Il Garante presenta la Relazione annuale per l’anno 2024

1. Il contesto e la nuova centralità dell’intelligenza artificiale

La Relazione 2024 mette in evidenza come l’intelligenza artificiale generativa e le tecnologie emergenti abbiano trasformato il panorama dei diritti digitali. Il Presidente Pasquale Stanzione definisce questa fase come una “rivoluzione antropologica” che richiede una “algoretica” – ovvero una dimensione etica strutturale nel governo tecnico dell’IA.

L’Autorità ha quindi perseguito un’impostazione di governance che bilanci innovazione e diritti fondamentali, concependo il binomio “potere–responsabilità” come cardine di una cultura normativa della protezione dei dati.

 

2. Numeri e risultati: dati essenziali dell’attività 2024

La Relazione rende conto di un’intensa attività operativa:

• Data breach: 2 204 notifiche, di cui 498 nel settore pubblico e 1 706 nel privato
• Sanzioni: oltre 24 milioni di euro riscosse, di cui una rilevante parte ascrivibile all’intervento nei confronti di OpenAI (ChatGPT)
• Provvedimenti collegiali: 835 adottati, 468 correttivi/sanzionatori
• Notizie di reato: 16 comunicazioni, in ambiti come il controllo a distanza dei lavoratori, l’accesso abusivo ai sistemi informatici e falsità nelle dichiarazioni
• Ispezioni: 130 controlli realizzati, con un livello coerente rispetto all’anno precedente
• Comunicazione e sensibilizzazione: oltre 16 045 quesiti al Garante, 50 comunicati stampa, 15 newsletter, 4 campagne informative, 52 video informativi

Questi dati evidenziano un impegno serrato su più fronti, con un approccio sia repressivo che preventivo.

 

3. Interventi settoriali: aree tematiche strategiche

L’analisi settoriale segue le direttrici indicate negli ambiti innovativi:

 

3.1 Intelligenza artificiale e modellizzazione dei dati

La Relazione ha posto al centro la conclusione dell’istruttoria su ChatGPT, con sanzione da 15 milioni di euro e contestuale comunicazione di obblighi informativi a OpenAI.

Sul tema della biometria, il Garante ha trasmesso un avvertimento formale a Worldcoin riguardo alla scansione dell’iride per acquisizione di criptovalute, evidenziando l’importanza di tutela e consapevolezza degli utenti.

È proseguita intensa attività di vigilanza sui sistemi di age verification e piattaforme social utilizzate da minori.

3.2 Protezione dei dati sanitari e ecosistemi digitali

Il Garante ha prodotto pareri rilevanti sull’Ecosistema dati sanitari e la Piattaforma nazionale per la telemedicina, ribadendo il dovere di conformità al GDPR, al Regolamento IA e al Decalogo IA istituito nel 2023.

3.3 Telemarketing, lavoro e PA

Numerosi provvedimenti sono stati indirizzati a società di telemarketing per pratiche invasive senza consenso adeguato.

Nel lavoro, sono emersi trattamenti illeciti: accesso improprio a dati sanitari dei dipendenti e uso non rispettoso dei sistemi di geolocalizzazione o controllo.

Analogamente, nel settore pubblico e privato (banche, assicurazioni, PA), sono stati segnalati difetti sistemici in materia di informativa, consenso, conservazione dati e accountability, con l’avvio di varie istruttorie.

3.4 Cybersecurity e minacce digitali

È stata elevata la vigilanza sulla sicurezza cibernetica nell’ambito di data breach e attacchi informatici. Il Garante ha collaborato con la Guardia di Finanza, intervenendo in infrastrutture vulnerabili di PA e imprese.

4. Dimensione internazionale e ruolo nel G7

L’Italia, sotto presidenza G7, ha promosso nel 2024 una riflessione europea multidisciplinare sulle implicazioni dell’IA, evidenziando il ruolo centrale delle Autorità per la protezione dei.

La tavola rotonda organizzata dal Garante a Roma ha accolto le Autorità analoghe dei Paesi del G7, esplorando soluzioni condivise per armonizzare innovazione e diritti.

Anche il Comitato Europeo per la Protezione dei Dati (EDPB) ha supportato la necessità di una governance robusta, con riferimento all’applicazione del GDPR e dell’AI Act.

 

5. Critica e prospettive future

Sul piano accademico e politico, la Relazione assume un valore paradigmatico: non solo bilancio, ma riflessione comparativa sulla democrazia digitale.

Il tema della “algoretica”, evocato dal prof. Stanzione, costituisce un punto di svolta: da regolazione meramente prescrittiva (GDPR) a riflessione filosofica e antropologica (ecosistema delle tecnologie). L’individuo resta al centro, non un mero dato.

Il futuro, a fronte dell’AI Act UE, comporta una sfida doppia: da una parte, applicare nei casi concreti la classificazione del rischio IA; dall’altra, trasferire il paradigma italiano (potere/responsabilità) a livello comunitario e globale.

 

Conclusione

La Relazione Annuale 2024 del Garante, presentata il 15 luglio 2025, rappresenta una pietra miliare nel cammino della protezione dei dati in Italia. Essa delinea una strategia tripartita: controllo, governance etica e dialogo istituzionale internazionale. In settori cruciali come l’IA, la biometria, la sanità, il lavoro e la PA, l’Autorità ha operato con rigore analitico e poteri sanzionatori, senza rinunciare ai cantieri aperti di prevenzione culturale.

L’approccio adottato conferma come la protezione dei dati, nel XXI secolo, non possa prescindere da un’etica algoritmica e da un dialogo sistemico tra istituzioni, tecnologi, imprese e cittadini.