Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.
In Italia e in Europa il tema del rapporto tra il diritto fondamentale alla protezione dei dati personali e i sistemi che offrono servizi basati sull’Intelligenza Artificiale è esploso in modo fragoroso con la vicenda legata ai provvedimenti del Garante italiano relativi a ChatGPT e alle violazioni ravvisate dal Provvedimento del 30 marzo 2023, essenzialmente nella carenza di adeguata informativa agli utenti del servizio circa l’uso e il trattamento di dati personali dell’utente o di terzi e circa le modalità di accesso a tali dati, nonché alla possibilità di esercitare l’eventuale diritto di rettifica o di richiesta di cancellazione ove ricorrano le ipotesi previste a tali fini dal GDPR.
Il 13 aprile nella riunione dello European Data Protection Board (EDBP) tenutasi a Bruxelles le Autorità garanti della UE, nell’ambito della discussione sui provvedimenti adottati dalla Autorità italiana rispetto alla Chat GPT, ai quali già hanno fatto seguito azioni specifiche assunte sullo stesso tema dalle Autorità garanti dei principali Paesi UE, hanno deciso di istituire una task force “per promuovere la cooperazione e lo scambio di informazioni su eventuali azioni di applicazione condotte alle Autorità di protezione dei dati”.
In data 30 marzo 2023 il Presidente della Autorità italiana garante per la protezione dei dati personali, avvalendosi dei poteri d’urgenza previsti dall’art.5.comma 8 del Regolamento 1/200058 e di quanto disposto dall’art.58 par. 2, lettera f) del GDPR, ha adottato un provvedimento di urgenza nei confronti della società OpenAi quale società sviluppatrice e gestrice di ChatGPT, col quale ha disposto con effetto immediato la limitazione provvisoria del trattamento di dati di utenti italiani.
Come è noto, uno dei nodi importanti affrontato dal GDPR è stato quello di assicurare che fossero chiari i rapporti tra le autorità di protezione dei dati dei vari paesi, sia sotto il profilo della ripartizione delle competenze tra esse, che sotto quello della conformità dei criteri adottati per applicare le norme del Regolamento UE, e sia per gli aspetti relativi alla qualificazione degli eventuali trattamenti illeciti di dati, che alla definizione delle sanzioni da adottare.
Il Wall Street Journal ha pubblicato pochi giorni fa un articolo a firma Sam Schechner che annuncia un vero e proprio terremoto nel modello di business che è alla base dei successi di Meta e delle piattaforme ad essa ricollegabili. Inoltre l’annuncio del WSJ costituisce anche una notizia importante circa il ruolo che sempre più sta assumendo lo European Data Protection Board nell’applicazione del Gdpr anche rispetto ai meccanismi di controllo e coerenza tra le Autorità di controllo sull’uso dei dati personali.
L’ampia analisi condotta da Federprivacy sui rapporti tra i siti web e la tutela dei diritti privacy nel mondo digitale merita di essere considerata con la massima attenzione. Essa è tutta incentrata sulle misure adottate da un corposo e molto articolato insieme di siti web in ordine al dovere dei titolari di trattamenti di dati personali di assicurare agli interessati una adeguata informativa privacy, completa di tutti i riferimenti normativi. Una informativa che, sia nel quadro del GDPR che degli altri documenti e Regolamenti della UE, deve essere facilmente accessibile e comprensibile da tutti i destinatari, e cioè almeno da parte di tutti gli interessati.
Su Repubblica, redazione di Firenze del 10 novembre si annuncia che il Comune di Arezzo, in cooperazione col gruppo Lab Consulence, intende sperimentare attraverso la sua polizia municipale un progetto che prevede l’uso di occhiali speciali in dotazione agli agenti addetti alla vigilanza sul traffico che consentono la proiezione sul visore degli agenti di dati relativi al comportamento di conduttori di veicoli che operano nel raggio di azione degli occhiali stessi. L’agente che controlla può, ricevuta l’immagine, decidere immediatamente se è stata o no commessa una infrazione che giustifichi la sanzione, attivando contemporaneamente anche gli strumenti a sua disposizione.
Il caso Twitter/Elon Musk è tuttora oggetto di analisi e riflessioni: dopo mesi di trattative Musk è giunto ad avere il possesso del 9,1% di azioni. In seguito a una offerta dello stesso Musk il board dei direttori di Twitter ha accettato l’offerta di acquisto di Musk che di fatto ha condotto la compagnia sotto il pieno controllo dello stesso Musk.
In un importante intervento al Commitee on Economic and Monetary Affairs del Parlamento europeo dedicato ai progressi del progetto per la costruzione dell’euro digitale tenutosi il 22 settembre di quest’anno, Fabio Panetta, membro del Comitato Esecutivo della BCE, ha in pratica affermato che l’istituzione dell’euro digitale è sostanzialmente ineludibile. L’intervento è molto importante perché avviene dopo un biennio di analisi del tema e perché ha lo scopo, del tutto chiaro, di preparare il terreno legislativo al conferimento all’euro digitale dello status di moneta con corso legale.
Il 17 agosto la Autorità di protezione dei dati personali francese, la CNIL, ha comminato una sanzione di 600.000 euro alla catena alberghiera AccorHotels, che ha sede in Francia, per aver utilizzato una newsletter contenente offerte commerciali di suoi partners che veniva inviata automaticamente, senza alcun consenso esplicito da parte degli interessati e senza adeguata informativa sull’uso dei dati a tutti i clienti che avessero fatto una prenotazione direttamente presso uno dei suoi hotels o sul sito della stessa Accor per prenotare un stanza.
