Il 15 luglio 2025 è stato pubblicato sul sito ufficiale del Garante della Privacy il resoconto annuale, relativo al 2024, redatto dall’Autorità garante per la protezione dei dati personali, composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza, e concernente l’attività portata avanti dal Collegio nel corso del suo quinto anno di mandato.
Tra i diversi fronti su cui ha lavorato l’Autorità garante della privacy c’è quello dell’accelerazione della diffusione delle più nuove tecnologie, ossia dell’intelligenza artificiale, soprattutto quella denominata generativa, ossia quella in grado di generare contenuti, testi, immagini o video partendo da descrizioni scritte o altre richieste chiamati prompt.
Altro tema importante, soprattutto in ottica di tutela dei dati personali, e dunque particolarmente attenzionato dal Garante della privacy, è quello dell’addestramento dei sistemi di intelligenza artificiale tramite l’immissione di grandissime quantità di dati, tramite il meccanismo definito ‘web scraping’.
Sul sito dell’Autorità si può trovare una definizione approfondita: “Si parla di web scraping laddove l’attività di raccolta massiva ed indiscriminata di dati (anche personali) condotta attraverso tecniche di web crawling è combinata con un’attività consistente nella memorizzazione e conservazione dei dati raccolti dai bot per successive mirate analisi, elaborazioni ed utilizzi”.
Il rapporto 2024 dell’Autorità per la tutela dei dati personali
Come si legge nel rapporto: “Lo stesso G7 a presidenza italiana ha posto l’IA e la persona umana al centro delle proprie riflessioni. L’incontro, che si è tenuto a Roma organizzato dal Garante, ha offerto l’occasione per elaborare proposte comuni, di alto livello, per armonizzare le tecnologie emergenti con i diritti e le libertà della persona, ma anche per promuovere una più efficace azione di controllo sull’applicazione della normativa”.
“Una delle questioni più significative ha riguardato il tema della governance e del ruolo delle Autorità, la cui centralità è stata affermata sia dal Comitato europeo per la protezione dei dati sia dalle Autorità del G7. Il tema inoltre è stato evocato in più occasioni dal Presidente del Garante in sede di audizioni dinanzi alle commissioni parlamentari e attraverso i contributi resi a Parlamento e Governo sugli atti volti a disciplinare le applicazioni dell’IA a livello nazionale (ad es., in tema di age verification, sanità, lavoro).
I gestori di sistemi di intelligenza artificiale generativa sono stati al centro di interventi sanzionatori da parte del Garante: “Nell’anno trascorso l’Autorità ha concluso l’istruttoria nei confronti di ChatGPT e ha ordinato a OpenAI, la società che gestisce il chatbot, la realizzazione di una campagna informativa e il pagamento di una sanzione di 15 milioni di euro”.
Numeri dell’attività del Garante della privacy
Ecco alcuni dei numeri che emergono dal resoconto, relativamente alle richieste di intervento e alle segnalazioni inviate al Garante della privacy: in allarmante aumento quelle relative ai casi di revenge porn, pari ad 823 segnalazioni nel solo 2024, 835 i provvedimenti collegiali, di cui 468 correttivi e sanzionatori, 4.090 i reclami accolti e a cui è stata data risposta, 93.877 le segnalazioni riguardanti i dati online nelle diverse sfaccettature tra amministrazioni pubbliche, sanità, giustizia, cyberbullismo, revenge porn, cybersecurity, finanza e lavoro.
“Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 16 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, accesso abusivo a un sistema informatico, falsità nelle dichiarazioni e notificazioni al Garante. Le sanzioni riscosse sono state oltre 24 milioni di euro”.
Significativo il numero dei data breach (violazioni di dati personali) notificati nel 2024 al Garante da parte di soggetti pubblici e privati: 2204. Nel settore pubblico (498 casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie; nel settore privato (1706 casi) sono stati coinvolte sia PMI e professionisti sia grandi società del settore delle telecomunicazioni, energetico, bancario, dei servizi e delle telecomunicazioni. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio. Le ispezioni effettuate nel 2024 sono state 130 in linea rispetto a quelle dell’anno precedente”.