L’European Data Protection Board ha pubblicato in data 16 marzo 2021, in occasione della 46esima sessione plenaria del Comitato, il suo programma di lavoro per il 2021-2022, frutto di quanto era stato già stabilito nella strategia delineata per il biennio 2021-2023.
Il programma identifica quattro macroaree: la semplificazione dei processi di compliance e l’armonizzazione del GDPR, il sostegno e la cooperazione tra Data Protection Authorities al fine di un’applicazione transazionale più efficace, l’analisi dei diritti fondamentali associati alle nuove tecnologie emergenti e la promozione degli standard dell’UE in una prospettiva globale.
Armonizzazione e semplificazione
Secondo le indicazioni contenute nel primo pilastro, l’EDPB si impegna a sviluppare e promuovere strumenti volti a semplificare l’attuazione della protezione dei dati nella pratica effettiva del trattamento degli stessi. In particolare, sono state sviluppate numerose linee guida, nate dalle esperienze concrete e dalle criticità rilevate da parte delle diverse parti interessate. Alcuni di questi documenti sono già state pubblicati, come le linee guida sul concetto di Titolare e di Responsabile del trattamento nel GDPR, ma ve ne sono numerose ancora in corso d’opera – come le linee guida sul legittimo interesse o sul trattamento di dati ai fini di ricerca medica e scientifica – che potrebbero agevolare un’applicazione uniforme del Regolamento.
Gli sforzi andranno inoltre verso una maggior efficacia del meccanismo di coerenza (art. 63 GDPR), così come verso altri strumenti utili al fine di appianare le potenziali divergenze nell’applicazione del GDPR tra singole legislazioni.
In quest’ottica, il Comitato si propone di garantire e vigilare sulla coerenza ed uniformità giurisprudenziale delle diverse Autorità Garanti nazionali, confermando il suo ruolo di organo atto alla risoluzione delle controversie.
Un altro punto degno di menzione di questo primo pilastro riguarda lo sviluppo di strumenti volti a una sensibilizzazione sui temi del GDPR adatti ad un pubblico più ampio, che non sia solamente composto dagli addetti ai lavori.
L’esempio più lampante di questa aspirazione, volta ad un ampliamento della platea interessata al GDPR ed ai diritti in esso sanciti, è certamente la crescita dell’interesse intorno allo strumento del legal design. Infatti, ridurre la complessità della comunicazione legale in modo da renderla intellegibile al destinatario finale è un ambizioso obiettivo condiviso da ormai numerose autorità ed istituzioni. Di recente, ad esempio, l’Autorità Garante italiana ha indetto un hackathon per rendere le privacy policy un documento che tutti possano finalmente leggere e comprendere.
Cooperazione ed efficienza
Gli obiettivi di questo secondo pilastro consistono nel perseguire il fine di una maggior efficienza del meccanismo di cooperazione e di coerenza che collega tutte le Autorità nazionali di controllo, razionalizzando i processi interni, condividendo le competenze e promuovendo un maggiore coordinamento.
L’EDPB – del resto in una prospettiva di continuità con il primo pilastro – si sforzerà anche di sviluppare un’autentica cultura dell’applicazione del GDPR e dei regolamenti di Data Protection, la quale sia univoca a livello europeo tra le differenti Autorità di controllo. Pertanto, si adopererà attivamente per adempiere al suo ruolo di connettore al fine di regolare lo scambio di informazioni sui casi in corso.
Viene menzionata anche l’implementazione di un Coordinated Enforcement Framework (CEF), un quadro di attuazione coordinata volto a fornire una struttura per organizzare le attività annuali ricorrenti delle Autorità di controllo del Comitato. L’azione coordinata annuale si concentra su un tema predefinito e consente alle Autorità di controllo dei diversi paesi di affrontare questo tema attuando una metodologia predefinita. Il CEF è il fondamento su cui si basa l’azione coordinata annuale e il suo scopo è facilitare l’applicazione del GDPR in un modo flessibile ma coerente: dalla sensibilizzazione e dalla raccolta di informazioni congiunte alle indagini a tappeto e alle indagini congiunte, contribuisce così a garantire la conformità con il GDPR nonché i diritti e le libertà dei cittadini e a ridurre il rischio legato a servizi basati sulle nuove tecnologie nel settore della protezione dei dati.
Le nuove tecnologie
L’EDPB afferma di voler monitorare l’andamento dello sviluppo delle nuove tecnologie emergenti e il loro potenziale impatto sui diritti fondamentali e sulla vita quotidiana degli individui.
A parere del Comitato, il futuro digitale dell’Europa non potrà non essere in linea con i valori e regole comuni della Comunità Europea e per questo motivo esprime il suo impegno al costante coordinamento con legislatori ed esponenti politici, anche di opposizione, al fine di promuovere la coerenza normativa per una maggiore protezione degli individui.
Il fulcro di questo terzo pilastro consiste dunque nella analisi delle nuove tecnologie, non senza il rafforzamento della protezione dei dati by design e by default.
L’EDPB sta progettando di raggiungere questi obiettivi fornendo delle linee guida ad hoc sulle nuove applicazioni tecnologiche in settori come intelligenza artificiale, biometria, profilazione, software di riconoscimento facciale e servizi come quelli cloud e blockchain.
In quest’ottica, ad esempio, sono già state pubblicate in data 9 marzo 2021 le linee guida sugli assistenti vocali virtuali.
La prospettiva globale
L’EDPB è determinato a stabilire e promuovere standard elevati a livello europeo ma soprattutto globale per i trasferimenti internazionali di dati verso Paesi terzi e a rafforzare il suo impegno con la comunità internazionale per promuovere il sistema di data protection europeo come modello globale di riferimento nel settore.
Le misure chiave consisteranno nel favorire l’uso di strumenti di trasferimento per assicurare un livello essenzialmente equivalente di protezione dei dati extra UE – tema questo assai pressante dopo la sentenza Schrems II – e fornire una guida su come utilizzare questi strumenti.
È di recente pubblicazione il documento “DPB – EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries” che meglio precisa le precauzioni da adottare prima di effettuare un trasferimento di dati all’estero, ed è stato annunciato che – presumibilmente nella prima metà del 2021 – verranno pubblicate le nuove Standard Contractual Clauses al fine di meglio salvaguardare e regolamentare il trasferimento dei dati extra UE.
In quest’ottica appare essenziale collaborare e dialogare con le organizzazioni ed istituzioni internazionali per sostenere un sufficiente livello di cooperazione tra l’EDPB e le autorità di controllo dei Paesi terzi. Certamente il Paese che più interessa a questo proposito sono gli Stati Uniti, un Paese fondamentale per la economia digitale europea il quale – dalla invalidazione del Privacy Shield in avanti – non è considerato dotato di un livello di protezione dei dati sufficiente, rendendo assai difficoltoso il trasferimento dei dati verso gli USA con modalità conformi al GDPR.
Conclusioni
Dalla lettura del Work Programme 2021-2022 emerge un’interessante dichiarazione di intenti dell’EDPB, ma soprattutto una consapevolezza matura ed attenta riguardo le attuali – potenziali e non – vulnerabilità dell’infrastruttura europea della quale il GDPR costituisce le fondamenta.
In primo luogo, vi è indubbiamente uno sforzo delle autorità per agevolare agli stakeholders una maggior chiarezza delle indicazioni fornite dall’EDPB in modo tale da rendere le stesse adatte ai casi pratici.
Le numerose linee guida che sono in cantiere – dal legittimo interesse, al trattamento dei dati dei minori fino al calcolo delle sanzioni amministrative – sembrano puntare verso questo ambizioso obbiettivo.
Conseguenza logica di questa ricerca di una maggior chiarezza è l’armonizzazione dell’interpretazione del GDPR in suolo europeo, altro principio cardine individuato dall’EDBP. Oltre ad eliminare la frammentazione, una rinnovata armonia e coerenza delle regole aiuterà anche a costruire la fiducia nella data economy, già oggetto di numerosi altri progetti legislativi come il Data Governance Act, il Digital Services Act e il Digital Market Act, che mirano proprio alla realizzazione di un mercato comune dei dati personali in Europa.
Infine, è fondamentale l’attenzione e lo studio che il Comitato riserva alle tecnologie emergenti. Il GDPR sicuramente nasce – e rimane ad oggi – come uno strumento efficace e valido, ma necessita di una costante interpretazione per adattarsi agli sviluppi moderni, in particolare alle complessità che recano con loro alcune tecnologie emergenti come l’intelligenza artificiale (AI) e la blockchain. Si consideri il diritto all’oblio: dal momento che sempre più dati vengono condivisi con diverse parti per molteplici servizi, le difficoltà del diritto alla cancellazione diventano evidenti. Le tecnologie emergenti aggravano ulteriormente tali difficoltà.
Per esempio, la tecnologia blockchain renderebbe l’esercizio di questo diritto quasi impossibile, poiché la si basa sull’inserimento di dati che vengono poi trasferiti in un algoritmo che è altamente sicuro, incorruttibile e non può essere manomesso.
Un ulteriore tema che necessiterà di un accorto approfondimento è quello della responsabilità dell’intelligenza artificiale, per cui sono già state avanzate alcune proposte in seno al Parlamento Europeo, in particolare riguardo la regolamentazione dei diritti di proprietà intellettuale per lo sviluppo di tecnologie di intelligenza artificiale, la costruzione di un suo proprio regime di responsabilità civile e l’adozione di una disciplina per gli aspetti etici dell’intelligenza artificiale, della robotica e delle tecnologie correlate.
Ad ogni modo, l’EDPB sembra avere la necessaria consapevolezza circa le criticità e le fragilità del sistema attuale, e – perlomeno da quello che emerge dall’ analisi del Work Programme 2021-2022 – appare intenzionato ad agire proattivamente per mitigare e prevenire i possibili rischi.
