Buchi nella tutela dei diritti e delle libertà fondamentali delle persone, supervisione frammentata delle autorità di vigilanza e rischio di incongruenze sul piano normativo con il GDPR: sono alcuni dei fronti critici che l’EDPB ha voluto portare all’attenzione della Commissione europea in relazione alle proposte legislative su DMA – Digital Markets Act e DSA – Digital Services Act. Rischi che si potrebbero configurare se venisse dato via libera alle proposte senza alcuna modifica.
Il parere dei garanti europei è incluso in una dichiarazione che riguarda tutto il pacchetto di proposte normativa in tema digitale e strategia dei dati dell’Unione europea, che comprende anche il DGA – Data Governance Act e il regolamento sull’Intelligenza artificiale.
Il Digital Service Act e la lezione del GDPR: un benchmark importante per il legislatore europeo
“Necessaria massima attenzione al parere e che la Commissione e il Parlamento UE vigilino sui punti sollevati da EDPB perché il rispetto del GDPR e la compatibilità della nuova regolazione col quadro normativo europeo siano effettive e non teoriche”, dice a Cybersecurity360.it Franco Pizzetti, ex garante privacy, professore emerito di diritto costituzionale all’università di Torino.
Indice degli argomenti
DMA e DSA, lo stato dell’arte
Riguardo al DMA – Digital Markets Act, ricordiamo che il 15 dicembre il Parlamento europeo ha approvato il mandato negoziale. Pochi giorni fa quindi sono stati ufficialmente avviati i negoziati con gli Stati membri UE, che inizieranno nel primo semestre 2022 sotto la guida della presidenza francese del Consiglio. Il DMA punta a stabilire una serie di regole per le grandi piattaforme digitali, rendendo il mercato più accessibile ed equo anche per le piccole realtà.
A proposito del DSA – Digital Services Act invece, il voto finale è atteso nella sessione plenaria del Parlamento europeo a gennaio 2022. L’obiettivo della normativa in questo caso è rendere l’ambiente digitale più sicuro, valorizzando qualità come la trasparenza, la conformità e la verificabilità. Le regole sono principalmente rivolte a social network, marketplace e piattaforme.
In questo scenario legislativo in fermento è intervenuto l’EDPB, che ha evidenziato alcuni possibili problemi che potrebbero presentarsi sul piano dei diritti e delle libertà delle persone, ma anche di operatività e di compliance al GDPR, se le regole venissero approvate senza modifiche.
Digital Markets Act e Digital Services Act, cosa dicono i garanti europei dell’EDPB
In particolare, i Garanti privacy europei, raggruppati nell’EDPB, hanno individuato questi possibili rischi come si legge in una nota ufficiale del Garante privacy italiano:
- vuoti nelle tutele dei diritti e delle libertà fondamentali degli individui;
- frammentata attività di supervisione delle autorità di vigilanza, situazione che potrebbe portare anche a possibili sovrapposizioni di competenze e strutture di controllo parallele;
- possibile rischio di incongruenze normative con il GDPR.
Oltre a ciò, l’EDPB si è dichiarato perplesso relativamente alla proposta della Commissione UE di realizzare spazi di dati settoriali, come quello per i dati riguardanti la Salute, chiedendo da subito garanzie precise in materia di data protection.
Tra le altre raccomandazioni, l’EDPB ha chiesto anche che sia prevista “una base giuridica esplicita per la cooperazione e scambio di informazioni tra autorità di controllo, sottolineando la necessità di garantire che quest’ultime dispongano di risorse sufficienti per svolgere i compiti aggiuntivi derivanti dalle nuove regole europee”, spiega la nota del Garante privacy italiano.
“Sebbene le nuove proposte regolatorie sembrino fissare nuove forme di controllo sull’applicazione delle nuove regole, con una nuova governance, resta importante e centrale il ruolo delle Autorità di protezione dei dati personali per garantire la compatibilità con i diritti costituzionali e la normativa privacy”, dice Pizzetti.
Pizzetti: “La nuova era digitale europea ha un problema privacy, bene EDPB-EDPS”
Un problema anche per le imprese
“L’allarme dei garanti europei è del tutto condivisibile la differenza di approccio non solo normativo ma anche rispetto ai ruoli delle singole autorità è un tema che vede e costantemente le imprese europee”, concorda Anna Cataleta, P4i.
“I giuristi e tutti coloro che operano nella filiera confrontarsi quotidianamente con asimmetrie di ogni genere. Si pensi all’ambito italiano e ad esempio al contesto lavorativo, lo abbiamo visto per le questioni legate allo stato emergenziale, l’art 88 del GDPR per i trattamenti dei dati nell’ambito lavorativo demanda agli stati membri prevedere norme più specifiche per assicurare protezione dei diritti e delle libertà e questo riguarda le norme fondamentali del settore”.
“Se poi invece ci caliamo nella normativa d’urgenza la peculiarità del contesto rende ancora più frammentato il quadro di insieme delle norme. Analoga questione se affrontiamo l’ambito pubblico in relazione alle condizioni di liceità , si pensi alle novità introdotte dal decreto capienze ed al cambio di paradigma introdotto in tema di trattamento di particolari categorie di dati”. “Per le imprese private che operano su più paesi poi la sfida è veramente ardua visto il costo della compliance e la necessità di abbattere gli stessi in ottica di uniformità di approccio e utilizzabilità degli asset”, aggiunge Cataleta.