L'authority: conciliare trasparenza e privacy
Intervista ad Agostino Ghiglia, componente del Garante per la protezione dei dati personali
(di Alessandro Longo, IlSole24Ore, 7 febbraio 2025)

«Comuni – e non solo – attenti a ciò che pubblicate. I principi di trasparenza online della pubblica amministrazione vanno contemperati con le norme e i diritti di privacy. Nell’era dell’intelligenza artificiale il tema è ancora più cogente», ricorda Agostino Ghiglia, del collegio del Garante privacy. Commenta al Sole 24 Ore i timori del Comune di Milano, esposti ad Anac, sul rischio di pubblicare sul sito dati sensibili che finiscono in pasto ai sistemi di Ia.

La prima reazione del Garante è la sorpresa. «Abbiamo avuto parecchi casi in questi anni, con relative sanzioni, ai Comuni e ormai dovrebbe essere chiaro cosa si possa pubblicare e cosa no». Eppure, a quanto pare non è ancora un tema scontato. Soprattutto se subentra la variabile Ia, ad aumentare i rischi per i diritti individuali e collettivi.

Cominciamo quindi dalle basi. Le norme privacy prevedono che prima di tutto va verificata la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale. Il soggetto pubblico deve poi limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa. «Liste di assegnatari da cui possa emergere una situazione di disagio non si possono pubblicare, delle liste di concorsi solo i vincitori, la maggior parte di assegnazioni sono pseudonimizzate…», riassume Ghiglia.

E l’Ia? «Se si rispettano questi principi privacy, ormai consolidati, si evitano già molti problemi di possibili profilazioni di massa fatta con l’Ia - dice Ghiglia - perché i dati disponibili al sistema per training o per le risposte agli utenti sono minimizzati». Ma non basta: «Resta il problema del web scraping, il rastrellamento massivo di dati web fatto dall’Ia. Nel 2024 abbiamo dato alcune indicazioni per difendersi da questi rischi», aggiunge. Suggerisce ai titolari del trattamento dati alcune tra le misure concrete da adottare: la creazione di aree riservate, accessibili solo previa registrazione, in modo da sottrarre i dati alla pubblica disponibilità (e quindi all’Ia); inserire clausole anti-scraping nei termini di servizio dei siti; monitorare il traffico verso le pagine web per individuare eventuali flussi anomali di dati in entrata e in uscita; interventi tecnologici sui siti web per vietare, in automatico, alle aziende di AI lo scraping (nei file robots.txt). Il Garante si riserva comunque di trattare la questione in modo più strutturato e cogente, in varie istruttorie in corso sull’IA: il problema è aperto.