THE ITALIAN DATA PROTECTION SUPERVISOR PRESENTS THE 2020 ANNUAL REPORT

On 2 July 2021, the Italian Data Protection Supervisor presented to Parliament its annual report on its activities in 2020.

In the year of the pandemic, the social distancing imposed to prevent the Covid-19 contagion has led us to digitalize most of the fundamental aspects of our lives, from social relations to the performance of work activities and the use of public services.

In the scenario that has come to shape, the discipline of personal data protection has taken on greater importance, as a requirement, as underlined by the President of the Authority, Pasquale Stanzione: “able to ensure the individual the conditions for the free construction of himself and society the right balance between private and public, between rights and freedoms”.

According to the Authority, the right to the protection of personal data is characterized by the ability to balance the different instances at stake, orienting today’s democracies towards an anthropocentric system, in which technology is at the service of man and not the other way around.

Against this background, 2020 was a year of intense activity for the Garante, which was called upon to respond to the challenges posed by the emergency context. By way of example, it is sufficient to mention Measure No. 64 issued on 26 March 2020, containing the first indications for the conduct of distance learning, or Measure No. 95 of 1 June 2020, concerning the authorization to process personal data carried out through the Covid-19 Tracking System of the Immuni App.

Between 1 January and 31 December 2020, the Authority received 1,387 data breach notifications (an average of 3.8 per day). Of these, 29% concerned public bodies, while the remaining 71% concerned private bodies. The volume of reports highlights how the digital transition, accelerated by the pandemic, has increased the vulnerability of online platforms, which are more exposed to cyber-attacks.

On the surveillance side, €38 million in privacy fines were collected in 2020. There were 184 corrective measures and sanctions imposed in 2020, including 45 warnings and 54 fines. In the same year, 21 inspections were carried out.

The EDPS also adopted 278 collegial measures in 2020 and responded to approximately 9,000 complaints and reports.

Regarding consultative activities, the Authority provided seven opinions on primary legislation and 60 opinions on regulatory and administrative acts, particularly on health, tax, justice, transport, digitization of the P.A., and statistics.

Concerning public relations activities, more than 15,000 queries were answered, particularly on issues relating to compliance with the GDPR (EU Reg. 679/2016). And again, issues concerning unsolicited telemarketing, video surveillance, public and private employment relationships.

We should also consider the communication of crime reports to the judicial authorities concerning violations in remote control of workers, unauthorized access to computer systems, unlawful processing of data, false statements made to the Guarantor.

Finally, the activity carried out by the Authority at the international level has been particularly significant, through the contribution made, among other things, within the European Data Protection Board (EDPB) and the Organisation for Economic Cooperation and Development (OECD), and the Council of Europe.

****

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PRESENTA LA RELAZIONE ANNUALE 2020

Lo scorso 2 luglio il Garante per la protezione dei dati personali ha esposto al Parlamento la relazione annuale sull’attività svolta nel 2020.

Nell’anno della pandemia, il distanziamento sociale imposto per prevenire il contagio da Covid-19, ci ha indotto a traslare sul digitale gran parte degli aspetti fondamentali delle nostre vite, dalle relazioni sociali allo svolgimento di attività lavorative, alla fruizione di servizi pubblici.

Nello scenario che si è venuto a plasmare, ha assunto maggior rilievo la disciplina a protezione dei dati personali, quale requisito, come sottolineato dal Presidente dell’Autorità Pasquale Stanzione: “in grado di assicurare al singolo le condizioni per la libera costruzione di sé e alla società il giusto equilibrio tra privato e pubblico, tra diritti e libertà”.

Secondo l’Autorità, infatti, il diritto alla tutela dei dati personali si caratterizza per la capacità di bilanciare le diverse istanze in gioco, orientando le democrazie attuali verso un sistema antropocentrico, in cui è la tecnica ad essere al servizio dell’uomo e non il contrario.

Poste tali premesse, il 2020 è stato un anno di attività intensa per il Garante, chiamato a rispondere alle sfide poste dal contesto emergenziale. A titolo esemplificativo, basti citare il Provvedimento emanato il 26 marzo 2020, n. 64, contenente le prime indicazioni per lo svolgimento della Didattica a distanza, o il Provvedimento n. 95 del 1° giugno 2020, riguardante l’autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di tracciamento Covid-19 dell’App Immuni.

Volendo rappresentare in termini quantitativi l’attività svolta dall’Autorità, di seguito alcuni numeri riportati durante la Relazione: nel lasso di tempo intercorrente tra il 1° gennaio ed il 31 dicembre 2020, le segnalazioni di data breach notificate al Garante sono state 1.387 (in media, 3,8 al giorno). Di queste, il 29% dei casi ha riguardato soggetti pubblici, mentre il restante 71%, soggetti privati. La mole di segnalazioni effettuate evidenzia come la transizione digitale, accelerata dalla pandemia, abbia aumentato la vulnerabilità delle piattaforme online, maggiormente esposte ad attacchi informatici.

Sul fronte della vigilanza, nel 2020 sono stati incassati 38 milioni di euro di sanzioni in ambito privacy. Le misure correttive e sanzionatorie irrogate nel 2020 sono state 184, tra cui 45 ammonimenti e 54 sanzioni pecuniarie. Nello stesso anno, sono state effettuate 21 ispezioni.

Il Garante ha, inoltre, adottato 278 provvedimenti collegiali durante il 2020 e risposto a circa 9.000 reclami e segnalazioni.

Per quanto riguarda l’attività consultiva, l’Autorità ha fornito 7 pareri su norme di rango primario e 60 su atti regolamentari ed amministrativi, concernenti in particolare sanità, fisco, giustizia, trasporti, digitalizzazione della P.A. e statistica.

In merito all’attività di relazione con il pubblico, si è dato riscontro ad oltre 15.000 quesiti, che hanno riguardato in particolare questioni sugli adempimenti connessi all’applicazione del GDPR (Reg. EU 679/2016). Ed ancora, temi riguardanti il telemarketing indesiderato, la videosorveglianza, i rapporti di lavoro pubblico e privato.

Si considerino, altresì, le comunicazioni di notizie di reato all’autorità giudiziaria, 8, riguardanti violazioni in materia di controllo a distanza dei lavoratori, accessi abusivi a sistemi informatici, trattamento illecito dei dati, falsità nelle dichiarazioni rese al Garante.

Infine, particolarmente rilevante è stata l’attività svolta dall’Autorità a livello internazionale, attraverso il contributo prestato, tra l’altro, nell’ambito del Comitato Europeo per la protezione dei dati (EDPB) e dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) e per il Consiglio d’Europa.