EDPB ed EDPS hanno rilevato numerosi fronti critici nella proposta della Commissione Europea in tema di Data Governance Act, dall’influenza della norma sul livello di protezione dei dati alla nomenclatura. Le due autorità ci hanno abituato a pareri molto rigorosi circa le ricadute del GDPR sulle varie normative europee, ad essa complementari, sottoposte ad un loro esame, dimostrato anche nell’opinion relativa alla Direttiva NIS e nello statement relativo al Regolamento e-Privacy.
L’obiettivo dichiarato delle due istituzioni è quello di evitare inutili sovrapposizioni fra normative dell’Unione e di garantire che non siano surrettiziamente introdotte nella disciplina UE delle disposizioni di fatto in deroga alle garanzie minime previste dal GDPR per i dati dei cittadini dell’Unione. Proprio in quest’ottica, l’EDPB ha individuato numerosi punti critici nella proposta di Data Governance Act che, nella versione attuale, rischia di comportare dannose sovrapposizioni con il GDPR. Vediamo i suggerimenti.
Le osservazioni dei Garanti privacy europei
Il Data Governance Act (DGA) è una nuova proposta di Regolamento Europeo che dovrebbe inserirsi nella strategia europea in materia di dati e mira a promuovere la disponibilità di dati nel settore pubblico e la loro condivisione a livello europeo. La proposta di Regolamento si propone di disciplinare i big data in possesso delle pubbliche amministrazioni favorendo il riutilizzo delle informazioni a livello comunitario e consentendone il trattamento per il tramite di un “intermediario per la condivisione dei dati personali”, figura che dovrebbe fungere da garante del rispetto del GDPR e del Data Governance Act nelle fasi di condivisione e riutilizzo dei dati.
Data Governance Act, la spinta verso “European data spaces” e “altruismo dei dati”
Il Data Governance Act propone anche di monetizzare la condivisione di alcuni dei dati delle pubbliche amministrazioni con imprese private e di consentirne invece la condivisione gratuita per finalità meritevoli. Nell’opinion resa dal Gruppo Europeo dei Garanti e dal Garante Europeo vengono rilevate numerose criticità in quanto la normativa mal si coordina, sotto alcuni aspetti, con il GDPR. Wojciech Wiewiórowski, Garante Europeo, in una nota diffusa il 10 marzo, ha ribadito la propria posizione secondo cui da grandi database derivano grandi responsabilità, che rendono necessarie adeguate salvaguardie per la protezione dei dati. Da questa responsabilità deriva innanzitutto una responsabilizzazione del legislatore quando affronta questa delicata materia, a tutela dell’acquis comunitario in tema di protezione dei dati personali.
I Garanti iniziano quest’opera di “responsabilizzazione” censurando l’articolo 1 della proposta di DGA, proponendo l’inserimento di una disposizione che affermi in modo chiaro e inequivocabile che il DGA non incide in alcun modo sul livello di protezione dei dati personali dell’individuo prescritto ai sensi le disposizioni del diritto dell’Unione e nazionale e non altera gli obblighi e i diritti previsti dalla normativa sulla protezione dei dati. Questo “suggerimento” si rende necessario in quanto una simile premessa è presente nella bozza di DGA, ma all’articolo 9, dove sono disciplinati i Fornitori di servizi di condivisione dei dati, con ciò dando l’impressione che le ulteriori disposizioni della proposta di regolamento siano slegate da quest’obbligo invece essenziale.
Gli errori nelle definizioni
Ancora errori formali vengono rilevati dai Garanti nelle definizioni contenute nella normativa, che propone definizioni come “titolare dei dati” (il soggetto che ha diritto a consentire accesso a dati personali e non che siano “sotto il suo controllo”) e “utente dei dati” (il soggetto che ha legittimo accesso a determinati dati personali e non), definizioni che non paiono coordinate con il GDPR e che potrebbero essere fonte di confusione. In particolare l’EDPB e l’EDPS si soffermano sulla definizione di “titolare dei dati”, figura non chiara nella sua sovrapposizione (che deve per forza essere precisa) con “titolare del trattamento” o “responsabile del trattamento” a seconda dei casi.
Il Garante poi avversa il Data Governance Act, nei punti in cui prevede la nomina di “autorità” che potrebbero entrare in conflitto con le Autorità Garanti nominate ai sensi del GDPR. Il Gruppo dei Garanti segnala il rischio di interferenze, di discrepanze nell’applicazione della normativa e di difficoltà nel monitoraggio. Quello che l’EDPB e l’EPDS vogliono evitare è la creazione di una sorta di “giurisdizione speciale privacy” quando si parla di big data in possesso alle pubbliche amministrazioni.
Il riutilizzo dei dati
Il Gruppo dei Garanti censura poi la normativa prevista in tema di riutilizzo dei dati da parte delle pubbliche amministrazioni, che mal si coordina non solo con il GDPR (dimenticando ad esempio di disciplinare la base del trattamento e la necessità di informativa agli interessati), ma anche con la Direttiva Open Data (Direttiva (UE) 2019/1024), che ad esempio propone delle disposizioni contrastanti in tema di costi di accesso ai dati (la Direttiva Open Data prescrive delle fee per coprire i costi di anonimizzazione dei dati, mentre la DGA non tiene conto del processo nell’imporre fee ai soggetti esterni che volessero avere accesso ai dati).
La proposta di regolamento poi appare mettere sullo stesso piano dati anonimi e pseudonimi, mentre per il GDPR esiste una distinzione fondamentale fra le due categorie di dati, mentre i dati anonimizzati non sono dati personali i dati pseudonimizzati rimangono infatti dati personali e vanno trattati di conseguenza nel pieno rispetto del GDPR.
Data sharing as a platform: i problemi
Ulteriore terreno di scontro è quello relativo al concetto di “data sharing as a platform”, ovvero una piattaforma che faccia da intermediario fra un numero indefinito di “titolari di dati” e “utenti dei dati”, progettata come una sorta di mercato dei dati aperto, che però risulta contrario ai principi di privacy by design e by default, trasparenza e limitazione delle finalità, questo a meno che la piattaforma non consenta una preselezione delle informazioni rilevanti basata sull’interesse del soggetto che vi accede.
Inoltre, i “data sharing service provider” dovrebbero essere sottoposti ad un regime di autorizzazione (mentre la direttiva propone unicamente un potere di veto basato sulla verifica di requisiti formali).
Data altruism, come funziona
Infine, il Gruppo dei Garanti censura la disciplina riservata al c.d. data altruism (ovvero l’utilizzo dei big data custoditi dalle amministrazioni per ragioni di interesse generale come ricerche scientifiche o il miglioramento di servizi pubblici). L’idea, senz’altro da accogliere con favore nei suoi intenti, viene censurata nelle modalità da EDPS e EDPS, che chiedono una modifica della disciplina con maggior rigore circa la raccolta del consenso al data altruism e sulla possibilità di revocarlo, nonché una miglior definizione delle finalità per cui i dati possono essere riutilizzati.
Il parere si chiude con una richiesta di rinominare la “European Data Innovation Board” introdotta con il DGA in “Commission Expert Group on Data Governance”, per evitare confusione con EDPB o EDPS.
Insomma, il Gruppo dei Garanti non “promuove” la DGA nemmeno nella scelta delle nomenclature ed è quindi evidente che la proposta di Regolamento dovrà passare per un lungo processo di revisione prima di poter superare incolume il vaglio dei Garanti comunitari (i pareri di EDPB e EDPS non sono vincolanti ma sono sempre tenuti in massima considerazione dal legislatore comunitario).
Lo scenario futuro
Il recente irrigidimento del Garante Europeo e dei Garanti nazionali è da ricondurre al fatto che il GDPR è ormai uno strumento normativo maturo e rodato e chiede un compiuto adeguamento non solo da parte dei soggetti a cui si applica la disciplina, ma anche da parte del legislatore quando accidentalmente “dimentica” la tutela della riservatezza nel normare aspetti complementari al GDPR. Il ruolo delle istituzioni autonome create in tema privacy è quello di ricordarci che il GDPR è la norma fondamentale in tema di protezione dei dati personali, e che i diritti che tutela non possono essere più considerati diritti di serie B in seno all’Unione.
Al “consolidamento” del GDPR come normativa ormai acquisita e approfondita da tutti i punti di vista, fa eco l’attività dei Garanti, sempre meno preoccupati del fatto che le loro sanzioni possano essere censurate perché premature e “ingiuste” nei confronti delle aziende e degli enti, e sempre meno in soggezione nei confronti delle amministrazioni pubbliche di cui sono emanazione (come dimostra la recente sanzione al MISE per la mancata nomina di un DPO). Il trend, ben rappresentato nel puntuale e rigido esame normativo destinato al Data Governance Act, verosimilmente non è destinato a cambiare, anzi, la privacy diventerà sempre più centrale con il passare del tempo e il consolidarsi della normativa GDPR porterà le autorità indipendenti ad una sua applicazione integrale e completa, senza più sconti per “errori di gioventù” che finora hanno graziato specie le piccole e medie imprese e le amministrazioni.
D’altro lato, solo questo sviluppo dell’attività dei Garanti è la chiave per una vera evoluzione del GDPR, finora poco messo alla prova nelle sue pur presenti idiosincrasie dal tutto sommato scarso contenzioso che l’ha interessato.
