Il 4 dicembre 2024 lo European Data Protection Board (EDPB) ha adottato uno Statement sul secondo rapporto della Commissione Europea relativo all’applicazione del GDPR.
I punti essenziali e l’importanza dello Statement EDPB
Il punto essenziale, oltre ai riferimenti alla collaborazione data alla Commissione dalla Fundamental Rights Agency, riguarda il fatto che l’EDPB sottolinea ancora una volta l’importanza di garantire la certezza e la coerenza della legislazione digitale col GDPR e a tal fine richiama le sue iniziative in corso per chiarire come giocano gli obblighi del GDPR con lo AI Act e, più in generale, con la Strategia europea dei dati e col Pacchetto Digitale della UE.
Allo stesso tempo EDPB annuncia la sua intenzione di incrementare la sua produzione di indicazioni per i soggetti meno esperti, per le piccole e medie imprese e per altri gruppi.
Da ultimo lo EDPB sottolinea la necessità di aumentare le risorse umane e finanziarie destinate ad aiutare le Autorità di Protezione Dati e lo stesso EDPB a far fronte alle sfide crescenti e alle crescenti competenze.
In questo senso, molto sottolineato dal comunicato stampa dell’EDPB, il pronunciamento è molto importante per almeno tre motivi principali.
Il ruolo centrale del GDPR nel quadro digitale europeo
Il primo motivo riguarda la permanente sottolineatura del ruolo centrale che il GDPR assume nel quadro digitale europeo, in coerenza con la necessità costantemente riaffermata dalla UE e spesso anche richiamata dalla Presidente von der Leyen, di costruire la cosiddetta “sovranità digitale europea” fondandola sulla crescente tutela di uno spazio unico digitale europeo rispettoso dei diritti fondamentali dei cittadini europei, fra i quali in prima fila quelli relativi al controllo dei propri dati anche quando usati con modalità digitali.
In questo senso lo Statement che si commenta ribadisce la linea europea, sempre riaffermata, di considerare il controllo sui propri dati un pilastro fondamentale dei diritti essenziali dei cittadini nello spazio digitale e il GDPR l’insieme delle regole che presiedono alla tutela di questo pilatro.
La speranza di un ampio e forte Bruxelles effect nel trattamento dati
Il secondo motivo per cui questo Statement merita la massima attenzione è che esso si inscrive nella crescente tendenza europea ad affrontare l’evoluzione dell’epoca digitale, e della società che vive in essa, dal punto di vista della regolazione dei trattamenti che comportano l’uso di dati, e cioè da un punto di vista strettamente regolatorio, anche nella speranza che si produca un sempre più ampio e forte “Bruxelles effect” in grado di garantire alla regolazione europea una efficacia che vada oltre le stesse frontiere dell’Unione.
È evidente in questo contesto perché la UE, e in questo caso lo EDPB, tendano sempre a mettere in primo piano l’attuazione del GDPR, fino a farne quasi una supernorma che condiziona tutta la legislazione europea relativa a digitale, dilatando in tal modo appunto il Bruxelles effect, ormai consolidato per quanto riguarda il trattamento dei dati personali.
È chiaro che in tal modo si darebbe anche maggior forza a tutta la più recente regolazione europea in materia di dati, compreso lo AI Act, malgrado le indubbie fragilità che esso presenta fondandosi tutto sulla valutazione del rischio dei trattamenti posti in essere.
Sono temi, questi, sui quali dovremo certamente tornare a lungo nel prossimo futuro perché è chiaro che essi riguardano sostanzialmente tutta la linea UE della regolazione digitale e, quindi, anche lo sviluppo dello spazio unico digitale europeo ma, ben di più, della regolazione digitale globale.
Cosa significa realmente regolare la società digitale: gli indirizzi di Padre Benanti
In questa sede è però importante sottolineare un terzo aspetto che lo Statement dello EDPB mette in luce: quello cioè di cosa significhi realmente regolare la società digitale o, se si preferisce, l’epoca digitale.
Da questo punto di vista può essere assai utile richiamare il recente saggio di Padre Benanti, intitolato “Il crollo della torre di Babele”, edito nel 2024 dalle Edizioni San Paolo.
Padre Benanti, infatti, pur mostrando di conoscere benissimo sia il mondo digitale che il ruolo del GDPR, richiama l’attenzione sul potere crescente delle piattaforme e sull’importanza sempre maggiore che nel mondo digitale deriva dalla capacità computazionale necessaria per garantire una circolazione e una tutela dei dati coerente col crescente sviluppo del mondo digitale.
Il richiamo al libro di Benanti è utile perché esso ci indica dove dobbiamo guardare per regolare la società digitale nella quale viviamo e sempre più vivremo.
Una società che non può essere fatta solo di regole giuridiche relative ai dati ma deve misurarsi a fondo e costantemente sull’uso che di questi dati si fa, sulla capacità computazionale che tale uso richiede e, infine, sui sistemi di raccolta e di trattamento dei dati che i servizi digitali comportano.
Trattamento e controllo dei dati: gli assi portanti della società del futuro
Se si ha un minimo di fantasia non è difficile intravedere la realtà del mondo digitale nel quale già viviamo e sempre più vivremo: una realtà destinata a rendere sempre più centrale il ruolo che i sistemi di trattamento dei dati e di controllo su tali sistemi è destinato ad avere nel mondo digitale.
La UE ha ben chiaro tutto questo e non per nulla i suoi atti di regolazione digitale più recenti accentrano sulla Commissione sia il ruolo di vigilanza e sanzione dei trattamenti sia quello di curare l’adattamento della regolazione all’evoluzione delle tecnologie.
Tuttavia, come proprio la regolazione più recente dimostra, tutto questo sposta sempre di più la verifica sui sistemi digitali usati dal controllo sul rispetto di regole giuridiche necessariamente poco duttili al controllo sui rischi dei trattamenti posti in essere la cui valutazione diventa elemento essenziale per consentirne la messa a disposizione del mercato e per individuare le responsabilità che incombono sui fornitori dei servizi e sui loro utilizzatori.
È chiaro che tutto questo dimostra con sempre maggiore evidenza la necessità di passare da un sistema puramente regolatorio controllato da Autorità Indipendenti a un sistema basato appunto sulla valutazione dei rischi. Il quadro è poi completato dalla spinta ad affidare il controllo a strutture incentrate sul loro rapporto con la Commissione e sulla loro capacità di controllo su chi progetta e mette su mercato i sevizi di trattamento di dati e su quanti, sul mercato, acquistano i servizi offerti e ne fanno uso per le esigenze economiche della società digitale.
Il necessario balzo in avanti sul piano della regolazione, della verifica e del controllo.
In sostanza, e questa per ora è l’ultima osservazione che si vuole fare, la recente regolazione europea e, soprattutto, la centralità del ruolo della Commissione e della valutazione del rischio da parte del fornitore del servizio ci dicono che non siamo solo entrati nella società digitale ma siamo anche transitati in una fase del tutto nuova degli strumenti di regolazione e delle modalità di verifica e controllo sui servizi forniti.
È necessario dunque un grande balzo in avanti sia sul piano della regolazione che su quello della verifica e del controllo.
Un balzo del quale già è facile intravedere i primi bagliori ma non ancora la necessaria consapevolezza.
