Tantissime novità nell’ultima NL del Garante Privacy del 6 giugno 2024, numero 524 IRCCS, INPS sanzionata per illecita diffusione di dati personali, Wikipedia e ChatGPT. Vediamole nel dettaglio.
Cosa sono gli IRCCS? Il Garante Privacy risponde I chiarimenti dell'Autorità sono rivolti agli IRCCS, ovvero quegli enti del Servizio sanitario nazionale che, «secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell'organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità». Nelle FAQ trovabili al sito https //www.gpdp.it/temi/sanita-e-ricerca-scientifica/irccs è spiegato che gli IRCCS, «per poter utilizzare i dati dei loro pazienti anche per l'attività di ricerca scientifica autorizzata dal Ministero, devono individuare una base giuridica idonea a legittimare tale trattamento e una deroga adeguata al generale divieto di trattare i dati sulla salute e genetici». Pertanto, gli IRCCS pubblici e privati, oltre che sul consenso dei partecipanti alla ricerca, possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca sull'articolo 110-bis, comma 4 del Codice privacy, con l'obbligo, però, di svolgere la Valutazione d'impatto Vip e di pubblicarla sui propri siti web. Viene precisato a riguardo che «se la pubblicazione per intero della Vip può ledere diritti di proprietà intellettuale, segreti commerciali o altro, l'Istituto può pubblicarla per estratto. Una specifica sezione delle Faq è dedicata alle diverse le modalità per informare i partecipanti alla ricerca a seconda che i dati siano raccolti presso di essi ovvero presso banche dati interne all'istituto o altri centri partecipanti». Concorsi della PA sanzionata l'INPS per illecita diffusione di dati personali A seguito di un reclamo presentato da un partecipante al concorso pubblico, a 1858 posti di consulente protezione sociale nei ruoli del personale dell'INPS, il Garante ha specificato che «pubblicare sul web gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy». Inoltre, «i soggetti pubblici, quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge. Non sono infatti consentiti livelli differenziati di tutela della protezione dei dati personali, né su base territoriale né a livello di singola amministrazione, specie quando la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale». Per l'Autorità il GDPR vale anche per Wikipedia Dopo il reclamo di un interessato che non aveva visto soddisfatta la richiesta di cancellazione di un articolo biografico, relativo a una vicenda giudiziaria, da parte di Wikipedia Foundation, il Garante ha specificato a riguardo che «il trattamento di dati personali effettuato da Wikipedia ricade sotto il GDPR e ai contenuti pubblicati si applicano le norme sull'attività giornalistica e la manifestazione del pensiero». Una volta chiarito, quindi, l'ambito di applicazione, l'Autorità ha respinto l'istanza di cancellazione dell'interessato, «perché il trattamento di dati personali per finalità giornalistiche, anche senza consenso, è lecito se rispetta i diritti e la dignità delle persone e il principio dell'essenzialità dell'informazione. Allo stesso modo, è lecita anche la permanenza dell'articolo nell'archivio dell'enciclopedia online gli archivi di siti e giornali, anche cartacei, rivestono infatti una importante funzione ai fini della ricostruzione storica degli eventi». Infine, è stata disposta la deindicizzazione dell'articolo. Parere favorevole del Garante Privacy sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud della PA Cosa prevede lo schema di decreto? Lo schema tiene conto delle indicazioni fornite dal Garante nel corso delle interlocuzioni ed introduce un nuovo articolo dedicato alla corretta applicazione della normativa privacy, «che mira ad assicurare il controllo, da parte delle Pubbliche Amministrazioni, su tutti i soggetti che intervengono nel trattamento dei dati. In particolare, attribuisce alle PA il ruolo di titolari del trattamento, mentre gli operatori di infrastrutture digitali e i fornitori di servizi cloud vengono indicati quali responsabili del trattamento». Inoltre, stabilisce anche l'obbligo per i responsabili del trattamento di adottare misure che garantiscano una tempestiva e adeguata informazione da parte delle amministrazioni in caso di data breach. I responsabili del trattamento dovranno poi fornire alle PA idonei strumenti di controllo delle attività di trattamento effettuate da eventuali sub responsabili. In tema di trasferimenti dei dati al di fuori dello Spazio economico europeo, i responsabili del trattamento «saranno tenuti ad attenersi alle istruzioni delle amministrazioni e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l'effettività delle misure adottate». Quali sono i principi di protezione dei dati personali applicabili a ChatGPT? È la domanda a cui risponde il Report sul lavoro della task force del Comitato europeo EDPB , creata lo scorso anno per promuovere la cooperazione tra le Autorità di protezione dei dati personali che indagano a livello nazionale sul chatbot di OpenAI. Tale Report suggerisce di distinguere le diverse fasi del trattamento raccolta dati per addestramento, compresi web scraping o riutilizzo di set di dati pre-elaborazione, compreso il filtraggio addestramento prompt e output di ChatGPT addestramento di ChatGPT con prompt. Il Comitato europeo suggerisce, inoltre, alcune garanzie che potrebbero rendere lecito il legittimo interesse, come la definizione di criteri di raccolta l'esclusione di determinate categorie di dati e fonti es profili pubblici sui social la cancellazione o l'anonimizzazione dei dati personali prima della fase di addestramento un filtraggio, da applicare sia alla raccolta dei dati, selezionandone ad esempio i criteri, sia immediatamente dopo, eliminandoli. Infine, in base al principio di trasparenza, OpenAI dovrebbe informare gli interessati che il contenuto prodotto dell'utente, vale a dire l'input fornito al sistema, viene usato per addestrare il chatbot.