L’EDPB ha adottato negli ultimi anni differenti linee guida per far luce e chiarezza sulla disciplina della protezione dei dati personali. Tuttavia, l’approccio risulta altalenante: in alcuni casi un approccio estremamente pragmatico, in altri casi, invece, più teorico e garantista.
Ci si domanda allora che cosa l’EDPB voglia “fare da grande” e quale sia il ruolo chiave che intendere assumere in Europa. Un tema interessante da approfondire.
Indice degli argomenti
L’evoluzione delle pronunce dell’EDPB
L’European Data Protection Board (“EDPB”), come organo europeo indipendente, dall’adozione del Regolamento Europeo n. 679/2016 (“GDPR”) ad oggi, ha avuto più volte modo di pronunciarsi, tramite la pubblicazione di linee guida e raccomandazioni, su differenti tematiche di rilevante interesse in materia di protezione dei dati personali al fine fornire una migliore prassi e un corretto orientamento da seguire per le aziende o chiunque si trovi a dover trattare dati personali per lo svolgimento della propria attività.
Navigando sulla pagina web dell’EDPB si possono rinvenire tutte le pubblicazioni dell’EDPB adottate dai primi anni del 2017 ad oggi. Scorrendo i copiosi documenti si può notare un’evoluzione dell’approccio del comitato: se nei primi mesi di applicabilità del GDPR le linee guida avevano assunto un approccio più teorico volto allo studio e alla comprensione della normativa in materia di protezione dei dati personali, dal 2018 ad oggi sembravano aver assunto un approccio più pratico e vicino al lettore: le piccole e medie imprese impegnate nell’attuazione dei processi privacy trovavano conforto in quelli che erano i chiarimenti dettati dal comitato.
Tuttavia, dalla fine del 2019 e, a piccole riprese, nel corso dell’anno 2020-2021 l’EDPB sembra aver sposato nuovamente quell’approccio più teorico e filosofico adottato nei suoi primi tempi di vita che sembrava essere svanito nell’ultimo periodo.
Le linee guida sul social media targeting
Le linee guida che, in primis, sembrano far eccezione rispetto a questo processo evolutivo sono le linee guida n. 8/2020. Il documento citato, redatto al fine di chiarire gli aspetti privacy salienti sul social media targeting, a seguito di una consultazione pubblica, è stato adottato e pubblicato dal Comitato il 13 aprile 2021. Le linee guida 8/2020, pubblicate per la prima volta tra l’altro in uno sfortunato anno come quello della pandemia, proprio per la natura più teorica del loro contenuto, non hanno avuto una vita facile, ma hanno dato adito ad un acceso dibattito durante la finestra temporale della consultazione pubblica.
Trattamento dati personali nei social media: le nuove regole dell’EDPB
In un anno in cui gli unici introiti, per la maggior parte delle aziende, provenivano dal commercio online, ha sorpreso l’approccio prolisso e garantista dell’EDPB che si è mostrato, con grande scalpore, poco ancorato alle esigenze e alle difficoltà delle imprese. Il social media targeting nasce come uno strumento molto utile a creare un ecosistema della pubblicità online targettizzata sostenibile avvicinando tramite il web e in modo diretto e immediato aziende e potenziali consumatori incentrando l’attività di trattamento su criteri e interessi personalizzati, ma le regole a tutela della protezione dei dati personali poste dal nostro comitato sembrano aver sortito l’effetto opposto.
A far notare quanto appena affermato, più stakeholders si sono adoperati per chiedere all’EDPB di rivedere la propria posizione sul tema e semplificare il suo approccio molto garantista, dando vita alla consultazione pubblica dell’EDPB più partecipata della storia: tra i grandi nomi emerge Facebook, primo interessato, ma anche Zalando e l’IAB Europe.
Le osservazioni degli stakeholder
Le principali osservazioni mosse dai menzionati stakeholder avevano differenti punti comuni, ad esempio
- la contitolarità tra le piattaforme che erogano il servizio e le società che si avvalgono dello stesso con la conseguente necessità di predisporre tutti gli adempimenti privacy richiesti in contitolarità (accordo di contitolarità, DPIA, informativa..)
- la predilezione del consenso come più adeguata base giuridica per il trattamento.
Tali soluzioni – assolutamente corrette in via teorica – in sede di bilanciamento di interessi con l’operatività e il business e di valutazioni pragmatiche sull’utilizzo di tale strumento, sembrano, tuttavia, sia sfavorevoli per le aziende che poco trasparenti per l’utente. Con particolare attenzione verso la richiesta del consenso, si pensi – ad esempio – che un utilizzo ripetuto di tale richiesta all’utente, potrebbe inevitabilmente portare ad appesantire l’esperienza di navigazione.
L’utente medio per ogni pagina visitata si trova a dover prestare il proprio consenso su ogni pagina internet, richiesto tramite dei cookie banner che – il più delle volte – sono per di più molto poco trasparenti o eccessivamente lunghi, non lasciando quindi altra scelta all’utente che cliccare il tasto “accetta tutti i cookie” o “rifiuta tutti i cookie” per il rischio di non riuscire a comprendere pienamente i vantaggi per l’utente stesso o gli scopi che un simile trattamento persegue.
Una valutazione di una differente base giuridica, come ad esempio l’adempimento ad obblighi contrattuali o un legittimo interesse del titolare, potrebbe invece comportare comunque l’impegno e l’onere per il titolare del trattamento di adottare misure comunque adeguate a salvaguardia dell’interessato, in linea con un principio di trasparenza, continuando però a garantire una semplice navigazione sul sito e una migliore prospettiva di business per l’azienda nella sua fruizione dei servizi.
L’acceso dibattito, a seguito della chiusura della consultazione pubblica, ha portato sicuramente l’EDPB ad alcune riflessioni e ad una minima apertura nei confronti delle osservazioni degli stakeholder sopra menzionati, ma con un approccio sempre prudente specialmente nella valutazione di basi giuridiche alternative al consenso previsto dall’art. 7 del GDPR.
Le linee guida sulla privacy by design e by default
Altro esempio di linee guida lontane dalla graduale evoluzione delle pubblicazioni dell’EDPB (e da quelle che sono le esigenze pratiche delle aziende) sono le linee guida sulla privacy by design n. 4/2019, adottate a ottobre 2020.
Data protection by design e by default, le linee guida finali dell’EDPB: che c’è da sapere
Queste linee guida chiariscono in maniera molto semplice il significato dei criteri indicati dall’art. 25 GDPR e di cui tenere conto per l’applicazione del principio di privacy by design, senza però consigliare un approccio pratico su come coinvolgere le linee di business nell’avvio di un’attività e come adottare puntualmente i criteri da essa illustrati.
Linee guida sugli esempi di notifica data breach
In senso opposto si muovono, invece, le recentissime linee guida sugli esempi riguardanti la notifica della violazione dei dati di gennaio 2021 nonché l’Addendum alle linee guida 1/2018 sulla certificazione e i criteri di valutazione ex. Art. 42-43 GDPR di aprile 2021.
Le prime, richiamando le loro antenate sul data breach di ottobre 2017 del WP29, con 18 casi pratici chiariscono al lettore cosa può causare un data breach, quale deve essere la valutazione di rischio da effettuare e le misure volte a mitigare il danno. Queste linee guida, se pur ancora in consultazione pubblica, in maniera estremamente chiara si avvicinano non solo ai legali e agli studiosi della materia, ma anche al cittadino europeo più inesperto e alle piccole e medie imprese che vogliono salvaguardare la protezione dei dati che trattano per lo svolgimento della propria attività.
L’addendum sulla valutazione delle certificazioni
L’Addendum alle linee guida del 1/2018, invece, se pur ancora in consultazione pubblica, si è mosso anch’esso verso l’orientamento più pragmatico e recente del nostro Comitato. L’Addendum, integrando le linee guida più teoriche pubblicate a giugno 2019, si prefigge l’obiettivo di fornire uno schema guida da un lato per gli enti certificatori nella redazione dei criteri per conseguire la certificazione ai sensi dell’artt. 42 e 43 del GDPR, dall’altro per le stesse Autorità Garanti nazionali e europee per la loro relativa approvazione.
Il documento, attraverso esempi e schemi, stabilisce chiaramente quali dovranno essere gli indirizzi per la definizione di detti criteri.
Dopo qualche passo indietro rispetto alla graduale evoluzione dell’approccio, grazie alla prima pubblicazione di queste linee guida, l’EDPB sembra quindi tornare sul percorso da esso stesso tracciato dal 2018 ad oggi.
Considerazioni finali
Da questa breve analisi emergono quindi due approcci tra loro radicalmente differenti: da un lato un approccio pragmatico che pone l’EDPB come promotore della normativa europea privacy ma vicino alle aziende, attento anche ai loro interessi e alle loro preoccupazioni di bilanciamento tra le esigenze di garantire l’operatività e lo sviluppo del business ma al contempo la compliance con il quadro normativo europeo, mentre dall’altro un altro approccio più teorico e garantista, se pur molto analitico, che si limita solamente a far luce sul dettato normativo.
Alla luce di queste considerazioni, ci si domanda tuttavia quale potrà essere il percorso e l’approccio dei prossimi anni dell’EDPB: se teorico o pragmatico.
