Le iniziative delle altre Autorità

Il Garante della Repubblica Ceca sanziona il Ministero dell’Interno
Trattamento diffuso di dati sul Covid-19 senza idonea base giuridica

L’Autorità Garante privacy della Repubblica ceca ha inflitto una sanzione da 975.000 corone al Ministero dell’Interno per il trattamento diffuso dei dati delle persone alle quali era stato ordinato l’isolamento a causa del COVID-19.
Secondo l’Ufficio, il caso riguardava circa 2.000.000 di persone che avevano contratto il virus tra il 1° aprile 2021 e l’8 marzo 2022.
“Le autorità pubbliche possono esercitare il loro potere solo nei modi previsti dalla legge. Questo vale in ogni momento, anche in circostanze eccezionali, comprese le pandemie. La legge sulla polizia non consente la raccolta generalizzata dei cosiddetti dati personali particolari, che comprendono le informazioni sulla salute. Il loro trattamento diffuso, inoltre, effettuato senza un’adeguata informazione alle persone a cui tali dati si riferiscono, può comportare rischi molto gravi”. Ha dichiarato Jiří Kaucký, presidente dell’Autorità garante.
Secondo quanto emerso dall’istruttoria condotta dagli uffici, la polizia ha raccolto dati personali sullo stato di salute delle persone in maniera generalizzata e preventiva, senza alcun legame con il caso specifico oggetto di indagine. In questo modo, tuttavia, ha superato i poteri previsti dalla legge per il trattamento di questo tipo di dati personali.
L’Autorità ha sottolineato, altresì, la violazione di altri obblighi che la polizia della Repubblica Ceca avrebbe dovuto rispettare in relazione al trattamento dei dati personali. In particolare, l’obbligo di informazione nei confronti delle persone, i cui dati sono stati raccolti e trattati in relazione agli accertamenti di casi di COVID-19, non è stato adeguatamente rispettato. Un’informazione adeguata è necessaria proprio per consentire agli interessati di difendersi in modo tempestivo e adeguato dal trattamento illecito dei loro dati personali.
L’altra condotta riscontrata dagli uffici è consistita nell’omissione di due passaggi che avrebbero dovuto impedire l’avvio di una raccolta di dati personali di tale portata e gravità. La Polizia della Repubblica Ceca avrebbe dovuto innanzitutto effettuare una valutazione d’impatto sulla protezione dei dati personali e avrebbe dovuto, inoltre, sottoporre il trattamento all’Autorità garante, trattandosi di un caso di raccolta ed elaborazione di dati sanitari su larga scala. Per questi tipi di trattamento, infatti, la legge rende obbligatorie entrambe le fasi, soprattutto per evitare rischi per le persone i cui dati personali devono essere trattati.
Secondo il presidente dell’Autorità, da questo caso emerge chiaramente che non si tratta di una formalità e che è effettivamente necessario valutare in anticipo il possibile impatto sulla protezione dei dati personali. “Se la Polizia della Repubblica Ceca avesse preso queste misure, avrebbe scoperto in tempo – o da sola, quando ha valutato le proprie attività pianificate, o in seguito, quando ne ha discusso con il nostro ufficio – che non è assolutamente consentito effettuare una tale raccolta generalizzata di dati personali sullo stato di salute in base alle leggi vigenti. Pertanto, l’illecito per cui è stata comminata la sanzione probabilmente non si sarebbe mai verificato”, ha dichiarato il presidente.
È stato, peraltro, precisato che la polizia ha iniziato a raccogliere dati sullo stato di salute delle persone in relazione al COVID-19 solo nell’aprile 2021, più di un anno dopo lo scoppio della pandemia. “Pertanto, non si può dire che non ci sia stato abbastanza tempo per effettuare le fasi preparatorie, che consistono nel valutare il quadro giuridico e i rischi potenziali della raccolta programmata di questi dati”, ha rincarato la dose il presidente dell’Autorità.

Privacy Daily 23/2023

Per imparare a distinguere un semaforo, un algoritmo di deep learning deve passare in rassegna centinaia di migliaia di immagini in cui è segnalata la presenza di semafori finché non è in grado di riconoscerle in autonomia. Ma chi è che etichetta in primo luogo le immagini utilizzate per l’addestramento, indicando quali figure – semafori, gatti, persone, ponti e quant’altro – sono presenti al loro interno? Benvenuti nel mondo dei data labeler, gli etichettatori di dati: lavoratori umani al livello base della progettazione di software di deep learning e che operano all’interno di quelli che spesso vengono definiti gli “scantinati dell’intelligenza artificiale”. Scantinati che possono avere l’aspetto di fabbriche specializzate nell’etichettatura dei dati (spesso situate in nazioni in via di sviluppo), ma anche essere piattaforme che assoldano lavoratori da remoto o per cui, inconsapevolmente, lavoriamo gratuitamente anche noi (com’è il caso dei Captcha Code). Il ruolo di questi operai del deep learning non è solo di addestrare le intelligenze artificiali a distinguere determinati elementi di ogni tipo, ma anche di insegnare loro quali forme di linguaggio, immagini e situazioni vanno a tutti i costi evitate.

L’ufficio del Commissario per le informazioni del Regno Unito ha pubblicato un avviso con il quale chiede alle aziende di adeguare la privacy al loro sviluppo tecnologico. La posizione dell’ICO si riflette nel “Tech Horizons Report”, il report che descrive gli sviluppi tecnologici dell’immediato futuro che avranno un impatto sulla società. Il rapporto sottolinea che le aziende devono considerare la trasparenza, il controllo che le persone hanno sui loro dati e la quantità di dati raccolti per garantire che i loro servizi siano conformi a principi privacy. Il direttore della tecnologia, dell’innovazione e dell’impresa dell’ICO, Stephen Almond, ha dichiarato: “In qualità di regolatore, parte del nostro ruolo consiste nel promuovere la fiducia nel modo in cui le organizzazioni elaborano le informazioni personali, sostenendo al contempo la crescita e l’innovazione. Stanno emergendo nuove tecnologie che potrebbero rendere le nostre vite più facili, più sicure, più confortevoli, efficienti e divertenti, ma affinché abbiano successo, dobbiamo consentire alle persone di condividere in sicurezza le proprie informazioni ora e in futuro”.

L’autorità per la protezione dei dati della Repubblica ceca, Úřad pro ochranu osobních údajů, ha pubblicato il suo piano d’azione per il 2023. La DPA ha affermato che si concentrerà sul “trattamento dei dati personali quando si utilizzano i social network, nei sistemi di telecamere su larga scala e negli ufficiali giudiziari.” Verificherà inoltre alcuni sistemi informativi della polizia e si concentrerà sul settore del telemarketing con la collaborazione dell’Ufficio delle telecomunicazioni ceco.

English Translation

To learn how to distinguish a traffic light, a deep learning algorithm has to go through hundreds of thousands of traffic light images until it can recognise them on its own. But who is it that labels the images used for training in the first place, indicating which figures – traffic lights, cats, people, bridges and so on – are present in them? Welcome to the world of data labellers: human workers at the base level of deep learning software design and operating within what are often referred to as the ‘basements of artificial intelligence’. Basements that can look like factories specialising in data labelling (often located in developing nations), but also be platforms that hire workers remotely or for which we unwittingly work for free ourselves (as is the case with Captcha Code). The role of these deep learning workers is not only to train artificial intelligences to distinguish certain elements of all kinds, but also to teach them which forms of language, images and situations should be avoided at all costs.

The UK Information Commissioner’s Office has issued a notice asking companies to adapt privacy to their technological development. The ICO’s position is reflected in the ‘Tech Horizons Report’, the report describing technological developments in the near future that will impact society. The report emphasised that companies need to consider transparency, the control people have over their data, and the amount of data collected to ensure their services comply with privacy principles. The ICO’s director of technology, innovation and enterprise, Stephen Almond, said: ‘As a regulator, part of our role is to promote trust in the way organisations process personal information, while supporting growth and innovation. New technologies are emerging that could make our lives easier, safer, more comfortable, efficient and enjoyable, but for them to succeed, we need to enable people to safely share their information now and in the future.

The Czech Republic’s data protection authority, Úřad pro ochranu osobních údajů, published its action plan for 2023. The DPA said it will focus on “the processing of personal data when using social networks, in large-scale camera systems and in judicial officers.” It will also audit some police information systems and focus on the telemarketing sector with the cooperation of the Czech Telecommunications Office.