L’anno appena trascorso è stato spartiacque importante nel modo in cui l’Europa e l’Italia hanno approcciato le regole del mondo digitale e delle comunicazioni, anche dal punto di vista privacy.
Ma molti dei passaggi avvenuti nel 2020 matureranno nei prossimi mesi: il 2021 si annuncia un anno ricco di interesse in materia di regolamentazione della data protection.
Provvedimenti per prevenire la diffusione del Covid-19: linee guida e tutela dei diritti fondamentali
Di fondo, va considerato che lo scoppio della pandemia ha comportato una forzata accelerazione verso la digitalizzazione di imprese e pubbliche amministrazioni, attribuendo un fondamentale ruolo pubblico agli Internet Service Provider (ISP) e facendo emergere la necessità di trovare nuove forme di tutela per i diritti fondamentali nel nuovo ecosistema digitale.
In questo complicato scenario di crisi mondiale, l’Europa si è dimostrata in grado di affermare la sua leadership a livello globale, ricercando un equo bilanciamento tra diritti potenzialmente contrapposti – e costituzionalmente tutelati – e sancendo l’inizio dell’epoca di un nuovo “Umanesimo dell’era digitale”, in cui la tecnologia interviene quale agente equilibrante tra esigenze e tutele dei cittadini.
“La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale”: così recita il Considerando 1 del Regolamento Europeo 2016/679 (GDPR). Sulla base di questo assunto le Data Protection Authorities (DPA) degli Stati membri, guidate dallo European Data Protection Board (EDPB) e dallo European Data Protection Supervisor (EDPS), hanno elaborato Linee Guida volte a contemperare la necessità di contingentamento degli spostamenti individuali, al fine di contenere la diffusione del virus, con la tutela dei diritti fondamentali riconosciuti dalle fonti primario del diritto nazionale ed internazionale. Le indicazioni fornite a livello comunitario, hanno condotto molti Governi europei a non utilizzare sistemi di contact tracing che si avvalessero di tecnologie di geolocalizzazione GPS.
Gli Stati europei hanno scelto di non cedere alla tentazione rappresentata dal “Modello Asiatico” (che ha avuto tra i suoi massimi esponenti Cina e Singapore) che, sebbene abbia dato prova di efficienza e precisione nel contrasto alla pandemia, ha avuto prevedibili ed inevitabili derive distopiche derivati dalla cosiddetta sorveglianza di massa.
L’opzione scelta è stata quella di impiegare la meno invasiva tecnologia Bluetooth, con connessa pseudonimizzazione dei dati personali degli utenti che volontariamente avevano deciso di utilizzare i diversi strumenti di contact tracing avallati dalla normativa nazionale (tra le altre, la nostrana App Immuni). Questa scelta ha permesso di evitare il massivo e indiscriminato monitoraggio dei cittadini europei, consentendo comunque alle Autorità sanitarie di ricostruire la catena dei contagi, qualora se ne fosse manifestata la necessità.
Per quanto riguarda la possibilità per le imprese di adottare sistemi di tracciamento realizzati ad hoc per il monitoraggio dei contagi nei contesti aziendali, le Autorità nazionali hanno espressamente vietato il ricorso a sistemi di tracciamento “fai da te” e indicato il sistema nazionale come l’unico di riferimento. Con tale previsione si è voluto evitare che limitazioni alla sfera delle libertà individuali (in particolare dei diritti dei lavoratori) potessero essere imposte unilateralmente da parte di soggetti privati.
Come tratto distintivo e comune di tutti i provvedimenti adottati nel contesto emergenziale si può notare una particolare attenzione delle autorità europee verso la ricerca di un bilanciamento tra le esigenze di tutela della sanità pubblica e quelle a garanzia dei diritti individuali sanciti dalla Carta Europea dei diritti fondamentali. Si può quindi affermare che lo stato emergenziale non ha incrinato le salvaguardie e le conquiste dello Stato moderno ma au contraire ha contribuito a dimostrarne la resilienza anche di fronte all’imprevedibilità e di un nemico subdolo e invisibile qual è il Covid-19.
La Sentenza Schrems II: effetto dirompente e impatto globale
Il 2020 è stato altresì l’anno della caduta del Privacy Shield. Con la sentenza C-311/2018 del 16 luglio 2020 (meglio conosciuta come Schrems II), la Corte di Giustizia dell’UE ha profondamente alterato il framework normativo che disciplinava il trasferimento di dati personali dei cittadini europei verso gli Stati Uniti.
La Corte, rilevando come il trasferimento di dati personali verso gli Stati Uniti non offrisse standard di protezione conformi a quelli europei, ha invalidato – con effetto immediato – il Privacy Shield, uno dei principali strumenti giuridici utilizzati dai provider statunitensi per consentire alle organizzazioni europee di trasferire i dati personali negli USA, rendendo così illegittimi tutti i trasferimenti che si fondavano su tale accordo. Con tale provvedimento la CGUE si è anche pronunciata sui principi generali che si applicano al trasferimento di dati personali verso paesi extra-UE e ha rilevato come il GDPR imponga al data exporter di verificare se la legislazione del Paese di destinazione garantisca o meno un adeguato livello di protezione. Secondo quanto disposto dalla Corte, il Titolare del trattamento sarebbe tenuto a valutare, ex ante e caso per caso, se un determinato trasferimento di dati personali verso un Paese extra-UE offra garanzie adeguate ed eventualmente a prevedere l’implementazione di misure supplementari volte innalzare il livello di protezione per rendere legittimo il trasferimento.
La pronuncia della CGUE si può a tutti gli effetti definire una vera e propria prova di forza “muscolare” dei giudici europei nei confronti dello strapotere dei colossi tecnologici “made in USA”. È difatti impossibile non leggere tra le righe della pronuncia una decisa affermazione di quel sistema di “valori digitali” che sono alla base del nuovo ruolo assunto dall’UE negli ultimi decenni sulla scena mondiale, quello di vera e propria superpotenza regolamentare.
Durante l’autunno 2020, l’EDPS ha elaborato la strategia per i trasferimenti di dati extra-UE effettuati dalle Istituzioni Europee, indicando un termine perentorio entro cui ciascuna organizzazione è tenuta ad identificare i trasferimenti di dati potenzialmente rischiosi e prevedendo anche l’adozione di un case by case Transfer Impact Assessment (TIA) per verificare se un livello di protezione essenzialmente equivalente a quello europeo sia effettivamente garantito nel paese terzo verso cui i dati sono trasferiti. Poco dopo, anche l’EDPB è intervenuto fornendo delle proprie raccomandazioni (nello specifico una roadmap articolata in sei step successivi) al fine di orientare l’attività di tutti gli esportatori di dati europei nel complesso compito di valutare la legislazione dei paesi terzi e di individuare, se necessario, le adeguate misure supplementari da adottare.
Il riconoscimento dei principi democratici europei nel nuovo ambiente digitale
Nel dicembre 2020, Ursula Von der Leyen ha presentato il “Piano d’azione per la democrazia europea”, finalizzato a ridisegnare le fondamenta della resilienza europea nel contesto della transizione al digitale dei modelli economici e sociali. Il nuovo progetto politico prevede la proposta di un Digital Service Package, composto da un Digital Service Act (DSA) – avente lo scopo di regolamentare il mercato elettronico dominato dalle piattaforme – e da un Digital Market Act (DMA), con la finalità di stabilire limitazioni allo strapotere dei c.d. gatekeeper del web.
Nello specifico, con la presentazione della nuova bozza di DSA, la Commissione europea ha deciso di mantenere un nesso di continuità con la normativa previgente (la Direttiva CE 2000/31, meglio conosciuta come E-Commerce Directive), prevedendo però anche nuovi obblighi di due diligence per gli ISP, cosicché tutti gli operatori del web possano contribuire – in modo proporzionale all’impatto del loro operato dal punto di vista economico e sociale – alla creazione di un digital environment più sicuro e trasparente, nell’interesse di tutti gli utenti del web. La Commissione ha così marcato l’epocale transizione dal regime dell’irresponsabilità dei provider del web alla loro responsabilizzazione attraverso l’imposizione di nuovi obblighi (come l’esecuzione di risk assessment), riproponendo lo stesso principio di accountability sancito dal GDPR per i Titolari e Responsabili del trattamento. Il nuovo Digital Service Package si sofferma anche sulle potenzialità discriminatorie e sulle condotte anticompetitive poste in essere dai tech giant attraverso l’impiego di algoritmi il cui funzionamento appare molto spesso oscuro e al cui utilizzo non è previsto alcuno strumento di opposizione.
A questo rinnovato contesto normativo è stata affiancata anche la proposta di un Data Governance Act, un’ulteriore proposta di Regolamento che mira alla costituzione di un mercato unico europeo per i dati, in grado di dare nuova linfa all’economia europea post-Covid, attraverso la predisposizione di ampi database per il riutilizzo dei dati raccolti nei diversi Stati Membri. Infatti, le organizzazioni europee che si occupano di innovazione e di ricerca, per poter sfruttare il potenziale dell’intelligenza artificiale (e delle tecnologie derivate come il Machine Learning e Deep Learning) ed essere competitive sul mercato europeo e mondiale, devono essere nella condizione di poter attingere ad ampi bacini di dati (“big data made in UE”) organizzati e condivisi sulla base di norme comunitarie. Affinché questo ambizioso progetto europeo possa avere successo sarà di fondamentale importanza riuscire a trovare un giusto equilibrio tra la libera circolazione dei dati e la protezione degli stessi nel rispetto dei principi del GDPR. In tale contesto, un ruolo essenziale sarà giocato dalle nuove figure di intermediari previste dal Regolamento, dalla loro credibilità e dalla fiducia che riporranno in essi i soggetti interessati dell’Europa intera.
La Cybersecurity diventa un affare di Stato
Il 2020 è l’anno in cui è stata data una forte spinta anche sul tema della sicurezza informatica. Così come avvenuto per altri Paesi (ad esempio Francia) anche l’Italia si è adoperata per dotarsi di un Piano di Sicurezza cibernetica che protegga ed indirizzi la sicurezza di quegli operatori o fornitori che erogano servizi essenziali per lo Stato.
Sul tema della cybersecurity si sta in questi giorni consumando un aspro dibattito all’interno delle forze di maggioranza che appoggiano il governo Conte. Oggetto del contendere è l’Istituto italiano di cybersicurezza, la sua organizzazione ed i poteri a questo riconosciuti.
È attesa e imminente una riforma della normativa NIS strumento normativo che ha introdotto delle misure per un livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione.
Nuovi scenari per la Privacy: cosa aspettarsi nel 2021
Vaccini contro Covid-19
Per quanto riguarda il tracciamento di dati personali “particolari”, nuove questioni si porranno in relazione al monitoraggio della somministrazione dei vaccini per prevenire il contagio da Covid-19. Su questo tema si è già pronunciata la CNIL (Garante francese) con un parere circa la legittimità dei trattamenti da effettuarsi nel contesto delle campagne vaccinali indicando come, anche in questo contesto, debba essere garantito il rispetto dei principi sanciti dal GDPR. Nello specifico, la DPA francese ha indicato in dieci anni il periodo massimo di conservazione dei dati relativi alla somministrazione dei vaccini (fatti salvi casi eccezionali) ed ha rilevato la necessità di ricorrere alla pseudonimizzazione dei dati e ha statuito che l’accesso agli stessi debba essere effettuato solo da personale medico tenuto al rispetto del segreto professionale.
L’informazione sulla avvenuta o non avvenuta vaccinazione di un soggetto può facilmente assumere un carattere discriminatorio. Sarà dunque importante intervenire per fornire delle indicazioni in merito alla possibilità, per le diverse parti interessate, di richiedere tale informazione agli interessati. Pensiamo a datori di lavoro, compagnie aeree, soggetti pubblici, ecc.
Provvedimenti Post Schrems II
Nel corso del 2021 è plausibile ritenere che le DPA emetteranno i primi provvedimenti sanzionatori per trasferimenti di dati personali verso paesi extra-UE, non conformi alle disposizioni della Corte di Giustizia. Al momento in cui si scrive, nessuna sanzione è stata comminata in conseguenza del trasferimento di dati personali verso paesi che non offrono garanzie adeguate a quelle europee. Un caso isolato è un provvedimento emesso nel mese di dicembre dalla DPA svedese (Datainspektionen) in cui viene fatto espresso riferimento alla sentenza Schrems II. Nello specifico, l’Autorità svedese, rilevando illeciti trattamenti di dati sanitari, tra cui quelli effettuati attraverso servizi di Cloud Storage che trasferivano dati verso gli USA, ha sottolineato come il ricorso a cloud provider basati negli USA per il trattamento di dati particolari debba essere considerata di per sé un’attività rischiosa.
Trasferimento di dati personali verso il Regno Unito
Il 31 dicembre 2020 il Regno Unito è definitivamente uscito dall’Unione Europea ma, sulla base del “Trade and Cooperation Agreement” stipulato il 24 dicembre 2020 tra Europa e Regno Unito, quest’ultimo non deve essere considerato Paese “terzo” per un ulteriore periodo transitorio, la cui durata potrà variare sulla base di diversi fattori. In questo nuovo periodo di transizione è possibile che la Commissione Europea emani una decisione di adeguatezza con la quale riconosca al Regno Unito lo status di Paese terzo che garantisce un livello di protezione sostanzialmente equivalente a quello europeo. A tal proposito, inevitabili perplessità sorgono in relazione alla normativa britannica denominata “Investigatory Powers Act”, che consente alle autorità governative inglesi di accedere ai dati personali trasferiti con inevitabili limitazioni per i diritti dei soggetti interessati, e all’accordo “Access to Electronic Data for the purposes of Countering Serious Crime” stipulato tra Regno Unito e Stati Uniti per la condivisione delle informazioni. Nel caso in cui una decisione di adeguatezza non venga adottata dalla Commissione nel corso dei prossimi sei mesi, si ritiene che probabilmente sarà necessario effettuare una case by case analysis per valutare se, in relazione al singolo trasferimento, ai dati personali venga effettivamente garantita una tutela sostanzialmente equivalente a quella europea.
Provvedimenti nei confronti delle big tech
Le proposte di regolamento recentemente presentate (Digital Service Package e Digital Governance Act) devono ancora essere sottoposte all’intero iter legislativo previsto per le normative comunitarie. Non è pertanto probabile che tutti questi provvedimenti vengano approvati ed entrino in vigore entro la fine del 2021. In ogni caso, il tenore delle nuove proposte ha evidenziato gli ambiti che necessitano dei maggiori interventi e ha acceso una luce su aspetti meritevoli di analisi da parte delle autorità nazionali.
Già nel mese di dicembre la CNIL ha emesso due significativi provvedimenti sanzionatori nei confronti di Amazon (sanzionata per un importo pari a 35 milioni di euro) e di Google (sanzionata per un importo pari a 100 milioni di euro) a seguito di accertate violazioni del GDPR e della normativa francese in materia di cookies. È possibile prevedere che, nei prossimi mesi, le attività dei giganti del web saranno nel mirino delle DPA nazionali che potranno esercitare i propri poteri ispettivi per accertare eventuali violazioni a tutela dei diritti dei soggetti interessati.
Provvedimenti a tutela di soggetti vulnerabili
Il 22 dicembre 2020 il Garante per la protezione dei dati personali ha avviato un procedimento nei confronti di TikTok, il social network cinese che spopola tra i giovanissimi. L’istruttoria avviata dall’Autorità ha messo in luce numerosi trattamenti di dati personali di minori che risultano essere in contrasto con i principi del GDPR. In particolare, TikTok è accusata di poca trasparenza, di utilizzare impostazioni di default che consentono la massima visibilità dei contenuti pubblicati e di non adottare le essenziali precauzioni a tutela dei dati personali dei minori.
Solo alcuni giorni dopo, il 31 dicembre, il Tribunale di Bologna, Sezione Lavoro, ha emesso una storica sentenza riconoscendo la portata discriminatoria dell’algoritmo di “ranking reputazionale” utilizzato da Deliveroo, in quanto tale algoritmo non tiene conto delle motivazioni (ad esempio malattia o sciopero) per cui un rider non effettua consegne in determinate giornate. Deliveroo è stato sanzionato al pagamento di una somma pari a 50.000 di euro a favore dei ricorrenti.
Anche alla luce di questi recentissimi provvedimenti è plausibile ipotizzare che, da parte delle DPA e degli organi giurisdizionali nazionali, vi sarà una crescente attenzione alla tutela di soggetti particolarmente vulnerabili, i cui diritti sono esposti a rischi ulteriori quando sottoposti a trattamenti automatizzati mediante l’impiego di algoritmi o di altri sistemi innovativi ad alto contenuto tecnologico.
In conclusione
Si prospetta dunque un 2021 dalle molteplici novità, nel quale si consolideranno alcuni processi normativi già avviati e se ne definiranno degli altri.
La gestione della pandemia e la sicurezza delle informazioni saranno al centro dell’operato dei diversi stakeholders e sono assai plausibili nuovi interventi da parte degli organi di indirizzo e controllo per risolvere le inevitabili criticità connesse a questi temi.
