Newsletter 06/06/2024 – Ricerca scientifica: le Faq del Garante Privacy per gli IRCCS – Concorsi della P.A.: online solo le graduatorie definitive dei vincitori – Garante Privacy: il GDPR vale anche per Wikipedia – Servizi cloud per la P.A.: ok del Garante Privacy al Regolamento di ACN – GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT

NEWSLETTER N. 524 del 6 giugno 2024

• Ricerca scientifica: le Faq del Garante Privacy per gli IRCCS
• Concorsi della P.A.: online solo le graduatorie definitive dei vincitori
• Garante Privacy: il GDPR vale anche per Wikipedia
• Servizi cloud per la P.A.: ok del Garante Privacy al Regolamento di ACN
• GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT

Ricerca scientifica: le Faq del Garante Privacy per gli IRCCS
Gli istituti di ricovero e cura a carattere scientifico possono utilizzare i dati raccolti per l’attività clinica per ulteriori finalità di ricerca medica

Cosa sono gli IRCCS? Come possono utilizzare i dati personali raccolti per la cura dei pazienti per finalità di ricerca? A quali adempimenti sono tenuti in base al Codice privacy? A queste domande ha risposto il Garante Privacy con le Faq da oggi sul sito https://www.gpdp.it/temi/sanita-e-ricerca-scientifica/irccs.

I chiarimenti dell’Autorità sono rivolti agli IRCCS, ossia quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità.

Nelle Faq è spiegato che gli IRCCS, per poter utilizzare i dati dei loro pazienti anche per l’attività di ricerca scientifica autorizzata dal Ministero, devono individuare una base giuridica idonea a legittimare tale trattamento e una deroga adeguata al generale divieto di trattare i dati sulla salute e genetici.

Il Garante ha dunque chiarito che gli IRCCS pubblici e privati, oltre che sul consenso dei partecipanti alla ricerca, possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca sull’art. 110-bis, comma 4 del Codice privacy, in base al quale non costituisce trattamento ulteriore dei dati raccolti per l’attività clinica, quello svolto a fini di ricerca.

Nel caso in cui gli IRCCS si avvalgano di questa disposizione, hanno però l’obbligo di svolgere la Valutazione d’impatto (Vip) e di pubblicarla sui propri siti web. Tuttavia, se la pubblicazione per intero della Vip può ledere diritti di proprietà intellettuale, segreti commerciali o altro, l’Istituto può pubblicarla per estratto. Una specifica sezione delle Faq è dedicata alle diverse le modalità per informare i partecipanti alla ricerca a seconda che i dati siano raccolti presso di essi ovvero presso banche dati interne all’istituto o altri centri partecipanti.

L’Autorità ha infine chiarito l’ambito oggettivo di applicazione dell’art. 110-bis, comma 4 del Codice, che riguarda ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento.

Concorsi della P.A.: online solo le graduatorie definitive dei vincitori
Il Garante sanziona l’INPS per illecita diffusione di dati personali

Pubblicare sul web gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy.

Così si è espresso il Garante a seguito di un reclamo presentato da un partecipante al concorso pubblico, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’INPS.

Il reclamante aveva lamentato la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato. Tali documenti sarebbero poi finiti anche sui social network ad opera di terzi.

I soggetti pubblici, ha ricordato il Garante, quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge. Non sono infatti consentiti livelli differenziati di tutela della protezione dei dati personali, né su base territoriale né a livello di singola amministrazione, specie quando la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale.

Nel quantificare l’importo della sanzione all’INPS in 20.000 euro l’Autorità ha considerato la natura, la durata e la gravità della violazione, nonché l’elevato numero degli interessati e l’atteggiamento collaborativo dell’Istituto, che ha rimosso gli elenchi in questione, seppur a seguito della richiesta di informazioni del Garante.

Garante Privacy: il GDPR vale anche per Wikipedia
L’enciclopedia online deve rispettare le regole sul giornalismo e la manifestazione del pensiero

Il trattamento di dati personali effettuato da Wikipedia ricade sotto il GDPR e ai contenuti pubblicati si applicano le norme sull’attività giornalistica e la manifestazione del pensiero.

È quanto ha stabilito il Garante per la protezione dei dati personali, dopo il reclamo di un interessato che non aveva visto soddisfatta la richiesta di cancellazione di un articolo biografico, relativo a una vicenda giudiziaria, da parte di Wikipedia Foundation, la no-profit Usa creatrice del progetto dell’enciclopedia on line.

Per quanto riguarda il trattamento di dati personali effettuato negli articoli, la Fondazione, che non ha stabilimento in Europa, ritiene che Wikipedia non offra un servizio agli utenti nella Ue e di non essere quindi vincolata al rispetto del Regolamento generale sulla protezione dati: l’enciclopedia sarebbe solo un “host neutrale” che “ospita” i contenuti inseriti dalla comunità di volontari.

In realtà, Wikipedia non solo offre un servizio di informazione su una grande varietà di argomenti, ma lo rivolge anche al mercato europeo, come dimostrano la costante azione di indirizzo e verifica degli standard qualitativi dei contenuti rivolti dalla Fondazione alla comunità e la creazione di versioni del sito dedicate agli utenti di uno o più Stati membri. Si realizza così – spiega il Garante – quel requisito di intenzionalità nell’offerta di servizi che permette di applicare il GDPR a un titolare del trattamento stabilito in un Paese terzo e senza stabilimento nella Ue.

Chiarito l’ambito di applicazione, l’Autorità ha respinto l’istanza di cancellazione dell’interessato, perché il trattamento di dati personali per finalità giornalistiche, anche senza consenso, è lecito se rispetta i diritti e la dignità delle persone e il principio dell’essenzialità dell’informazione. Allo stesso modo, è lecita anche la permanenza dell’articolo nell’archivio dell’enciclopedia on line: gli archivi di siti e giornali, anche cartacei, rivestono infatti una importante funzione ai fini della ricostruzione storica degli eventi.

Il Garante ha tuttavia disposto la deindicizzazione dell’articolo. La presenza on line della pagina vanificherebbe infatti il beneficio del limite della conoscibilità posto alle condanne inferiori ai due anni, che non sono inserite nel casellario giudiziario, mentre nel frattempo è venuto a scemare l’interesse pubblico per la vicenda.

Servizi cloud per la PA: ok del Garante Privacy al Regolamento di ACN

Parere favorevole del Garante Privacy sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud della PA. Lo schema di decreto, predisposto dall’Agenzia per la cybersicurezza nazionale (ACN), sostituisce l’atto adottato in precedenza dall’Agenzia per l’Italia digitale (AGID).

Lo schema di Regolamento tiene conto delle indicazioni fornite dal Garante nel corso delle interlocuzioni. Il documento introduce un nuovo articolo dedicato alla corretta applicazione della normativa privacy, che mira ad assicurare il controllo, da parte delle Pubbliche Amministrazioni, su tutti i soggetti che intervengono nel trattamento dei dati. In particolare, attribuisce alle PA il ruolo di titolari del trattamento, mentre gli operatori di infrastrutture digitali e i fornitori di servizi cloud vengono indicati quali responsabili del trattamento.

Il testo stabilisce inoltre l’obbligo per i responsabili del trattamento di adottare misure che garantiscano una tempestiva e adeguata informazione da parte delle amministrazioni in caso di data breach, considerata la mole e la delicatezza dei dati trattati (dati sulla salute, dati fiscali). I responsabili del trattamento dovranno poi fornire alle PA idonei strumenti di controllo delle attività di trattamento effettuate da eventuali sub responsabili.

In tema di trasferimenti dei dati al di fuori dello Spazio economico europeo, i responsabili del trattamento saranno tenuti ad attenersi alle istruzioni delle amministrazioni e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l’effettività delle misure adottate.

Il Regolamento si inserisce all’interno della Strategia cloud Italia, messa in campo dal Dipartimento per la trasformazione digitale e da ACN, che contiene gli indirizzi per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione, anche grazie al Polo Strategico Nazionale (PSN), quale infrastruttura cloud realizzata su impulso del governo.

GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT

Quali sono i principi di protezione dei dati personali applicabili a ChatGPT? È la domanda a cui risponde il Report sul lavoro della task force del Comitato europeo (EDPB), creata lo scorso anno per promuovere la cooperazione tra le Autorità di protezione dei dati personali che indagano a livello nazionale sul chatbot di OpenAI.

Nel valutarne la liceità, il Report suggerisce di distinguere le diverse fasi del trattamento: raccolta dati per addestramento, compresi web scraping o riutilizzo di set di dati; pre-elaborazione, compreso il filtraggio; addestramento; prompt e output di ChatGPT; addestramento di ChatGPT con prompt.

Particolare attenzione viene riservata al web scraping. Per la raccolta dei dati, OpenAI ha individuato come base giuridica il legittimo interesse del titolare. Una condizione che – ricorda l’EDPB – deve essere bilanciata con diritti e le libertà fondamentali degli interessati. Benché le istruttorie siano ancora in corso, il Comitato europeo suggerisce alcune garanzie che potrebbero rendere lecito il legittimo interesse, come la definizione di criteri di raccolta e l’esclusione di determinate categorie di dati e fonti (es: profili pubblici sui social). Ulteriori misure adottabili potrebbero essere la cancellazione o l’anonimizzazione dei dati personali prima della fase di addestramento.

Per quanto riguarda le categorie particolari di dati, per le quali è necessario un consenso specifico e caratterizzato da un’azione positiva, le misure potrebbero prevedere un filtraggio, da applicare sia alla raccolta dei dati, selezionandone ad esempio i criteri, sia immediatamente dopo, eliminandoli.

Oltre alla liceità della raccolta dei dati per l’addestramento di ChatGPT, il Report sul lavoro della task force analizza il principio di correttezza, in base al quale spetta a OpenAI garantire la conformità al GDPR; il principio di trasparenza e quello di esattezza, secondo i quali il titolare del trattamento dovrebbe fornire informazioni adeguate sulla natura probabilistica dell’output chatbot e fare esplicito riferimento al fatto che il testo generato potrebbe essere parziale o inventato. Sempre in base al principio di trasparenza, OpenAI dovrebbe informare gli interessati che il contenuto prodotto dell’utente, vale a dire l’input fornito al sistema, viene usato per addestrare il chatbot.

Il Comitato europeo sottolinea infine come sia obbligatorio che gli interessati possano esercitare i loro diritti in modo efficace. Il Report è il risultato di valutazioni preliminari che non pregiudicano l’analisi che verrà effettuata da ciascuna Autorità nazionale nell’ambito delle istruttorie in corso, aperte prima del 15 febbraio 2024, quando OpenAI ha posto stabilimento in Europa. Da quella data le attività di trattamento transfrontaliero della società Usa rientrano nell’ambito di applicazione dello Sportello unico (One-stop shop).

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• Protezione dati: al via il gemellaggio con la Bosnia-Erzegovina – 2 maggio 2024

• “Privacy Tour 2024”. L’iniziativa del Garante per promuovere la cultura della protezione dei dati e l’uso consapevole delle nuove tecnologie al Sud e nei piccoli centri. Seconda tappa Lecce, 20 aprile.
  Prossima tappa Messina, 3 maggio

• Privacy: bilaterale, avviata stretta cooperazione tra Garante italiano e Garante federale tedesco – Comunicato del 21 aprile 2024

• Privacy: bilaterale tra il Garante italiano e Garante federale tedesco – Comunicato del 18 aprile 2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it

Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali