Con la Newsletter n. 511 del 10 ottobre 2023, il Garante Privacy ha comunicato le ultime decisioni prese. Nello specifico, l’Autorità ha varato un decalogo per la realizzazione di servizi sanitari a livello nazionale tramite sistemi di intelligenza artificiale, ha affrontato la tematica del diritto del lavoratore di accedere ai dati sulla geolocalizzazione e infine ha sanzionato una società per attivazione illecita di schede telefoniche.
Sanità il decalogo sull’uso dell’intelligenza artificiale Trasparenza dei processi decisionali, scelte automatizzate supervisionate dall’uomo, non discriminazione algoritmica questi i tre principi cardine enucleati dall’Autorità sulla base del Regolamento e alla luce della giurisprudenza del Consiglio di Stato. Il paziente deve avere il diritto di conoscere quali sono, laddove esistano, i processi decisionali basati su trattamenti automatizzati effettuati attraverso strumenti di IA e di ricevere informazioni chiare sulla logica utilizzata per arrivare alle stesse. Il processo decisionale dovrà prevedere una supervisione umana tale da permettere ai sanitari di convalidare o smentire l’elaborazione effettuata dall’intelligenza artificiale. È opportuno avverte il Garante che il titolare del trattamento utilizzi sistemi di IA affidabili che riducano gli errori dovuti a cause tecnologiche o umane e ne verifichi periodicamente l’efficacia, mettendo in atto misure tecniche e organizzative adeguate . Particolare attenzione è stata posta dal Garante all’idoneità della base giuridica per l’uso dell’intelligenza artificiale. Il trattamento di dati sulla salute attraverso tecniche di IA, effettuato per motivi di interesse pubblico in ambito sanitario, dovrà essere previsto da uno specifico quadro normativo, che individui misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati. Nel rispetto del quadro normativo di settore, il Garante ha inoltre sottolineato la necessità che, prima di effettuare trattamenti di dati sulla salute mediante sistemi nazionali di IA , sia svolta una valutazione d’impatto per individuare misure idonee a tutelare i diritti e le libertà dei pazienti e garantire il rispetto dei principi del Regolamento Ue . Un sistema centralizzato nazionale che utilizzi l’IA determina infatti un trattamento sistematico su larga scala di dati sanitari che rientra tra quelli ad alto rischio”, per i quali la valutazione d’impatto è obbligatoria e deve essere svolta a livello centrale per consentire un esame complessivo sull’adeguatezza e omogeneità degli accorgimenti adottati. Il Decalogo è disponibile sul sito www.gpdp.it. Lavoro il diritto del dipendente di accedere ai dati sulla geolocalizzazione Una sanzione di 20mila euro è stata comminata dal Garante Privacy a una società incaricata della lettura dei contatori di gas, luce e acqua, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti, i quali, nell’intento di verificare la correttezza della propria busta paga, avevano chiesto alla ditta di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, oltre alla procedura per stabilire il compenso dovuto. Avevano chiesto di sapere i dati raccolti attraverso lo smartphone fornito dalla società sul quale era stato istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per raggiungere i contatori. Non avendo ricevuto dall’allora datore di lavoro una risposta soddisfacente si erano rivolti al Garante Privacy con un reclamo. Nel corso dell’istruttoria l’Autorità ha accertato che la società titolare del trattamento non aveva fornito un riscontro idoneo alle richieste dei lavoratori, tra l’altro non aveva loro comunicato i dati trattati attraverso il GPS . La società si era limitata a indicare le modalità e gli scopi per i quali venivano trattati. Una condotta risultata illecita in base ai principi della normativa sulla privacy. Dalla rilevazione del GPS come ha sottolineato il Garante Privacy deriva indirettamente la geolocalizzazione dei dipendenti e, di conseguenza, un trattamento di dati personali, quantomeno nel momento della lettura dei contatori . Sim card intestate a utente ignaro società multata per 90mila euro Un utente riceveva due e-mail e un sms di notifica da parte di una compagnia telefonica e scopriva che un rivenditore aveva attivato a sua insaputa due sim card ricaricabili a lui intestate. Dopo aver denunciato l’accaduto all’autorità giudiziaria, ha segnalato il fatto al Garante Privacy che ha sanzionato la società della rete di vendita della compagnia telefonica , cui fa capo il rivenditore, con una multa di 90mila euro per trattamento illecito di dati personali. L’interessato, svolgendo delle verifiche, ricostruiva che le schede erano state attivate utilizzando una fotocopia poco leggibile della sua carta di identità aveva poi scoperto che per gli addebiti delle due utenze era stato inserito un Iban inesistente riconducibile ad una banca vicina alla propria abitazione. Nel corso dell’attività istruttoria l’Autorità ha rilevato diverse violazioni, a partire dalla mancata identificazione del cliente tramite un documento di identità in originale da parte del rivenditore.