Con la pubblicazione della Joint Opinion 2/2022 dell’European Data Protection Board (“EDPB”) e dell’European Data Protection Supervisor (“EDPS”), le Autorità europee hanno nuovamente portato alla luce alcune incompatibilità tra la proposta di regolamento sulle regole per il corretto utilizzo e accesso ai dati (“Data Act”, il cui testo definitivo deve ancora essere sottoposto all’approvazione del Parlamento dell’UE) e la normativa europea in materia di data protection, evidenziando le principali criticità che l’impostazione della Proposta potrebbe comportare per la protezione dei dati degli individui.
Data Act e GDPR, prove tecniche di convivenza: novità e punti di contatto
L’EDPB e l’EDPS hanno posto un focus sull’attuale formulazione del diritto di accesso rispetto al corrispondente diritto alla portabilità disciplinato dal Regolamento Generale sulla protezione dei dati personali n. 679/2016 (“GDPR”). Vediamo perché.
La Joint Opinion
La Joint Opinion on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data 2/2022 (di seguito per brevità “Joint Opinion”) rappresenta il secondo intervento congiunto del 2022 da parte dell’EDPB e dell’EDPS, oltre che il secondo intervento sulla Proposta, che, come noto, se approvata dal Parlamento dell’Unione Europea, andrà ad arricchire la normativa europea sul mercato digitale unico europeo, nel quadro della più ampia strategia per i dati dell’UE, contribuendo a creare, secondo gli obiettivi espressi dal legislatore, un’economia basata sui dati solida ed equa, con l’obiettivo di guidare la trasformazione digitale del decennio 2020-2030.
Proprio in ottica di “mercato dei dati”, tuttavia, emerge dalla Joint Opinion in commento il timore dell’EDPB e dell’EDPS che la Proposta, nel suo testo attuale, possa spingere a uno sviluppo verso la “mercificazione” dei dati personali, per cui gli stessi sarebbero visti come un semplice bene commerciabile, con il contestuale e inevitabile rischio di compromissione dei diritti alla riservatezza e alla protezione dei dati personali disciplinati dal GDPR.
Proprio sotto tale profilo, diviene, pertanto, necessario soffermarsi su un equilibrio che possa contemperare, in maniera sostanziale e con riguardo ai singoli diritti incardinati all’interno della Proposta, le tutele apprestate, da un lato, dal GDPR e, dall’altro, dal Data Act stesso; mentre pare insufficiente a rassicurare le Autorità europee sulla data protection la mera affermazione di principio contenuta all’art. 1, par. 3, della Proposta, che, parafrasando, statuisce la compatibilità del Data Act alla normativa in materia di protezione dei dati personali nel caso in cui i dati in oggetto abbiano carattere personale ai sensi dell’art. 4, par. 1, n. 1), GDPR.
Alla luce della Joint Opinion, nei prossimi paragrafi verranno dunque esaminati in particolare i profili di criticità emersi con riferimento al diritto alla portabilità, di cui al GDPR, e al diritto di accesso come disciplinato nella Proposta; le conclusioni del Consiglio europeo del 21 e del 22 ottobre 2021 hanno, d’altro canto, riconosciuto la centralità dei predetti diritti sottolineando l’importanza di compiere rapidi progressi sulle iniziative esistenti e future, riconoscendo il valore dei dati in Europa, in particolare attraverso un quadro normativo globale che favorisca l’innovazione e faciliti tanto la portabilità dei dati quanto l’equo accesso ai dati e che garantisca l’interoperabilità.
Il diritto alla portabilità tra GDPR e Data Act
Punto di “attrito” tra il Data Act e il GDPR, ad avviso delle Autorità europee, è da rinvenirsi nel diritto alla cd. “data portability”, che viene menzionato una prima volta all’interno del Considerando 31 della Proposta.
Oltre ad essere un elemento centrale nel futuro mercato dei dati europeo, la data portability riveste già da qualche anno un ruolo fondamentale all’interno del GDPR, costituendo il diritto dell’interessato, ai sensi dell’art. 20, par. 1, di ricevere “in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e [di] trasmettere tali dati a un altro titolare senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: a) il trattamento si basi sul consenso ai sensi dell’art. 6, par. 1, lett. a) o dell’art. 9, par. 2, lett. a) o su un contratto ai sensi dell’art. 6, par. 1, lett. b); e b) il trattamento sia effettuato con mezzi automatizzati”; e ai sensi del par. 2, di “ottenere la trasmissione diretta dei propri dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile”.
Dalla lettura della disposizione, emerge la funzione di controllo e di “possesso” dei dati, ma anche di condivisione e interoperabilità che il diritto in questione persegue già nella normativa sulla data protection, consentendo difatti all’interessato di condividere i propri dati in formato strutturato e interoperabile a più titolari del trattamento e facilitando, di talché, la circolazione e il libero (in quanto fondato sulla volontà espressa dell’interessato) scambio dei dati personali.
Rispetto a ciò, il Considerando su citato dichiara la volontà di rendere la Proposta compatibile alla normativa in materia di data protection, concedendo agli utenti il diritto di accedere e di mettere a disposizione di terzi qualsiasi dato generato dall’uso di un prodotto o servizio correlato “indipendentemente dalla eventuale natura personale del dato” e “dalla base giuridica del trattamento”.
Difatti, continua il Considerando 31, a differenza degli obblighi tecnici previsti dall’art. 20 del GDPR, la Proposta obbliga e garantisce la fattibilità tecnica dell’accesso di terzi per tutti i tipi di dati che rientrano nel suo ambito di applicazione, siano essi personali che non personali.
Le criticità del diritto di accesso nel Data Act: soggettività e liceità alla luce del GDPR
Alla luce di quanto finora esposto, dunque, il diritto alla portabilità, come formulato all’interno del GDPR, si intreccia inevitabilmente al tema dell’accesso e della condivisione dei dati, che permea il testo della Proposta e ne costituisce senza ombra di dubbio il cuore dell’impianto.
In particolare, l’art. 3, par. 1 del Data Act prevede che qualora l’utente non possa accedere direttamente ai dati generati dal prodotto, il titolare del trattamento (“data holder”) gli mette a disposizione i dati generati dall’utilizzo di un prodotto o servizio connesso senza ingiustificato ritardo e gratuitamente, sulla base di una semplice richiesta per via elettronica ove tecnicamente fattibile.
Tuttavia, la finalità perseguita da tale diritto pare solo apparentemente in linea con quella del “corrispondente” diritto alla portabilità dell’interessato nel GDPR; ciò in base alla definizione stessa di utente (“user”) fornita dal Data Act, nonché alla luce del diverso rapporto di titolarità dei dati esistente tra le due normative.
Come evidenziato dall’EDPB e dall’EDPS, la definizione di utente (“user”) nel Data Act ricomprende tra i fruitori di prodotti o servizi che generano dati, ad ogni effetto, anche le persone giuridiche oltre alle persone fisiche (cfr. art. 1, par. 1, n. 5); con la conseguenza che, in caso di esercizio del diritto di accesso ai sensi del Data Act di dati personali da parte di un ente giuridico, il produttore/titolare dei dati (“data holder”) sarebbe obbligato a fornire l’accesso e consentire lo sfruttamento, a fronte dell’impotenza dell’interessato, persona fisica cui i dati sono riferiti.
Sotto questo punto di vista, l’EDPS e l’EDPB suggeriscono di aggiungere alla definizione di utente quella di interessato e di differenziare chiaramente le situazioni in cui l’utente è anche interessato del trattamento (dunque quando i poteri ricadono sulla medesima persona fisica) dalla situazione in cui l’utente non coincide con l’interessato.
Inoltre, sempre sotto tale profilo, le due autorità suggeriscono che l’accesso ai dati possa ritenersi lecito in quanto fondato sulla base dell’art. 6, par. 1, lett. c) del GDPR; di conseguenza, date le complesse interazioni e sovrapposizioni tra i diritti dell’interessato ai sensi del GDPR e i diritti e gli obblighi stabiliti dalla Proposta, le Autorità europee suggeriscono di modificare il Data Act per specificare che qualsiasi clausola contrattuale – inserita in un accordo di condivisione tra titolari (“data holder”) e destinatari dei dati (“data recipients”) – che sia lesiva, deroghi o modifichi sostanzialmente dei/i loro diritti alla riservatezza e alla protezione dei dati, non possa essere vincolante per gli interessati stessi.
Conclusioni
Pur non avanzando pretese di esaustività, pare opportuno rilevare che i profili appena esaminati paiono centrali nella nuova disamina compiuta dall’EDPB e dall’EDPS sulla Proposta, specie in virtù della considerevole preoccupazione manifestata dalle autorità sul tema, per cui si auspica una revisione del testo, alla luce delle predette raccomandazioni, per una migliore compatibilità ed interoperabilità tra le due normative, in modo da evitare la vanificazione della finalità di armonizzazione delle norme a tutela e protezione dei dati personali.
Nonostante siano stati incrementati gli sforzi compiuti per garantire che la proposta non incida sull’attuale quadro della protezione dei dati personali – anzi ne rappresenti integrazione – l’EDPB e l’EDPS hanno, pertanto, correttamente rilevato come maggiori tutele debbano essere apprestate in tal senso per evitare che, concretamente, quando la condivisione abbia ad oggetto anche dati personali riferiti a persone fisiche, i principi discendenti dal GDPR siano compromessi in favore degli obiettivi perseguiti, non solo con il Data Act, ma, più in generale, con il “pacchetto” di norme europee sul mercato dei dati.
