Il Garante privacy europeo mette i paletti al Data act: nella sua formulazione attuale non rispetta i principi di massima tutela dei dati personali e esige alcune modifiche e precisazioni. Nel parere congiunto espresso dal Garante europeo della protezione dei dati (Edps) e dal Board europeo per la protezione dei dati (Edpb) si chiede ai legislatori dell’Ue di intervenire sulle misure previste per non inficiare il quadro di protezioni del Gdpr.
“I dati devono essere elaborati secondo i valori europei se vogliamo a creare un futuro digitale più sicuro. Mentre ci muoviamo per aprire nuove opportunità per l’utilizzo dei dati, dobbiamo garantire che il quadro di protezione dei dati esistente rimanga completamente intatto. L’accesso ai dati da parte delle autorità pubbliche dovrebbe sempre essere adeguatamente definito e limitato a quanto strettamente necessario e proporzionato e questo non è garantito dalla proposta di Data act nella sua forma attuale“, ha affermato l’Edps Wojciech Wiewiórowski.
Tutela dei dati, dall’IoT alle indagini di Polizia
Due i fronti problematici. Uno è la raccolta dei dati personali da parte degli oggetti connessi e degli assistenti virtuali e l’uso dei dati ai fini del marketing, del calcolo dei premi assicurativi, del controllo dei dipendenti e dell’assegnazione di un prestito. Il secondo è l’apertura dei dati alle istituzioni e alle forze dell’ordine dell’Ue in caso di “necessità eccezionali”: va chiarito meglio quali siano questi casi per evitare abusi.
Il Data act mira a stabilire regole armonizzate sull’accesso e l’uso dei dati generati da un’ampia gamma di prodotti e servizi, inclusi oggetti connessi (Internet of things), dispositivi medici o sanitari e assistenti virtuali. La legge sui dati mira anche a rafforzare il diritto degli interessati alla portabilità dei dati ai sensi dell’art. 20 del Gdpr.
Il Garante e il Board dicono di accogliere con favore gli sforzi compiuti per garantire che il Data act non influisca sull’attuale quadro di protezione dei dati. Ma, poiché la legge sui dati si applicherebbe anche ai dati personali altamente sensibili, le due autorità consigliano ai colegislatori di prevedere limitazioni o restrizioni all’uso dei dati generati dall’uso di un prodotto o servizio da parte di qualsiasi entità diversa dagli interessati, in particolare quando i dati in questione possono consentire intrusioni nella vita privata o comporterebbero rischi elevati per i diritti e le libertà personali.
Le raccomandazioni:
I Garanti raccomandano di introdurre chiare limitazioni per quanto riguarda l’uso dei dati pertinenti ai fini del marketing diretto o della pubblicità; monitoraggio dei dipendenti; calcolo, modifica dei premi assicurativi; valutazione del merito creditizio. Dovrebbero inoltre essere previste limitazioni all’uso dei dati per proteggere gli interessati vulnerabili, in particolare i minori.
L’Edps e l’Edpb esprimono le loro profonde preoccupazioni circa la liceità, la necessità e la proporzionalità dell’obbligo di rendere i dati disponibili agli enti del settore pubblico degli Stati membri dell’Ue e alle istituzioni, organi e agenzie dell’Ue in caso di “necessità eccezionali” . Qualsiasi limitazione al diritto alla protezione dei dati personali richiede una base giuridica adeguatamente accessibile e prevedibile, si legge nel parere congiunto. La base giuridica deve inoltre definire la portata e le modalità dell’esercizio dei poteri da parte delle autorità competenti ed essere accompagnata da garanzie per proteggere gli interessati da interferenze arbitrarie. Ai colegislatori viene chiesto di definire modo molto più rigoroso le ipotesi di emergenza o di “necessità eccezionale” e quali enti dovrebbero poter richiedere dati.
Rispettare le linee del Gdpr in tutta la legislazione Ue
Andrea Jelinek, presidente dell’Edpb, ha dichiarato: “È fondamentale incorporare saldamente il Gdpr nell’architettura normativa complessiva che si sta sviluppando per il mercato digitale. Non solo per questa proposta, ma anche per altre proposte legislative, come il Data governance act o il Digital markets act. Sarà necessario garantire una chiara distribuzione delle competenze tra le autorità di regolamentazione competenti, nonché una cooperazione efficiente per evitare il rischio di una supervisione frammentata, l’istituzione di una serie parallela di regole e garantire la certezza del diritto per le organizzazioni e gli interessati”.
