Il 25 maggio 2024 il GDPR ha compiuto sei anni; in attuazione di un meccanismo da esso stesso introdotto, deve fare il “tagliando”. Secondo l’art. 97 del GDPR «entro il 25 maggio 2020 e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del presente regolamento».
La prima relazione della Commissione UE sul GDPR è stata adottata il 24 giugno 2020; la prossima è prevista per la metà del 2024. La valutazione e il riesame consistono nel riconsiderare l’intero GDPR alla luce della sua applicazione e delle evoluzioni del mercato digitale.
Nonostante essi debbano coprire l’intero testo normativo, sono due i temi che l’art. 97 segnala come particolarmente meritevoli di una verifica periodica: la disciplina del trasferimento di dati personali verso Paesi terzi e l’effettivo funzionamento della cooperazione fra le Autorità di controllo e della coerenza nell’applicazione del GDPR.
La consultazione pubblica della Commissione
All’inizio di quest’anno, la Commissione UE ha aperto una consultazione pubblica, dando ai cittadini e a tutti i portatori di interesse (associazioni di categoria, imprese, studi legali ovunque stabiliti, dunque anche extra UE) circa un mese di tempo (fino all’8 febbraio 2024) per presentare i loro contributi. Nella comunicazione con l’invito ad esprimersi nella consultazione, la Commissione UE ha chiarito che il problema che l’iniziativa intende affrontare è il modo in cui il GDPR è applicato negli Stati membri. I portatori di interesse sono stati invitati a compilare un questionario strutturato, con domande che coprono l’intero testo normativo.
I contributi sono stati in totale 260. Fra essi, quasi metà è stata presentata da privati cittadini, non sempre europei, spessissimo anonimi.
I contributi degli stakeholder
A seguire, mi concentrerò sui contributi degli stakeholder del mondo dell’impresa (associazioni di categoria e singole società) giacché le imprese sono fra i principali destinatari di obblighi derivanti dal GDPR, delle linee guida varate periodicamente dal Comitato Europeo (EDPB) e delle sanzioni irrogate dalle Autorità.
Una prima curiosità riguarda come si sono mosse le Big Tech extra UE, fortemente attenzionate dalle Autorità di controllo e, in tempi recenti, gravate da notevoli obblighi aggiuntivi imposti da altre normative (specie il DMA e il DSA). Le uniche due ad avere presentato contributi sono state Apple e Google. Entrambe hanno scelto un approccio estremamente “istituzionale” e prudente, in cui prevale l’apprezzamento per le norme.
A mio avviso, se si vuole misurare la temperatura del mercato digitale europeo rispetto al GDPR e alla sua applicazione, bisogna posizionare il termometro nei contributi – spesso pregevoli – presentati da player di mercato europei e da chi li rappresenta in forma associata. È quello che ho fatto, a) focalizzandomi sulla parte di questi feedback che evidenzia margini di miglioramento e contiene proposte, b) individuando i macro-temi che a mio avviso hanno raccolto, trasversalmente, la maggiore attenzione. È su di essi che mi aspetto che la Commissione UE si pronunci nella sua prossima relazione e che spero che il GDPR possa essere riformato.
Insostenibilità dell’attuale interpretazione di “dato anonimo”
Molti contributi evidenziano che l’interpretazione di “dato anonimo” effettuata da alcune Autorità di controllo è troppo restrittiva e che – anche nei casi in cui la possibilità di identificare persone grazie ai dati è ragionevolmente improbabile – impedisce di considerare i dati come anonimi e di sgravare chi li tratta dall’applicazione del GDPR. Anitec – Assinform (la principale associazione delle imprese che, in Italia, operano in ambito ICT) critica l’approccio assolutista di alcune Autorità, secondo cui i dati sono anonimi solo quando trattati in modo tale che il rischio di identificare un individuo sia quasi pari a zero. Oltre a bypassare il considerando (26) del GDPR (che parla di «dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato»), queste Autorità sottovalutano che un determinato dataset potrebbe contenere dati personali in un certo contesto del trattamento, ma dati anonimi in un altro.
Del medesimo tenore, il contributo della Software Alliance (BSA), che ha come membri (tra gli altri) Adobe, Cisco, DocuSign, Dropbox, IBM, Microsoft, Oracle, Salesforce, SAP, Siemens, Zendesk e Zoom Video Communications. BSA evidenzia che secondo alcune Autorità affinché i dati possano essere considerati anonimi è necessario che la re-identificazione sia praticamente impossibile, mentre secondo altre possiamo parlare di anonimizzazione quando il rischio di re-identificazione è ridotto al minimo; inoltre, fa presente che l’anonimizzazione non dovrebbe essere considerata un’attività di trattamento che necessita di una base giuridica o almeno dovrebbe essere coperta dalla base giuridica del “legittimo interesse”.
L’Associazione tedesca dell’industria Internet (eco) osserva che gli standard per l’anonimizzazione sono così elevati che è sostanzialmente impossibile rispettarli, mentre la lettera del GDPR permetterebbe di considerare i dati anonimi ogniqualvolta l’identificazione dell’interessato è ostacolata da uno sforzo sproporzionato in termini di tempo, costi o manodopera.
Molto simili le osservazioni sul tema “dati anonimi” di Digital Europe (la principale associazione di categoria che rappresenta le industrie di trasformazione digitale in Europa, che raccoglie 45.000 aziende che operano e investono in Europa, 109 aziende leader a livello mondiale nel loro campo di attività, nonché 41 associazioni di categoria nazionali di tutta Europa), di EUTA (la European Tech Alliance, che rappresenta le principali aziende tecnologiche nate in Europa che forniscono prodotti e servizi innovativi) di IAF (think thank indipendente che segue i temi dell’accountability e della governance dei dati) e di IV (Federazione delle industrie austriache, che conta più di 4500 membri).
Maggiore flessibilità nei contenuti dell’informativa
Una parte dei contributi critica l’eccessiva rigidità delle norme sull’informativa agli interessati, che ne impongono come sempre obbligatori una serie di contenuti, senza permetterne ai Titolari del trattamento una modulazione differenziata a seconda delle circostanze.
La software house DATEV (specializzata in soluzioni per avvocati, commercialisti, auditor) osserva che gli articoli 13 e 14 del GDPR hanno comportato un sovraccarico di informazioni, che non vengono né richieste né lette dagli interessati, e non portano a una reale trasparenza nei confronti degli interessati. DSGV (Gruppo che raccoglie le cinque principali associazioni del settore bancario tedesco) fa presente che gli obblighi informativi di cui agli articoli 13 e 14 del GDPR sono troppo dettagliati ed eccessivi, mentre dovrebbero essere mantenuti a un livello ragionevole (per evitare di inondare di informazioni gli interessati) e suggerisce che si renda possibile il rilascio dell’informativa in due fasi: un’informativa breve che offre una panoramica sul trattamento e informazioni dettagliate (solo su richiesta) in una seconda fase.
Disparità (nell’attuale prassi interpretativa) fra basi giuridiche del trattamento
L’articolo 6 del GDPR elenca sei possibili condizioni di liceità (“basi giuridiche”) del trattamento, alternative fra loro, senza privilegiarne nessuna. Invece, come osservato da Anitec – Assinform, nella prassi applicativa, il consenso ha avuto un peso maggiore rispetto a quello delle altre basi giuridiche. Le Autorità non sembrano aver considerato che vi sono molti casi in cui il consenso è una base giuridica inappropriata e che le persone sono sempre più stanche di dover dare o negare consensi. Questo “assolutismo del consenso” trascura anche i benefici per i titolari del trattamento del ricorso ad altre basi giuridiche.
Secondo la compagnia assicuratrice Unipol, la praticabilità del legittimo interesse è un fattore chiave per un’innovazione e un’economia digitale responsabili. Infatti, il ricorso al legittimo interesse consente al GDPR di rimanere a prova di futuro e neutrale dal punto di vista tecnologico, di consentire usi vantaggiosi dei dati che sono nell’interesse pubblico, di garantire la fornitura e miglioramento continui di prodotti, servizi, sistemi e tecnologie e di promuovere nuovi e usi innovativi dei dati che non sacrifichino la privacy. È auspicabile qualsiasi raccomandazione che eviti un’interpretazione troppo restrittiva dell’art. 6 e che lasci ampio margine all’utilizzabilità della base giuridica del legittimo interesse.
Analoghe considerazioni sono venute dall’Associazione tedesca dell’industria Internet (eco).
Preferenza dell’EDPB e dell’Autorità d controllo per un approccio “prescrittivo”
Alcuni contributi sostengono che l’approccio basato sui rischi (quindi, differenziato da caso a caso a seconda delle caratteristiche dei Titolari e del contesto di trattamento) è smentito dalla preferenza di EDPB e Autorità per indicazioni analitiche di natura prescrittiva, vere e proprie check-list di cose da fare nei vari ambiti.
Secondo AFEP (Associazione che raccoglie che grandi imprese operanti in Francia) le Autorità sono riluttanti a implementare l’approccio basato sul rischio e privilegiano un approccio particolarmente restrittivo, applicando il GDPR alla lettera e adottando addirittura una posizione di massima protezione dei dati personali senza tener conto della vita quotidiana e dei modelli economici delle aziende.
EBF (European Banking Federation che raccoglie le associazioni bancarie, compresa l’ABI) lamenta che le linee guida dell’EDPB sono in gran parte troppo prescrittive con dettagli o regole per attuare determinati obblighi, minando così il principio di responsabilità e l’approccio basato sul rischio proposto dal GDPR.
Analoghe osservazioni sono state formulate da GDV, Associazione tedesca delle imprese assicuratrici.
Limiti dell’attuale declinazione della privacy by design
L’art. 25 del GDPR pone un obbligo di protezione dei dati personali fin dalla progettazione (di sistemi, piattaforme, applicazioni, ecc.); tuttavia, lo pone a carico dei Titolari del trattamento, cioè di coloro che quei sistemi li usano. Questo differenzia il GDPR da altre normative europee (come, ad esempio, il recente AI Act) che in questi casi pongono questi principi come obbligo per chi produce e commercializza.
DSGV (il già citato Gruppo che raccoglie le cinque principali associazioni del settore bancario tedesco) ed EAPB (Associazione Europea delle banche pubbliche) sottolineano che questo costringe i Titolari a testare le soluzioni di mercato prima di usarle, il che rappresenta un onere significativo. Entrambe, osservano che il dibattito in corso su un utilizzo dei prodotti Microsoft 365 conforme alla normativa europea a protezione dei dati personali è sintomatico del problema. I produttori dovrebbero essere tenuti a tenere conto del GDPR nello sviluppo del prodotto; questo faciliterebbe i Titolari nell’adempimento dei loro obblighi.
Eccessivo rigore delle norme sui trasferimenti extra SEE e difficoltà di applicarle
Molto frequente, nei contributi, è la critica all’attuale regime giuridico dei trasferimenti di dati personali extra SEE, considerato ad esempio farraginoso e poco chiaro da Adigital (Associazione Spagnola dell’Economia Digitale, organizzazione composta da oltre 550 aziende provenienti da settori chiave dell’economia digitale).
Cloudflare (società leader di soluzioni cloud di sicurezza informatica e di modernizzazione digitale) evidenzia il nesso fra la concezione troppo estensiva di dato personale sposata dalle Autorità (che comprende gli indirizzi IP) e la disciplina altrettanto restrittiva dei trasferimenti extra SEE, dove anche il Privacy Framework che legittima i trasferimenti verso gli USA potrebbe essere rimesso in discussione. Se Max Schrems vincesse la sua battaglia contro il Privacy Framework, gli indirizzi IP apparentemente collegati a persone che si trovano nell’UE non potrebbero più essere elaborati negli Stati Uniti, o potenzialmente non dovrebbero lasciare l’UE. Se così fosse, i fornitori dovrebbero iniziare sviluppare reti esclusivamente europee per garantire che gli indirizzi IP non oltrepassino mai i confini giurisdizionali. Le norme sul trasferimento dei dati personali verso Paesi terzi potrebbero portare pericolosamente a un muro europeo di internet. Questo produrrebbe conseguenze molto negative sia per la sicurezza dei dati personali sia per il mercato digitale europeo.
DSGV chiede che la Commissione UE riesamini periodicamente la metodologia per lo svolgimento del TIA (Transfer Impact Assessment), sgravando in particolare i Titolari dall’onere (per essi insostenibile) di effettuare un’analisi legale circa l’adeguatezza delle leggi a protezione dei dati personali nei Paesi dove sono stabiliti gli importatori dei dati personali trasferiti.
Costi di compliance eccessivi per le PMI e le start-up
Molte le voci che sottolineano la difficoltà per PMI e start-up di far fronte ad alcuni obblighi di compliance.
Alliance Digitale (Associazione francese del mobile marketing) chiede di esonerare le startup e le imprese con meno di 50 dipendenti dalla tenuta dei registri di trattamento e più in generale di chiarire che l’esonero dalla tenuta del registro per imprese con meno di 250 dipendenti sancito dall’art. 30.5 del GDPR dovrebbe valere anche quando il trattamento da esse svolto non è occasionale.
Allied For Startups (rete mondiale di organizzazioni di sostegno focalizzata sul miglioramento del contesto politico per le startup) osserva che la conformità al GDPR ha imposto costi ingenti, soprattutto per le startup, danneggiando l’ecosistema delle startup, riducendone i profitti e le vendite.
La già citata software house DATEV (specializzata in soluzioni per avvocati, commercialisti, auditor) si dichiara favorevole a una differenziazione degli obblighi di documentazione delle scelte (posti dall’art. 24 del GDPR) al fine di ridurre l’onere di accountability per le PMI.
Conflitto fra alcuni principi del GDPR e il funzionamento dell’intelligenza artificiale
Ultimo tema che emerge da vari contributi è l’impossibilità di applicare alcuni principi del GDPR ai sistemi di intelligenza artificiale (“AI”), laddove essi sono alimentati e apprendono con dati personali.
Molto chiare, sul punto, le osservazioni di IAF (già citato think thank indipendente che segue i temi dell’accountability e della governance dei dati). I modelli di AI, in particolare i modelli di base, richiedono grandi volumi di dati spesso provenienti da una gamma significativa di fonti, che possono includere dati personali, dati anonimizzati e dati non correlati alle persone. Attualmente, la scala e il volume dei dati sono necessari per garantire l’utilità del modello. Ciò crea una tensione con alcuni principi del GDPR come la minimizzazione dei dati. In molti casi, i dati di addestramento dei sistemi non impattano sui diritti e sugli interessi dei singoli, bensì sugli interessi di gruppi più ampi o della società nel suo insieme, nella misura in cui è influenzata dalle informazioni che provengono dall’elaborazione dell’AI.
Con argomenti molto simili, Software Alliance (BSA) osserva che sarà importante capire come interagirà il principio di minimizzazione con l’obbligo di garantire che i set di dati di formazione, validazione e sperimentazione rimangano rappresentativi, privi di errori e completi (art. 10 dell’AI Act).
La futura relazione tra GDPR e AI Act: una prospettiva
L’art. 97 del GDPR prevede che – nello svolgere le valutazioni e i riesami, la Commissione UE debba conto delle posizioni e delle conclusioni del Parlamento UE, del Consiglio, nonché di altri organismi o fonti pertinenti.
Fra le fonti pertinenti, c’è la Risoluzione del Parlamento europeo del 7 luglio 2022 sul tema «Legiferare meglio: unire le forze per produrre leggi migliori» (2021/2166). In essa, il Parlamento UE sottolinea che tecnologie come l’AI possono rafforzare il processo legislativo e migliorare l’accesso alle informazioni, nonché rendere la legislazione più comprensibile per i cittadini e le imprese; invita la Commissione ad applicare, caso per caso, spazi di sperimentazione normativa nella legislazione in materia di trasformazione digitale tenendo conto del valore aggiunto dell’UE e della proporzionalità, in particolare al fine di sostenere le PMI e le start-up.
Al centro della trasformazione digitale c’è l’AI. La sfida del mercato digitale europeo è un’AI “democratica”, alla portata di tutti, comprese le PMI. Concretamente, per le PMI, il ricorso all’AI può dare valore aggiunto se usata per l’analisi dei dati, per la personalizzazione dell’esperienza del cliente, per la gestione del magazzino.
Qualcuno crede che la cornice normativa che definirà le regole per questa AI “democratica” sarà l’AI Act, in via di approvazione. In realtà, l’AI Act contrasta il pericolo di utilizzi manipolatori e più o meno sottilmente discriminatori dei dati personali. Tuttavia, si concentra sui sistemi di AI ad alto rischio e su pochi potentissimi sistemi di AI generativa, come Chat GPT. Per la risposta alla domanda “se voglio usare un sistema di AI che si alimenta di dati personali, che devo fare?”, l’AI Act rinvia al GDPR.
Conclusioni
Anche se è esecutivo dal 25 maggio 2018, non dimentichiamo che il GDPR è un testo normativo pensato nel 2012 ed approvato nel 2016, in cui l’AI non è mai menzionata. Nel riesaminare il GDPR, la Commissione UE dovrebbe porsi questa domanda: ci sono norme del GDPR che creano – direttamente o indirettamente – ostacoli sproporzionati a tutti i player economici, soprattutto alle PMI, nella trasformazione digitale, incluso il ricorso a sistemi di AI che comportano trattamento di dati personali?
