ANA, PA, Bankitalia, responsabilità civile e AI Act: ecco la NL del Garante Privacy

Anagrafe nazionale degli assistiti, linee guida AgID sui siti web della PA, il nuovo regolamento Bankitalia sull’analisi degli esposti, normativa sulla responsabilità civile e AI Act questi i temi trattati dal Garante Privacy, nella Newsletter del 14 marzo 2022, numero 487.

L'ok del Garante Privacy all'ANA. Il Garante per la protezione dei dati personali ha dato via libera al Ministero della Salute sullo schema di decreto del Presidente del Consiglio dei Ministri che disciplina l'Anagrafe nazionale degli assistiti ANA , agevolando, così, il sistema di monitoraggio della spesa sanitaria, accelerando il processo di automazione amministrativa e migliorando i servizi per i cittadini e le PA. La nuova banca dati, realizzata dal Ministero della salute in accordo col MEF, assicura alle singole ASL la disponibilità delle informazioni esatte e aggiornate sugli assistiti per lo svolgimento delle funzioni di propria competenza. Tra le novità introdotte dal decreto l'ANA subentra alle anagrafi e agli elenchi degli assistiti tenuti dalle singole Aziende sanitarie locali, che mantengono la titolarità dei dati di propria competenza e ne assicurano l'aggiornamento le ASL cessano di fornire ai cittadini il libretto sanitario personale e, in caso di trasferimento di residenza, l'ANA ne dà immediata comunicazione telematica alle aziende sanitarie locali interessate. In questo modo l'ASL della nuova residenza prende in carico il cittadino, e aggiorna i dati di propria competenza nell'ANA, senza che l'interessato debba fornire ulteriori comunicazioni alle Aziende sanitarie coinvolte.   Lo schema di d.P.C.M. definisce anche i contenuti dell'Anagrafe nazionale degli assistiti, tra i quali devono essere inclusi le scelte del medico di medicina generale e del pediatra di libera scelta e il codice esenzione e il domicilio e stabilisce, inoltre, il piano per il graduale subentro dell'ANA alle anagrafi e agli elenchi degli assistiti tenuti dalle singole ASL e le garanzie e le misure di sicurezza. Gli interessati potranno accedere in rete ai propri dati personali contenuti nell'ANA, ovvero richiederne copia cartacea presso l'ASL competente. Il sì del Garante alle Linee guida AgID sui siti web della PA. Il Garante Privacy ha dato il via libera anche alle modalità per la realizzazione e la modifica dei siti delle PA, proposte dall'Agenzia per l'Italia Digitale AgID e contenute nelle nuove “linee guida di design per i siti internet e i servizi digitali della PA”. In questo modo, si offrono, ai titolari del trattamento, indicazioni utili al fine di assicurare la protezione dei dati personali trattati dalle PA nell'ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default. L'Autorità ha, però, indicato la necessità di indicare l'effettuazione della valutazione d'impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell'Autorità. Inoltre, le suddette informazioni dovranno essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d'informazioni destinate ai minori. Per ciò che riguarda i cookie, lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia e PA dovranno valutare attentamente l'effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite. Nei rapporti con i fornitori di servizi di hosting o cloud computing, si dovranno rispettare le regole per il trasferimento dei dati personali in tali Paesi. Un altro sì del Garante al nuovo regolamento Bankitalia sull'analisi degli esposti. Altro parere favorevole del Garante Privacy alla bozza di regolamento della Banca d'Italia per l'analisi degli esposti presentati da chi intende denunciare comportamenti scorretti e irregolari da parte delle banche e delle finanziarie. Tale regolamento tiene conto della volontà della Banca d'Italia di adottare un sistema di analisi avanzata, tramite tecniche di machine learning e altri strumenti di intelligenza artificiale, al fine di far emergere eventuali fenomeni di interesse per l'attività di vigilanza, come comportamenti scorretti e frequenti nell'offerta di prodotti bancari e finanziari. L'analisi degli esposti sviluppate con sistemi AI verrà effettuata mediante l'aggregazione in cluster gruppi simili delle informazioni. Dai risultati non potranno derivare conseguenze sanzionatorie o decisioni automatiche su persone fisiche. Nel regolamento, infatti, è specificato che tutte le decisioni continueranno ad essere adottate direttamente dal personale dell'Autorità bancaria, all'interno della procedura ordinaria di gestione dei singoli esposti. Saranno adottate anche apposite misure di sicurezza, consentendo l'accesso alle informazioni ai soli dipendenti autorizzati. È previsto infine il periodico monitoraggio e l'aggiornamento degli algoritmi di machine learning, sotto il controllo di tecnici esperti, al fine di assicurare alle persone interessate il rispetto dei loro diritti ed evitare qualsiasi conseguenza negativa derivante da analisi automatizzate. Normativa sulla responsabilità civile e AI Act. Il Comitato europeo per la protezione dei dati personali EDPB ha inviato alla Commissione Europea una lettera nella quale ha rivolto alcune raccomandazioni riguardo all'Artificial Intelligence Act AI Act proposto recentemente dalla Commissione Ue. I Garanti europei hanno accolto con favore l'iniziativa, ma hanno sottolineato la necessità di chiarire i ruoli dei produttori e fornitori di sistemi di intelligenza artificiale utilizzati per incrementare la sicurezza dei dati personali, così da consentire una corretta attribuzione di responsabilità sia in termini di protezione dei dati sia in termini di responsabilità civile. Vi è, inoltre, l'opportunità di assicurare agli utenti la trasparenza riguardo all'impiego di sistemi di AI attraverso idonee informazioni sui meccanismi di elaborazione dei dati. Questi sistemi dovranno essere progettati in modo conforme ai principi di protezione dati. In terzo luogo, è essenziale per il Comitato europeo per la protezione dei dati personali la valutazione preliminare della qualità dei dati utilizzati dagli algoritmi. L'EDPB sottolinea, infine, che la nuova normativa sulla responsabilità civile dovrà essere efficace come legislazione a sé stante e non ricalcare semplicemente gli obblighi previsti dal futuro AI Act.