Una proposta di aggiornamento del GDPR
La commissione LIBE ha presentato un documento di aggiornamento del regolamento generale sulla protezione dei dati, che propone la bellezza di 173 emendamenti. Alcuni sono di natura assolutamente formale, ma altri sono veramente sostanziosi.
Come prevede la procedura legislativa dell’Unione Europea, questo documento verrà sottoposto all’esame della commissione europea e del parlamento, che esprimeranno le loro valutazioni.
Offro di seguito una rassegna degli emendamenti, che hanno attratto in modo particolare la mia attenzione, raccomandando comunque i lettori di esaminare attentamente l’intero documento allegato.
Una serie di emendamenti, di particolare interesse, riguarda il fatto che il regolamento non dovrebbe mai essere utilizzato come strumento per comprimere la libertà di informazione da parte dei giornalisti. L’esperienza maturata in questi anni dimostra infatti che talvolta il regolamento viene utilizzato come strumento di compressione e limitazione, andando contro gli obiettivi enunciati nel regolamento stesso.
Un altro aspetto che viene preso in considerazione riguarda il concetto di legittimo interesse, che è stato interpretato in modo assai diverso nei vari paesi europei.
Viene così meno il principio di armonizzazione che è un fondamento essenziale del nuovo regolamento.
Un altro principio fondante del regolamento è che le sue disposizioni non sono applicabili a dati anonimi. Il concetto di dato anonimo è alquanto ambiguo ed un emendamento chiede di precisare meglio i criteri, in base ai quali un dato diventa realmente anonimo.
Anche il concetto di “consenso informato” deve essere rivisto, alla luce delle tecnologie emergenti, con intelligenza digitale, che può modificare profondamente questo concetto.
Neanche a dirlo, un emendamento raccomanda alla commissione europea di introdurre concetti più vincolanti nell’elaborazione di documenti di informazione, che spesso sono talmente lunghi e complicati da creare un cosiddetto “stress da cookie”. Sappiamo tutti che molti studi legali sono attraenti, per i titolari, perché riescono ad elaborare delle informazioni praticamente inintelligibili per una persona normale.
Anche il fatto che l’accesso ai servizi venga spesso subordinato all’ottenimento di specifici consensi rappresenta una palese violazione dell’articolo 7, comma 4. A questo proposito, di particolare interesse è l’emendamento 57, laddove si esorta la commissione europea a creare uno strumento gratuito di elaborazione delle politiche in materia di protezione dei dati, che possa essere applicabile con facilità ad ogni sito Web ed essere quindi più facilmente compreso dagli interessati.
Un argomento assai importante riguarda le modalità di applicazione delle sanzioni, che, sulla base maturata in un paio d’anni, mostra come vi sia una grandissima differenza nel calcolo delle sanzioni, in situazioni simili, tra un paese ed un altro. L’esperienza mostra che questa situazione potrebbe indurre alcune imprese a prendere domicilio in paesi, che applicano sanzioni sistematicamente più basse, come ad esempio la Romania o la Grecia.
Vengono anche deplorate le lungaggini, in fase di istruttoria per l’applicazione di sanzioni, particolarmente riferite all’attività dei garanti olandesi e lussemburghesi. D’altro canto, il documento mette in evidenza come in molti paesi non vengono assegnate sufficienti risorse alle autorità Garanti, creando quindi ritardi ed inadempienze nell’applicazione del regolamento europeo.
Il documento chiede anche di chiarire meglio i casi in cui sia obbligatoria la segnalazione di una violazione dei dati all’autorità garante competente, in quanto l’attuale situazione dà luogo a numerose incertezze. Il documento anche mette in evidenza come l’espressione “senza ritardo” stata interpretata in modi diversissimi nei vari paesi europei.
Anche le esperienze maturate sinora nel famoso sportello unico, chiamato all’inglese “one stop shop”, hanno messo in evidenza numerose lacune, in funzione di quale sia l’autorità Garante cui ci si rivolge per primi.
L’attenzione dei legislatori si è poi concentrata su una migliore definizione delle modalità con cui occorre elaborare il documento ex articolo 25, a causa delle ben diverse interpretazioni date nei vari paesi.
Il documento poi deplora il fatto che spesso la commissione europea, nell’assumere una decisione di adeguatezza, informi la propria decisione più a indirizzi di tipo politico, che di natura giuridica.
Vengono sottolineati i problemi legati all’annullamento dell’accordo con gli Stati Uniti, a seguito della sentenza della corte di giustizia dell’unione europea del luglio 2020. Si tratta di una situazione di limbo giuridico, cui bisogna porre rimedio al più presto.
Si mette in evidenza il fatto che i codici di condotta ad oggi sono largamente sottoutilizzati, nonostante possano diventare preziosi strumenti di armonizzazione della protezione dei dati.
Viene messo in evidenza il fatto che il regolamento europeo purtroppo non è ancora sufficientemente evoluto, onde adattarsi a situazioni in continua evoluzione, come ad esempio l’Internet Of Things, l’intelligenza artificiale, le smart cities e simili.
Il documento presta attenzione anche alle numerose lagnanze che sono state già presentate, in relazione agli assistenti vocali, il cui funzionamento è assai oscuro per molti interessati e non sufficientemente illustrato dalle aziende, che tali dispositivi utilizzano.
Anche il rapporto fra la direttiva ePrivacy ed il regolamento generale potrebbe determinare un panorama giuridico frammentato nell’unione europea ed abbisogna di un rapido intervento armonizzativo. La trasformazione della direttiva ePrivacy in un regolamento ePrivacy potrebbe certamente dare un contributo positivo in questa direzione. Ricordo ai lettori che questo regolamento è ormai da quattro anni bloccato in seno al consiglio d’Europa.
Infine, il documento mette in evidenza come in tempi di COVID 19 molte prescrizioni del regolamento richiedano un’interpretazione più ampia del consenso, per consentire finalità di trattamento diverse da quelle inizialmente previste, a tutela della salute pubblica.
A questo punto, buona lettura a tutti i lettori!
Segue documento (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.