Le iniziative delle altre Autorità

L’Autorità garante belga vieta il trasferimento dei dati fiscali degli “Americani accidentali”

L’Autorità privacy belga (APD) ha vietato il trasferimento di dati fiscali dei c.d. “americani accidentali” negli USA da parte del Servizio Pubblico Federale Finanze (FPS Finance).

Questo trasferimento veniva effettuato sulla base dell’accordo intergovernativo FATCA (Foreign Account Tax Compliance Act), il quale prevede la comunicazione dei dati relativi agli americani residenti all’estero alle autorità fiscali americane (IRS) ai fini della lotta alla frode fiscale.

Alla fine del 2020, l’APD ha ricevuto un reclamo da una persona con doppia nazionalità belga e americana e dall’Associazione degli “americani accidentali” in Belgio, in cui si contestava la conformità al GDPR dello scambio di informazioni con l’IRS previsto dall’accordo.

La FPS Finance ha invocato un’eccezione prevista dall’articolo 96 del GDPR, secondo cui gli accordi internazionali esistenti prima dell’attuazione del GDPR possono comunque rimanere in vigore, a condizione che siano conformi alla legge applicabile al momento della loro conclusione.

L’Autorità ha, però, osservato che il trasferimento generalizzato e indifferenziato di dati fiscali previsto dall’accordo non rispetta né il principio di finalità (l’accordo non contiene obiettivi precisi per il trasferimento dei dati) né il principio di proporzionalità e minimizzazione dei dati (possono essere trattati solo i dati strettamente necessari per le finalità perseguite, in questo caso la lotta alla frode fiscale).

Inoltre, è stato rilevato che l’accordo FATCA non contiene le garanzie adeguate per assicurare che i dati personali esportati godano di un livello di protezione simile a quello offerto all’interno dell’UE.

L’APD ha, peraltro, sottolineato che l’effetto “stand-still” dell’articolo 96 del RGPD ha una portata limitata e che deve essere letto in modo restrittivo.

Per tali ragioni, l’Autorità ha concluso che il trasferimento dei dati degli americani residenti in Belgio a un’entità situata in un Paese al di fuori dell’UE (che non può offrire un livello adeguato di protezione dei dati) è illecita. Per questo motivo, ha vietato a FPS Finance di trattare i dati dei ricorrenti e ha richiesto di avvisare il legislatore di questo divieto e delle carenze riscontrate.

L’APD ha ordinato altresì a FPS Finance di fornire informazioni complete e accessibili alle persone interessate dall’accordo FATCA sul trattamento dei dati effettuato nell’ambito di tale accordo e sulle relative procedure. In più, ha richiesto l’esecuzione di una DPIA.

Le iniziative delle altre Autorità

L’Autorità garante norvegese ha vietato a Statistics Norway di raccogliere dati sugli acquisti di generi alimentari

L’Autorità norvegese per la protezione dei dati personali (Datatilsynet) ha adottato un provvedimento che vieta a Statistics Norway, l’Istituto nazionale di statistica della Norvegia, di raccogliere i dati sugli acquisti di generi alimentari della popolazione norvegese (anche noti come “bongdata”). Questa raccolta di dati personali è stata considerata invasiva e priva di una valida base giuridica.

Statistics Norway voleva ricevere i dati sugli acquisti dei consumatori dai rivenditori di generi alimentari del Paese, al fine di compilare statistiche migliori sui consumi e sulla dieta dei norvegesi, utilizzando le transazioni bancarie dei pagamenti effettuati tramite carta dai cittadini.

Grazie ai “bongdata” e alle transazioni bancarie, Statistics Norway avrebbe avuto informazioni molto dettagliate sugli acquisti alimentari di una percentuale significativa della popolazione, che avrebbe potuto collegare a dati socioeconomici sulla famiglia, come il reddito o il livello di istruzione.

Al riguardo, l’Autorità norvegese ha ricevuto diversi reclami e segnalazioni da parte di cittadini e aziende e, sulla base di questi, ha aperto un’istruttoria nell’autunno del 2022.

Dalle contestazioni mosse dall’Autorità è emersa una questione relativa alla violazione del principio di necessità rispetto all’acquisizione di dati e informazioni, nonché su quale fosse la valida base giuridica per effettuare questo tipo di trattamenti. 

Nel difendersi, Statistics Norway ha citato il fatto che l’art. 10 della legge norvegese sulle statistiche prevede la possibilità di adottare decisioni in tal senso, indicando questa come base giuridica per il trattamento dei dati. 

Tuttavia, l’Autorità norvegese ha affermato che esiste un limite ai dati che le autorità pubbliche possono trattare, anche quando lo scopo è lecito. Pur riconoscendo, infatti, l’utilità sociale delle statistiche sul consumo alimentare e sulla dieta delle famiglie, il Garante norvegese ha ritenuto di dover intervenire lo stesso.

Sebbene lo scopo di Statistics Norway fosse quello di realizzare statistiche anonime, l’Autorità ha concluso che la violazione della privacy dei soggetti coinvolti nell’indagine statistica era avvenuta al momento della raccolta dei dati personali. 

Secondo quanto stabilito dal Garante norvegese, le decisioni di Statistics Norway non costituiscono “una base giuridica sufficientemente chiara e prevedibile per una raccolta così invasiva di dati personali”. Inoltre, i cittadini non avrebbero avuto alcuna possibilità reale di opporsi a tale raccolta, se non quella di utilizzare il denaro contante come mezzo di pagamento. 

L’Autorità ha sottolineato di aver preso questa decisione più per salvaguardare la fiducia nel settore pubblico norvegese che per un vero e proprio timore di un uso improprio dei dati personali da parte dell’istituto di statistica. Il timore era infatti che un’intrusione sproporzionata nella vita privata potesse provocare un indebolimento della fiducia nelle autorità pubbliche e una minore disponibilità dei cittadini a condividere i dati con il settore pubblico in futuro (c.d. “effetto agghiacciante”).

English version

The Norwegian Data Protection Authority has banned Statistics Norway from collecting data on food purchases

The Norwegian Data Protection Authority (Datatilsynet) has adopted a measure prohibiting Statistics Norway, the National Statistical Office of Norway, from collecting data on the food purchases of the Norwegian population (also known as ‘bongdata’). This collection of personal data was considered invasive and lacking a valid legal basis.

Statistics Norway wanted to receive data on consumer purchases from food retailers in the country in order to compile better statistics on the consumption and diet of Norwegians, using bank transactions of card payments made by citizens.

Thanks to the ‘bongdata’ and bank transactions, Statistics Norway would have very detailed information on the food purchases of a significant percentage of the population, which it could link to socio-economic data on the household, such as income or education level.

In this regard, the Norwegian Authority received several complaints and reports from citizens and companies and, based on these, opened an investigation in the autumn of 2022.

The Authority’s objections raised a question of whether the principle of necessity had been violated with respect to the acquisition of data and information, as well as what was the valid legal basis for carrying out this type of processing.

In its defence, Statistics Norway referred to the fact that Section 10 of the Norwegian Statistics Act provides for the possibility of taking such decisions, indicating this as the legal basis for data processing.

However, the Norwegian Authority stated that there is a limit to the data that public authorities may process, even when the purpose is lawful. While recognising, in fact, the social usefulness of statistics on food consumption and household diets, the Norwegian Data Protection Authority considered it necessary to intervene anyway.

Although Statistics Norway’s purpose was to produce anonymous statistics, the Authority concluded that a violation of the privacy of those involved in the statistical survey had occurred at the time of the collection of personal data.

According to the Norwegian Data Protection Authority, Statistics Norway’s decisions did not constitute ‘a sufficiently clear and foreseeable legal basis for such an invasive collection of personal data’. Moreover, citizens would have had no real possibility to object to such collection, other than to use cash as a means of payment.

The Authority emphasised that it had taken this decision more to safeguard trust in the Norwegian public sector than out of a genuine fear of misuse of personal data by the statistical office. Indeed, the fear was that a disproportionate intrusion into private life could lead to a weakening of trust in public authorities and a reduced willingness on the part of citizens to share data with the public sector in the future (so-called ‘chilling effect’).

Le iniziative delle altre Autorità

Come collaborano gli altri: la prima istruttoria congiunta dei Garanti australiano e neozelandese

Il Garante per la privacy austrialiano (OAIC) e quello neozelandese (OPC) hanno avviato, per la prima volta, un un’istruttoria congiunta.

Nel mirino delle due autorità, la gestione di un data breach da parte del gruppo societario Latitude, che si occupa di servizi finanziari.

La decisione di intraprendere un’istruttoria congiunta fa seguito alle indagini preliminari condotte da entrambi gli uffici. Ciò riflette l’impatto della violazione dei dati sulle persone in entrambi i Paesi.

Si è trattato, infatti, di un data breach di grave entità (il più grande verificatosi in Nuova Zelanda) e ha avuto come oggetto i dati di milioni di australiani e neozelandesi, tra cui patenti di guida, passaporti e dati finanziari sensibili,  incluse informazioni sul reddito e sulle spese personali.

Le due autorità intendono, così, fare chiarezza rispetto alla adozione da parte di Latitude di misure ragionevoli per proteggere le informazioni personali in suo possesso da uso improprio, interferenza, perdita, accesso non autorizzato, modifica o divulgazione.

In particolare, OAIC e OPC vogliono verificare come gli hacker si sono introdotti nei sistemi di Latitude Financial, quanto tempo sono rimasti all’interno prima di essere scoperti, cosa ha fatto il personale di Latitude quando ha scoperto l’attacco, come venivano conservati i dati personali in possesso della società, quali erano le misure la sicurezza e le modalità di archiviazione di tali informazioni all’interno dei suoi sistemi informatici.

Rientra negli obiettivi dei due garanti anche valutare se Latitude abbia adottato misure adeguate a eliminare o de-identificare le informazioni personali non più necessarie.

L’istruttoria congiunta consentirà un uso efficiente delle risorse di entrambe le agenzie e ridurrà anche l’eventuale impatto su Latitude.

Tuttavia, non è escluso che l’OAIC e l’OPC possano raggiungere conclusioni differenti o addirittura prendere decisioni separate e diverse all’esito dell’istruttoria.

Le iniziative delle altre Autorità

I consigli dell’ICO per proteggere i dati personali nelle elezioni locali nel Regno Unito

In occasione delle elezioni amministrative del 4 maggio, l’Autorità garante inglese (ICO) ha realizzato una breve guida (completa di video finale) fornendo alcuni consigli agli elettori per aiutarli a proteggere la loro privacy.

I dati personali rappresentano, infatti, una risorsa strategica in una campagna elettorale. Consentono ai partiti politici di trasmettere messaggi importanti e di comprendere come guadagnarsi le simpatie degli elettori, toccando i temi che stanno loro a cuore.

L’ICO ha, quindi, invitato i partiti politici a fornire:

  • Informazioni chiare sulla privacy: dovrebbero essere chiarite fin dall’inizio, con informazioni facili da capire, le modalità con le quali un partito politico utilizza i dati personali.
  • Informazione sulle tecniche di profilazione utilizzate: l’eventualità che un partito utilizzi tecniche di profilazione deve essere spiegata all’utente e a questo deve essere data la possibilità di opporsi.
  • Informazioni chiare sulla pubblicità sui social media: gli elettori devono essere al corrente del fatto che i loro dati personali possono essere utilizzati per l’invio di pubblicità mirata sui social media.
  • Informazioni trasparenti sulle modalità di utilizzo dei dati raccolti con petizioni o sondaggi: in generale, non è opportuno che un partito o un candidato che ha raccolto i dati allo scopo specifico di presentare una petizione o realizzare un sondaggio, li riutilizzi per una campagna politica.

L’ICO ha ricordato, inoltre, che gli elettori hanno il diritto di pretendere che i partiti politici trattino i dati personali in modo responsabile.

In ogni caso, l’Autorità ha messo a disposizione dei votanti un’apposita guida che può essere utile consultare per sapere come chiedere ulteriori informazioni e, al limite, presentare un reclamo.

C’è da aggiungere che questa è la prima volta che gli elettori inglesi hanno dovuto esibire un documento di identità con fotografia per votare (finora non era necessario e la disposizione si applicherà alle elezioni generali solo da ottobre 2023). Al riguardo vi sono state anche polemiche sul fatto di dover esibire il documento di identità al personale del seggio elettorale, nonostante la possibilità di chiedere che tale controllo venisse effettuato in privato.

Le iniziative delle altre Autorità

Il Garante della Repubblica Ceca sanziona il Ministero dell’Interno
Trattamento diffuso di dati sul Covid-19 senza idonea base giuridica

L’Autorità Garante privacy della Repubblica ceca ha inflitto una sanzione da 975.000 corone al Ministero dell’Interno per il trattamento diffuso dei dati delle persone alle quali era stato ordinato l’isolamento a causa del COVID-19.
Secondo l’Ufficio, il caso riguardava circa 2.000.000 di persone che avevano contratto il virus tra il 1° aprile 2021 e l’8 marzo 2022.
“Le autorità pubbliche possono esercitare il loro potere solo nei modi previsti dalla legge. Questo vale in ogni momento, anche in circostanze eccezionali, comprese le pandemie. La legge sulla polizia non consente la raccolta generalizzata dei cosiddetti dati personali particolari, che comprendono le informazioni sulla salute. Il loro trattamento diffuso, inoltre, effettuato senza un’adeguata informazione alle persone a cui tali dati si riferiscono, può comportare rischi molto gravi”. Ha dichiarato Jiří Kaucký, presidente dell’Autorità garante.
Secondo quanto emerso dall’istruttoria condotta dagli uffici, la polizia ha raccolto dati personali sullo stato di salute delle persone in maniera generalizzata e preventiva, senza alcun legame con il caso specifico oggetto di indagine. In questo modo, tuttavia, ha superato i poteri previsti dalla legge per il trattamento di questo tipo di dati personali.
L’Autorità ha sottolineato, altresì, la violazione di altri obblighi che la polizia della Repubblica Ceca avrebbe dovuto rispettare in relazione al trattamento dei dati personali. In particolare, l’obbligo di informazione nei confronti delle persone, i cui dati sono stati raccolti e trattati in relazione agli accertamenti di casi di COVID-19, non è stato adeguatamente rispettato. Un’informazione adeguata è necessaria proprio per consentire agli interessati di difendersi in modo tempestivo e adeguato dal trattamento illecito dei loro dati personali.
L’altra condotta riscontrata dagli uffici è consistita nell’omissione di due passaggi che avrebbero dovuto impedire l’avvio di una raccolta di dati personali di tale portata e gravità. La Polizia della Repubblica Ceca avrebbe dovuto innanzitutto effettuare una valutazione d’impatto sulla protezione dei dati personali e avrebbe dovuto, inoltre, sottoporre il trattamento all’Autorità garante, trattandosi di un caso di raccolta ed elaborazione di dati sanitari su larga scala. Per questi tipi di trattamento, infatti, la legge rende obbligatorie entrambe le fasi, soprattutto per evitare rischi per le persone i cui dati personali devono essere trattati.
Secondo il presidente dell’Autorità, da questo caso emerge chiaramente che non si tratta di una formalità e che è effettivamente necessario valutare in anticipo il possibile impatto sulla protezione dei dati personali. “Se la Polizia della Repubblica Ceca avesse preso queste misure, avrebbe scoperto in tempo – o da sola, quando ha valutato le proprie attività pianificate, o in seguito, quando ne ha discusso con il nostro ufficio – che non è assolutamente consentito effettuare una tale raccolta generalizzata di dati personali sullo stato di salute in base alle leggi vigenti. Pertanto, l’illecito per cui è stata comminata la sanzione probabilmente non si sarebbe mai verificato”, ha dichiarato il presidente.
È stato, peraltro, precisato che la polizia ha iniziato a raccogliere dati sullo stato di salute delle persone in relazione al COVID-19 solo nell’aprile 2021, più di un anno dopo lo scoppio della pandemia. “Pertanto, non si può dire che non ci sia stato abbastanza tempo per effettuare le fasi preparatorie, che consistono nel valutare il quadro giuridico e i rischi potenziali della raccolta programmata di questi dati”, ha rincarato la dose il presidente dell’Autorità.

Le iniziative delle altre Autorità

La CNIL lancia una serie di dossier tematici. Si comincia da “identità digitale”

Quella dell’identità personale è una questione centrale per la società.

Sia nel settore pubblico che in quello privato, la digitalizzazione della società ha dato origine a nuove forme di identità (es. nei videogiochi o sui social network) e alla necessità di digitalizzarne altre che prima non lo erano (stato civile, identità professionale, ecc.).

Ed è proprio per questo che la CNIL ha scelto proprio il tema dell’identità digitale per la pubblicazione del suo primo “dossier tematico” – un nuovo format comunicativo dell’Autorità che si propone di fare il punto su argomenti di attualità –.

L’uso delle identità digitali può costituire una “garanzia” per effettuare un acquisto online, iscriversi a un servizio o svolgere procedure amministrative. Tuttavia, è necessario tenere conto della tutela della privacy fin dalla progettazione di queste soluzioni, al fine di limitare i rischi per gli individui (in particolare il furto di identità, la sorveglianza delle attività online da parte di soggetti pubblici o privati, ecc.).

Il dossier tocca tutti i punti caldi rispetto ai quali l’Autorità ha preso posizione ed è suddiviso in diverse parti.

Nell’introduzione viene approfondito il concetto di identità. In particolare, viene raccontato il suo legame storico con le questioni legate al tema “tecnologia dell’informazione e libertà” e vengono elencati alcuni dati sull’identità digitale.

In una successiva sezione, vengono messe a fuoco definizioni e principali concetti da tenere presenti.

Viene, poi, fornita una panoramica sullo stato dell’arte relativo all’identità digitale, sui suoi possibili impieghi sia pubblici che privati e, in particolare, sulla Carte nationale d’identité électronique (CNIe).

Il dossier si concentra, infine, sule sfide per la sicurezza dei dati e per la libertà delle persone, sull’uso dell’identità digitale nel settore privato e sul futuro dell’identità digitale europea.

L’Autorità specifica che il dossier si rivolge a diversi gruppi di destinatari:

  • al pubblico in generale, che è interessato in primo luogo alla questione dell’identità digitale, offrendo definizioni e chiavi di lettura;
  • alle organizzazioni private e ai loro fornitori di servizi che sviluppano soluzioni di identità digitale e che si chiedono come garantire la loro conformità alle norme sulla “protezione dei dati”.
  • alle autorità pubbliche, per sostenere l’implementazione di soluzioni che rispettino i diritti dei cittadini
  • ai ricercatori interessati al tema dell’identità digitale, alle sue sfide e alle sue applicazioni.

Le iniziative delle altre Autorità

L’Autorità garante spagnola adotta delle Linee Guida per la prevenzione dei data breach nella Pubblica Amministrazione

L’Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato le Orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales. Si tratta di un documento rivolto al settore pubblico che esamina la gestione dei rischi derivanti dal trattamento di enormi quantità di dati personali e dal loro scambio tra le Pubbliche Amministrazioni.

Le amministrazioni pubbliche, come tutti i titolari del trattamento, devono mettere in conto l’eventualità che si verifichino delle violazioni di dati personali e che le misure di sicurezza non garantiscano una protezione totale. Pertanto, devono attuare misure e azioni specifiche fin dalla progettazione del trattamento per ridurre al minimo il potenziale impatto individuale e sociale di un eventuale data breach.

Stando ai dati, infatti, nel 2021, l’Agenzia ha ricevuto 163 notifiche di violazione di dati personali dal settore pubblico, e nel 2022 la cifra è aumentata del 49%, arrivando a 243.

Una gestione efficace del rischio implica l’azione coordinata dei soggetti coinvolti nel trattamento, uno studio congiunto dei diversi scenari di violazione dei dati in caso di fallimento delle misure di sicurezza e l’adozione di misure specifiche e adeguate al fine di ridurre al minimo l’impatto sui diritti fondamentali. Proprio per questo, le linee guida includono un elenco di misure preventive di rilevamento, risposta, revisione e monitoraggio che potrebbero essere attuate nell’ambito di questo tipo di trattamento.

Nelle linee guida l’AEPD sottolinea che gestire questi trattamenti è organizzativamente complesso a causa della molteplicità degli attori coinvolti. Peraltro, l’interconnessione di infrastrutture per l’accesso e lo scambio di dati moltiplica la probabilità che una violazione dei dati personali si concretizzi, generando un grande impatto. Ciò implica la necessità di attuare misure di salvaguardia della privacy e di sicurezza, sia tecniche che organizzative, adeguate a questi scenari complessi, specifiche e in grado di gestire in modo coordinato l’elevato impatto sociale in relazione alla protezione dei dati.

Le iniziative delle altre Autorità

I provvedimenti dell’Autorità danese sui cookie wall

L’Autorità danese per la protezione dei dati ha adottato due decisioni sull’uso dei c.d. “cookie wall” e, a seguire, delle linee guida.
Dall’inizio del 2020, l’Autorità ha ricevuto una serie di reclami sull’uso dei cookie wall.
Sulla base di due di questi, ha colto l’occasione per stabilire in che misura l’uso dei cookie wall possa rientrare nel quadro della disciplina in materia di protezione dei dati personali.
In via generale, l’Autorità garante ha ritenuto che questa pratica debba considerarsi legittima ove il prezzo da pagare per la fruizione dei contenuti non sia tanto alto da minare la libertà nella prestazione del consenso. I contenuti fruibili sottoscrivendo l’abbonamento o, viceversa, dando il consenso al trattamento dei dati personali, dovrebbero essere pressoché gli stessi.
Tuttavia, con riferimento ai due casi esaminati, le decisioni sono state in parte diverse per via delle specificità caratterizzanti le due fattispecie.


Per quanto riguarda il caso Gul og Gratis, è stato rilevato che l’azienda offriva un’alternativa al consenso sotto forma di accesso a pagamento. Il pagamento abilitava, infatti, l’accesso a un servizio in gran parte equivalente a quello fruibile tramite il consenso al trattamento dei dati. Il prezzo dell’alternativa di pagamento non era così alto, sicché l’interessato aveva una reale possibilità di scelta tra il pagamento e il consenso.
L’Autorità danese, tuttavia, ha anche ritenuto che Gul og Gratis non aveva dimostrato che il trattamento dei dati personali a fini statistici, anch’esso realizzato dall’azienda, fosse, in realtà, una parte necessaria dell’alternativa di pagamento. Alla società è stato quindi ordinato di fornire tale dimostrazione oppure di adattare la soluzione in modo che i visitatori possano prestare un consenso separato per questa specifica finalità.


Con riferimento, invece, a Jysk Fynske Medier, è stato riscontrato che l’approccio specifico dell’azienda non soddisfaceva i requisiti per un consenso valido. Ciò per via del fatto che il servizio offerto dietro consenso non era affatto equivalente a quello offerto dietro pagamento e che, quindi, ai visitatori non veniva concessa una vera e propria libera scelta. Infatti, mediante la prestazione del consenso, i visitatori potevano accedere solo a parte dei contenuti, mentre sottoscrivendo un abbonamento riuscivano a fruire di un’offerta più completa.
Anche in questo caso, come in quello precedente, l’Autorità ha riscontrato che Jysk Fynske Medier non aveva dimostrato che il trattamento dei dati personali a fini statistici fosse una parte necessaria dell’alternativa al pagamento. Anche a questa società è stato quindi ordinato di fornire tale dimostrazione oppure di adattare la soluzione in modo che i visitatori possano esprimere un consenso separato per questo scopo.


Infine, a seguito di queste due decisioni, l’Autorità danese ha predisposto delle linee guida generali sull’uso dei cookie wall, che le aziende dovrebbero tenere in considerazione nel ricorrere a tali strumenti nel proprio business.
Le linee guida indicano quattro criteri che rappresentano il punto di partenza per la valutazione da parte dell’Autorità rispetto alla conformità al GDPR dell’uso di un cookie wall.

Le iniziative delle altre Autorità

L’Autorità svedese e il “regulatory testing”. Pubblicata una guida per sostenere il progetto di AI decentralizzata nella sanità

L’Autorità garante svedese (Integritetsskyddsmyndigheten, IMY) annuncia di aver completato con successo un progetto pilota in cui ha condotto attività di “regulatory testing” sull’IA decentralizzata.
L’IMY vuole evitare che si crei un divario tra il rapido sviluppo della tecnologia e il quadro normativo in materia di protezione dei dati personali e, in tale ottica, sta cercando di individuare nuovi modi di lavorare nel settore pubblico per poter contribuire a uno sviluppo digitale sostenibile.
La sperimentazione pubblica di soluzioni tecnologiche di IA è un’opportunità per mettere alla prova questi nuovi metodi.
Nella fattispecie, l’IMY ha fornito supporto al progetto Decentralised AI in Health Care – Federated machine learning between two healthcare providers (IA decentralizzata nell’assistenza sanitaria – Apprendimento automatico federato tra due fornitori di assistenza sanitaria) condotto dalla Regione Halland e dall’Ospedale universitario Sahlgrenska, insieme ad AI Sweden – il centro nazionale svedese per l’IA applicata -.
Questa iniziativa ha lo scopo di studiare le possibilità aperte da un’assistenza sanitaria data-driven, utilizzando l’IA, al fine di personalizzare le decisioni sia a livello individuale che di sistema e a sviluppare diagnosi e trattamenti più avanzati e accurati. In particolare, ciò dovrebbe avvenire mediante lo scambio di modelli di apprendimento automatico.
L’IMY ha supportato i soggetti coinvolti nella corretta interpretazione e applicazione delle norme, per garantire una sana gestione dei dati sanitari, attraverso la predisposizione di un’apposita guida.
Si tratta di un’applicazione del c.d. “regulatory testing”, nell’ambito del quale le organizzazioni possono testare le loro idee confrontandosi con l’IMY e ricevere supporto sulle questioni legali relative ai progetti sperimentali.
Tale confronto si articola in workshop e incontri le cui conclusioni sono poi utilizzate – sono state utilizzate nel caso di specie – per la redazione di una guida in cui vengono prospettate le conclusioni raggiunte e le soluzioni da impiegare.
In particolare, nel caso in questione, la guida si è concentrata su questioni relative alla base giuridica per il trattamento dei dati personali, nell’addestramento del modello di apprendimento automatico “locale” da parte degli operatori sanitari e nella comunicazione di dati personali nell’ambito dell’attività di apprendimento automatico “federato” tra i diversi soggetti

Le iniziative delle altre Autorità

La CNIL lancia il “club della conformità” dedicato ai veicoli connessi

La CNIL sta per istituire un “club della conformità” dedicato agli operatori dei veicoli connessi e della mobilità. Questo forum di dialogo privilegiato dovrebbe consentire scambi regolari e incoraggiare un’innovazione rispettosa della loro privacy.

Sono, infatti, numerosi i dati personali generati dagli utenti di auto, scooter, biciclette e altri mezzi di trasporto.

L’accesso a questi dati può essere una fonte di progresso per molti scopi (sicurezza, comfort, manutenzione, ecc.), in particolare per la fornitura di servizi innovativi o nel contesto delle politiche pubbliche sulla mobilità.

Per giunta, questi dati (ad esempio, spostamenti o comportamenti di guida) rivelano ampie porzioni della vita privata degli interessati. Il loro utilizzo solleva quindi questioni fondamentali sulla protezione dei dati personali e sul rispetto dei diritti e delle libertà fondamentali.

La strategia della CNIL si incentra sulla creazione di un “club della conformità” per incoraggiare l’innovazione nel rispetto dei diritti e delle libertà.

In quest’ottica, l’Autorità auspica che le discussioni che si svolgeranno nell’ambito del “club della conformità” possano fornire al maggior numero possibile di attori strumenti pratici e operativi per promuovere un uso responsabile dei dati.

Per sostenere tutti gli operatori dei veicoli connessi e della mobilità (produttori, fornitori di apparecchiature, società di noleggio di veicoli, operatori di servizi di mobilità, ecc.), la CNIL sta creando un club di conformità dedicato alle loro attività. Basandosi sul modello dei “compliance club” già esistenti (nei settori assicurativo e bancario), dovrebbe permettere di instaurare un dialogo regolare con il settore su questioni identificate come prioritarie.

Questo forum di scambio e consultazione dovrebbe far emergere risposte concrete adatte alle sfide giuridiche, tecniche, sociali ed economiche. Questo approccio incoraggerà l’innovazione nel rispetto dei diritti e delle libertà fondamentali degli individui. La costituzione del club di conformità è la continuazione delle scelte adottate dalla CNIL già nel 2016, in consultazione con gli attori dell’industria automobilistica e le aziende di diversi settori (assicurazioni, telecomunicazioni, autorità pubbliche, ecc.), che ha portato alla pubblicazione di un pacchetto di conformità sui “veicoli connessi” nel 2017. Sul punto, si segnalano anche le Linee Guida adottate dall’EPDB nel 2021.