperati per garantire, rispetto alla dichiarazione dei redditi precompilata, maggiore sicurezza nell’accesso degli intermediari e nella trasmissione delle informazioni all'Agenzia delle Entrate, assicurando la non eccedenza dei dati raccolti e definendo i tempi di conservazione.

Riguardo alla riscossione del canone Rai abbiamo richiesto l’utilizzo di dati esatti, e non solamente presuntivi, per identificare i soggetti ai quali puo' essere addebitato in bolletta e individuato modalita' semplici per informare gli utenti.

E’ in corso la verifica dell’attuazione dello SPID, per valutare l’idoneita' delle procedure di attribuzione dell’identita' digitale e dei livelli di sicurezza per l’accesso ai servizi offerti online.

Un’attenzione particolare e' stata rivolta anche alle banche dati nel settore della sanita', il cui valore anche economico e' enorme, come tra l’altro dimostrano gli investimenti stimati dalla creazione a Milano di un centro di ricerca europeo, rispetto al quale l’Autorita' vigilera' per contemperare liberta' della ricerca scientifica e tutela dei diritti dei pazienti.

Sempre nel settore sanitario, il Garante ha profuso uno straordinario impegno partecipando attivamente al tavolo di lavoro sul Fascicolo sanitario elettronico, fornendo tutte le indicazioni necessarie a consentire la piena attuazione di questa importante innovazione a beneficio dei cittadini.