EDPB e EDPS (European Data Protection Board e European Data Protection Supervisor) hanno pubblicato un parere comune sul data services act. Evento importante, perché capita di rado che facciano pareri comuni.
Indice degli argomenti
La posizione EDPB e EDPS sul data services act
Le due istituzioni accolgono con favore gli sforzi compiuti per garantire che il Data Act non incida sull’attuale quadro di protezione dei dati. Allo stesso tempo, poiché la legge sui dati si applicherebbe anche a dati personali altamente sensibili, EDPB e EDPS esortano i colegislatori a garantire che i diritti degli interessati siano debitamente protetti.
La loro posizione comune è che “L’accesso, l’uso e la condivisione dei dati personali da parte di soggetti diversi dalle persone interessate dovrebbe avvenire nel pieno rispetto di tutti i principi e le norme di protezione dei dati. Inoltre, i prodotti dovrebbero essere progettati in modo tale da offrire alle persone interessate la possibilità di utilizzare i dispositivi in modo anonimo o nel modo meno invasivo possibile per la privacy”.
Le due autorità pongono l’attenzione a due punti della legge:
- quello che mira a regole armonizzate sull’accesso e l’uso dei dati generati da una vasta gamma di prodotti e servizi, compresi gli oggetti connessi (“Internet delle cose”), i dispositivi medici o sanitari e gli assistenti virtuali;
- quello che mira a rafforzare il diritto degli interessati alla portabilità dei dati ai sensi dell’art. 20 del regolamento generale sulla protezione dei dati.
Wojciech Wiewiórowski, EDPS, ha dichiarato: “I dati devono essere trattati secondo i valori europei se miriamo a plasmare un futuro digitale più sicuro. Mentre ci muoviamo per creare nuove opportunità di utilizzo dei dati, dobbiamo garantire che il quadro esistente di protezione dei dati rimanga completamente intatto. L’accesso ai dati da parte delle autorità pubbliche dovrebbe sempre essere adeguatamente definito e limitato a ciò che è strettamente necessario e proporzionato, il che non è il caso del progetto di legge sui dati”.
Cosa consiglia il parere comune
EDPB e EDPS consigliano ai colegislatori europei di prevedere limitazioni o restrizioni all’uso dei dati generati dall’uso di un prodotto o servizio da parte di qualsiasi entità diversa dalle persone interessate, in particolare quando i dati in questione potrebbero consentire di trarre conclusioni precise sulla vita privata delle persone interessate o comporterebbero altrimenti rischi elevati per i diritti e le libertà delle persone interessate.
Raccomandano di introdurre chiare limitazioni per quanto riguarda l’uso dei dati pertinenti a fini di marketing diretto o pubblicità; monitoraggio dei dipendenti; calcolo, modifica dei premi assicurativi; credit scoring. Le limitazioni sull’uso dei dati dovrebbero essere previste anche per proteggere gli interessati vulnerabili, in particolare i minori.
I timori sulla “necessità eccezionale”
Esprimono “le loro profonde preoccupazioni circa la legittimità, la necessità e la proporzionalità dell’obbligo di mettere i dati a disposizione degli enti pubblici degli Stati membri dell’UE e delle istituzioni, degli organi e degli organismi dell’UE (IUE) in caso di “necessità eccezionale”. Nel loro parere comune, sottolineano che qualsiasi limitazione del diritto alla protezione dei dati personali richiede una base giuridica che sia adeguatamente accessibile e prevedibile. “La base giuridica deve inoltre definire la portata e le modalità di esercizio dei poteri da parte delle autorità competenti ed essere accompagnata da garanzie per proteggere gli interessati da interferenze arbitrarie”.
Esortano i colegislatori a definire in modo molto più rigoroso le ipotesi di emergenza o di “necessità eccezionale” e quali organismi del settore pubblico e le istituzioni dell’UE dovrebbero essere in grado di richiedere i dati.
L’applicazione
Per quanto riguarda l’applicazione, accolgono con favore la designazione delle autorità di controllo della protezione dei dati come autorità competenti responsabili del controllo dell’applicazione della legge sui dati personali per quanto riguarda la protezione dei dati personali. Chiedono ai colegislatori di designare le autorità nazionali di protezione dei dati come autorità competenti di coordinamento ai sensi della legge sui dati.
Andrea Jelinek, presidente EDPB, ha dichiarato: “È fondamentale incorporare solidamente il GDPR nell’architettura normativa complessiva che si sta sviluppando per il mercato digitale. Non solo per questa proposta, ma anche per quanto riguarda altre proposte legislative, come il Data Governance Act o il Digital Markets Act. Dovrà essere garantita una chiara distribuzione delle competenze tra i regolatori pertinenti, così come un’efficiente cooperazione per evitare il rischio di una supervisione frammentata, la creazione di un insieme di regole parallele e per garantire la certezza del diritto per le organizzazioni e gli interessati.”
Il parere di Cataleta (P4i)
“Le autorità evidenziano diversi problemi che vanno sotto il cappello di una eccessiva complessità nei momenti applicativi delle norme alla luce dei diritti degli interessati – dice Anna Cataleta, avvocata, presso P4i. L’opinione in esame fa, dunque, sorgere una domanda: questa iperproduzione normativa a cui stiamo assistendo ha l’effetto di semplificare o, al contrario, di complicare il già complesso quadro normativo sulla strategia digitale dell’Unione europea?”. “Sono questioni cardine, che necessitano di un costante approfondimento”, continua.
