Il 2021 è stato un anno estremamente prolifico di regolamenti, linee guida e normative interne, specialmente per quanto riguarda la protezione dei dati personali. Nel corso dello scorso anno, infatti, il dibattito sul tema è stato particolarmente acceso, in particolar modo in Europa e negli Stati Uniti. Anche la Cina ha promulgato la propria legge sul trattamento dei dati personali, andando ad integrare all’interno della stessa numerosi principi che il GDPR aveva già fatto propri.
Sulla scorta di quanto avvenuto nel 2021, dunque, ci si aspetta che il 2022, specie in Europa, sarà un anno ricco di novità: a fine 2021, infatti, era stata annunciata la volontà di proseguire i negoziati su due dei principali atti normativi che andranno a comporre la complessiva strategia digitale dell’UE, intervenendo anche su aspetti strategici della normativa antitrust. Vediamo quali saranno esaminare quali saranno i prossimi sviluppi sul tema, in UE, USA e Asia.
Il Digital Service Act e la lezione del GDPR: un benchmark importante per il legislatore europeo
Indice degli argomenti
Privacy 2022, cosa succederà in Unione Europea
Come anticipato nelle premesse, il 2021 è stato, a livello europeo, un anno caratterizzato da un’intensa applicazione del Reg. UE 679/2016 e dal fermento normativo, sia sotto il profilo privacy che sotto il profilo antitrust. Protagonisti del 2021 (e, senza dubbio alcuno, del 2022), sono stati, in particolar modo:
- Digital Services Act (c.d. DSA);
- Digital Markets Act (c.d. DMA);
- Data Governance Act (c.d. DGA);
- Regolamento e-Privacy;
- Network and Information Security (NIS) Directive (c.d. NIS II).
La citata normativa rappresenta, ognuna per il proprio ambito e settore di competenza, la concreta realizzazione di un intero ecosistema normativo che interessa, a tutto tondo, piattaforme digitali, servizi digitali, marketing online, intermediari di dati e molto altro. Di rilievo saranno anche, nel 2022, l’AI Act, che avrà un forte impatto soprattutto sulle aziende e sui gruppi industriali che fanno uso di processi decisionali, e il Data Act, che – molto sinteticamente – estende alcuni degli obblighi legali previsti per i dati personali, comprese le restrizioni ai trasferimenti transfrontalieri, anche ai dati non personali.
L’attività di controllo
Con riferimento all’attività di controllo, si rileva come solo nello scorso anno, sono state emessi dalle Autorità europee alcuni dei provvedimenti più importanti avverso le grandi società del mercato digitale: in particolare, Amazon è stato multato per 746 milioni euro dall’Autorità del Lussemburgo, nei confronti di WhatsApp il Garante Irlandese ha erogato una sanzione da 225 milioni, ed è attualmente pendente una decisione di egual misura e rilevanza nei confronti di Facebook.
L’attenzione delle Autorità si è rivolta, in particolare, sull’analisi dei flussi di dati transfrontalieri, oltre che sulle basi legali per il trattamento dei dati personali. Pertanto, nel 2022 l’attività di verifica delle Autorità potrà, con tutta probabilità, dirigersi verso nuovi profili operativi del GDPR, che hanno rivestito particolare rilevanza nel 2021, come la protezione dei dati dei minori, la limitazione dell’uso dei dati sanitari e finanziari sensibili e la regolamentazione del marketing digitale.
Le linee guida
Nel 2021 si è assistito anche alla pubblicazione, da parte dell’European Data Protection Board (ex WP29), di una serie di linee guida e opinion di rilievo, volte ad armonizzare il testo del GDPR con le precedenti linee guida emanate dal WP29 e a fornire indicazioni di taglio maggiormente pratico a titolari e responsabili del trattamento (come, ad esempio, le linee guida sul significato di trasferimento e sulla notifica del data breach). Nonostante le linee guida non siano uno strumento normativo vincolante come leggi e regolamenti, ma rientrino nella categoria della c.d. soft law, rappresentano la summa delle best practices di settore e costituiscono elemento di valutazione nella fase di accertamento della violazione del GDPR da parte delle Autorità Garanti.
Nel 2022, pertanto, l’EDPB andrà ad affrontare nuovi ed importanti temi legati alla corretta applicazione del GDPR: con la pandemia da COVID-19, in particolare, sono sorte nuove problematiche relative all’utilizzo dei dati personali a fini di ricerca; è di fondamentale importanza, infatti, per i ricercatori di tutto il mondo, accedere ai dati sanitari per poter comprendere in che modo i virus si propagano e manifestano e, conseguentemente, sviluppare le relative cure in tempi molto ristretti (la produzione del vaccino da COVID-19 ne è stata una prova). Poiché i dati sanitari, ai sensi del GDPR, sono sottoposti a regole molto più rigide rispetto ai dati c.d. comuni, si rende più che mai necessario definire un quadro europeo coerente che disciplini, in relazione al loro utilizzo:
- Le basi legali possibili;
- Le ipotesi di deroga ad alcune delle norme del GDPR per finalità di ricerca scientifica, ai sensi dell’art. 89 GDPR.
Da ultimo si rileva come il Garante Irlandese abbia pubblicato, alla fine del 2021, una bozza del documento “Fundamentals for a Child-Oriented Approach to Data Processing”. Ciò rappresenta un indice di come, con la diffusione di sempre maggiori strumenti digitali che coinvolgono i minori, la privacy degli stessi rappresenterà uno dei temi più caldi del 2022.
Stati Uniti, le novità 2022 sul fronte privacy
Con riferimento agli Stati Uniti d’America, occorre distinguere due livelli di regolamentazione: quello federale e quello statale. A livello federale, sono stati fatti pochi progressi per l’emanazione di una legge sulla privacy, sebbene vi sia un consenso bipartitico e bilaterale sulla necessità di provvedere in tal senso. Motivo di detto ritardo è da ricercarsi prevalentemente nel teso clima elettorale e nella radicalizzazione degli interessi portati avanti dalle grandi imprese del settore, le quali, mediante l’attivazione di meccanismi di ricorso, rallentano l’avanzare dell’azione normativa. Tuttavia, rimane molto sentito, da parte di una folta schiera di attivisti ed esperti del settore, il bisogno di innovare ed ampliare la vigente normativa in materia di dati personali, al fine di dare nuova linfa a principi fondamentali come l’equità e la non discriminazione (specie per quanto riguarda lo sviluppo degli algoritmi che governano le piattaforme digitali).
In tale ottica, verso la fine del 2021, l’amministrazione Biden ha iniziato a lanciare una serie di iniziative politiche che riguardavano il tema della privacy, dell’intelligenza artificiale e dei processi decisionali automatizzati posti in essere dagli algoritmi. Tra questi, di particolare rilevanza sono gli eventi organizzati al fine di creare una “Carta dei diritti per una società automatizzata”, finalizzati ad offrire approfondimenti e analisi sui rischi, i danni, i benefici e le opportunità politiche dell’IA e di altre tecnologie automatizzate.
I provvedimenti statali
A livello statale, invece, oltre al California Privacy Rights Act (CPRA) e alle nuove leggi sulla privacy della Virginia e del Colorado, che entreranno in vigore nei prossimi 18 mesi, si prevede che circa una mezza dozzina di altri stati approveranno nuove normative sulla protezione dei dati personali. Stacey Gray, esperta di diritto statale del Future of Privacy Forum, prevede, in particolar modo, che la nuova legislazione sulla privacy maturerà in Maryland, Oklahoma, Ohio, New Jersey, Florida e Alaska. Ciò che ancora non è chiaro è se le singole leggi statali divergeranno dal quadro normativo previgente, o se presenteranno un c.d. diritto privato di azione (Private Right of Action – PRA).
Da ultimo, la Federal Trade of Commerce (FTC), sotto la guida della presidentessa Lina Khan, ha dichiarato che sono attualmente in lavorazione una serie di piani strategici finalizzati all’emanazione di nuove regole per frenare “gli abusi derivanti da modelli di business basati sulla sorveglianza” e sulle “pratiche di sicurezza permissive” e per “garantire che la decisione algoritmica non si traduca in una discriminazione illegittima”. Il buon esito di detti piani strategici, tuttavia, è stato messo in discussione, alla luce del dissenso manifestato dai commissari repubblicani della FTC.
Data protection nel 2022 in Cina e India
Anche in Asia, si assiste ad un trend normativo positivo, per quanto riguarda la protezione dei dati personali. In Cina, come detto in premessa, è entrata ufficialmente in vigore, il 1° novembre 2021 (meno di tre mesi dopo la sua approvazione da parte dell’Assemblea nazionale del popolo), la legge cinese sulla protezione delle informazioni personali (c.d. PIPL).
Come per il GDPR, la PIPL ha effetti extraterritoriali: ne consegue che le multinazionali e le aziende che operano nel settore tech e digital, come nei settori finanziario, del retail, dei beni di lusso, dell’automobilistica, ecc, dovranno provvedere, nel corso del 2022, a adeguare la propria struttura organizzativa e tecnica alle nuove norme privacy cinesi, al fine di poter garantire la piena conformità al PIPL ed evitare l’irrogazione di pesanti sanzioni da parte delle autorità competenti.
Per le aziende che operano su scala globale, una delle sfide principali del 2022 sarà riuscire a garantire il rispetto di una serie di norme sui trasferimenti di dati transfrontalieri: la legge cinese, infatti, impone requisiti di localizzazione dei dati per determinati settori e categorie di dati, mentre altre società possono esportare dati dalla Cina ma solo a determinate condizioni. In India, da ultimo, è stato presentato, alla fine del 2021, il nuovo disegno di legge sulla privacy. Tra le novità più rilevanti del disegno di legge presentato, vi è l’introduzione di una serie di obblighi di protezione dei dati non personali. Secondo gli esperti, detta legge sarà approvata dal parlamento indiano proprio nel 2022.