Edpb, come si sta orientando la privacy Ue: la relazione 2024

La relazione EDPB 2024, da poco pubblicata ai sensi dell’art. 71 del GDPR, offre un quadro completo delle attività svolte dal Comitato europeo per la protezione dei dati durante l’anno, evidenziando l’applicazione pratica degli orientamenti pubblicati, le raccomandazioni formulate e le migliori pratiche identificate.

Si tratta di uno strumento fondamentale per comprendere l’evoluzione normativa e l’applicazione del GDPR nel contesto europeo.

Strategia EDPB 2024-2027: i quattro pilastri fondamentali

La prima iniziativa che merita è attenzione è senza dubbio l’adozione della Strategia EDPB 2024-2027 che (in evoluzione rispetto alla Strategia precedente 2021-2024,) si pone come obiettivo quello di affrontare le principali sfide poste dall’evoluzione normativa e tecnologica.
Più esattamente la nuova Strategia – che ci anticipa cosa succederà nei prossimi anni – individua quattro pilastri fondamentali:

• Rafforzare l’armonizzazione e promuovere la conformità, obiettivo che mira a garantire un’ applicazione coerente delle norme sulla protezione dei dati dell’UE, fornendo orientamenti chiari e accessibili su argomenti importanti e concetti chiave (e speriamo che tra questi arrivino presto anche le Linee Guida sulla Anonimizzazione, di così ampio rilievo per lo sviluppo della AI)
• Rafforzare una cultura comune di applicazione e un’efficace cooperazione, allo scopo di potenziare una applicazione efficace e una ampia cooperazione tra i membri dell’EDPB.
• Salvaguardare la protezione dei dati nel mutevole panorama digitale e inter-regolatorio, senza dubbio uno dei pilastri più importanti che ci aiuterà a navigare tra il GDPR, l’AI ACT e gli altri Regolamenti Europei della Data Strategy
• Contribuire al dialogo globale sulla protezione dei dati, riconoscendo che i dati non si fermano ai confini dell’UE e promuovendo quindi un dialogo globale sulla privacy protezione dei dati.

Nell’anno 2024 l’EDPB ha poi fortemente incrementato le proprie attività emanando 8 Pareri di coerenza, 4 nuove Linee Guida, volgendo altresì una importante azione di enforcement sul diritto di accesso, gestendo le numerose richieste di supporto ed esprimendo la propria posizione su proposte di nuove leggi, regolamenti o modifiche normative che impattano sulla protezione dei dati personali a livello europeo.

Vediamo allora i Pareri e le Linee Guida che appaiono di maggior impatto.

Parere EDPB sul modello “consenti o paga”: requisiti per un consenso valido

Nell’aprile 2024 L’EDPB ha adottato il Parere 8/2024 Parere “consenti o paga” con il quale si analizza se il consenso sia valido (e, in particolare, se possa considerarsi “liberamente dato”) quando gli utenti devono scegliere tra consentire un trattamento dei dati personali per pubblicità comportamentale oppure pagare una tariffa per un servizio alternativo.

Le affermazioni chiave del parere sono:

• I modelli “Consenti o Paga”, come implementati, spesso non rispettano i principi di necessità e proporzionalità;
• gli utenti devono essere messi nelle condizioni di comprendere appieno le implicazioni del consenso, e la scelta deve essere reale, senza pressioni indebite che violino i principi di correttezza
• il consenso deve essere specifico e granulare, non “impacchettato”
• il consenso si presume non liberamente dato se configura una condizione per accedere a un servizio in cui il trattamento non può considerarsi “necessario2 per la fornitura del servizio stesso

Il parere identifica quindi diverse sfide nei modelli “Consenti o Paga”, in particolare:

• Squilibrio di potere: le grandi piattaforme hanno spesso una posizione dominante che limita la possibilità per gli utenti di rifiutare il consenso senza svantaggi significativi.
• Svantaggio per gli utenti: il consenso non è libero se l’utente subisce uno svantaggio per aver rifiutato, come l’esclusione da servizi importanti o un costo proibitivo.
• Mancanza di alternative genuine: per offrire una scelta reale, dovrebbe esserci un’alternativa “equivalente” che non richieda né pagamento né una raccolta estesa di dati personali, come una versione con pubblicità non personalizzata (basata sul contesto).

In conclusione, l’EDPB ha ritenuto che la maggior parte degli attuali modelli “Consenti o Paga” implementati dalle grandi piattaforme online molto probabilmente non soddisfano i requisiti dei un valido consenso ex GDPR.

Le raccomandazioni EDPB alle autorità nazionali in relazione ai modelli “consenti o paga”

Il Comitato poi suggerisce anche una serie raccomandazioni alle Autorità di protezione dei dati, quali ad esempio: considerare se è stato offerta una alternativa gratuita senza pubblicità, valutare attentamente lo squilibrio di potere e gli svantaggi per l’individuo, assicurare che il consenso sia specifico, e verificare che le tariffe per l’alternativa a pagamento siano proporzionate; da ultimo l’EDPB ha anticipato che svilupperà ulteriori linee guida sull’uso dei modelli “Consenti o Paga” con una portata più ampia e maggiore coinvolgimento degli stakeholder.

Parere EDPB sul trattamento dei dati personali nell’intelligenza artificiale

Per chi si occupa di trattamento dei dati nei sistemi AI questo è senza dubbio un parere fondamentale.

In sintesi i contenuti:

in primo luogo si sottolinea che i modelli di intelligenza artificiale addestrati su dati personali non sempre (ed non automaticamente) possono essere considerati anonimi. La valutazione sull’anonimato richiede infatti un’analisi caso per caso che valuti il livello di rischio di re-identificazione

L’EDPB conferma poi che l’interesse legittimo può essere utilizzato come base giuridica per l’addestramento di modelli AI, ma solo a seguito di un test in tre fasi: 1) identificare con chiarezza l’interesse legittimo perseguito dal titolare o da terzi

2) analizzare la necessità del trattamento per il perseguimento dell’interesse legittimo (verificando se alternative meno invasive potrebbero raggiungere lo stesso risultato)

3) valutare il bilanciamento tra l’interesse legittimo e gli interessi o i diritti e le libertà fondamentali degli interessati.

Da ultimo il parere analizza l’Impatto del trattamento illecito disegnando tre scenari:

• stesso titolare utilizza il modello progettato con dati illeciti: se un titolare del trattamento ha utilizzato dati personali in modo illecito per sviluppare un modello di IA e continua a utilizzarlo, l’EDPB richiede che si valuti caso per caso se le fasi di sviluppo e utilizzo siano finalità separate e/ o se sia necessaria l’interruzione dell’uso del modello, la riqualificazione o l’applicazione di misure correttive (es. cancellazione dei dati illeciti, retraining) e l’eventuale obbligo della autorità di controllo (DPA) di imporre misure correttive proporzionate;

• modello acquisito da un altro titolare: se un modello sviluppato con dati illeciti viene utilizzato da un titolare terzo, l’EDPB stabilisce che il nuovo titolare deve condurre una valutazione autonoma della conformità al GDPR, le dichiarazioni di conformità previste dall’AI Act per i sistemi ad alto rischio non sono sufficienti a dimostrare il rispetto del GDPR, ma possono essere considerate dalle autorità, l’illiceità del trattamento iniziale non esonera il nuovo titolare dalla responsabilità di garantire la liceità del proprio utilizzo

• anonimizzazione prima dell’utilizzo: se i dati illeciti vengono anonimizzati prima della distribuzione del modello il GDPR non si applica al successivo utilizzo, purché l’anonimizzazione soddisfi i criteri rigorosi dell’EDPB (rischio di re-identificazione trascurabile) ; l’anonimizzazione richiede documentazione dettagliata delle misure tecniche (es. test di resistenza ad attacchi) e analisi del rischio di identificazione

Linee guida EDPB sull’interesse legittimo come base giuridica

Solo qualche mese prima del Parere sulla AI, il EDPB ha emanato uno specifico parere sui requisiti da rispettare quando si vuole utilizzare l’interesse legittimo come base giuridica.

Il Comitato in primo luogo precisa che non è necessario che l’interesse sia previsto da una norma specifica, ma lo stesso deve essere lecito (conforme alle normative vigenti), articolato in modo chiaro e preciso, reale e presente, non ipotetico o speculativo.

Per applicare inoltre l’interesse legittimo come base giuridica occorre documentare tre condizioni cumulative:

• Esistenza di un interesse legittimo (il titolare deve perseguire un interesse che sia effettivo, specifico e conforme alla legge)
• Necessità del trattamento (il trattamento dei dati deve essere necessario per il perseguimento di tale interesse. Questo significa che l’interesse non può essere raggiunto in modo altrettanto efficace con mezzi meno invasivi per i diritti e le libertà degli interessati.
• Bilanciamento degli interessi (occorre valutare che i diritti e le libertà fondamentali dell’interessato non prevalgano sull’interesse del titolare. Il bilanciamento deve essere concreto e tener conto delle ragionevoli aspettative dell’interessato, della natura dei dati trattati e del contesto del trattamento.
• Indispensabile il rispetto dell’obbligo di trasparenza e accountability in forza del quale il titolare del trattamento deve informare gli interessati che i loro dati saranno trattati sulla base del legittimo interesse, indicando chiaramente quale sia l’interesse perseguito e fornendo le informazioni essenziali risultanti dal bilanciamento effettuato.

Parere EDPB sugli obblighi nella catena di responsabilità del trattamento dati

Sempre nel mese di ottobre, è stato emanato il parere 22/2024 che ci spiega gli obblighi dei titolari del trattamento quando si affidano a uno o più responsabili del trattamento e sub-responsabili.

La rilevanza del parere appare chiara se si tiene conto della rilevanza iggi della supply chain, anche in termini di responsabilità.

Ecco i punti chiave:

• Identificazione dei responsabili e sub-responsabili: i titolari del trattamento dovrebbero avere l’informazione sull’identità (nome, indirizzo, referente) di tutti i responsabili e sub-responsabili sempre prontamente disponibile per poter adempiere al meglio ai loro obblighi ai sensi dell’Articolo 28 GDPR.
• Verifica delle “sufficienti garanzie” e ambito della verifica: l’Articolo 28(1) GDPR impone ai titolari l’obbligo di coinvolgere responsabili che forniscano “sufficienti garanzie” per implementare “misure appropriate” in modo che il trattamento soddisfi i requisiti del GDPR e garantisca la protezione dei diritti degli interessati: l’EDPB considera che questo obbligo di verifica si applichi indipendentemente dal rischio per i diritti e le libertà degli interessati. Tuttavia, l’entità di tale verifica può variare, in particolare in base ai rischi associati al trattamento.
• Sub-responsabile: sebbene sia il Responsabile a dover proporre un sub-responsabile con sufficienti garanzie, la decisione ultima e la relativa responsabilità rimangono in capo al titolare. Il titolare può scegliere di basarsi sulle informazioni ricevute dal proprio responsabile e, se necessario, approfondirle: nello specifico, per trattamenti che presentano un alto rischio per i diritti e le libertà degli interessati, il titolare dovrebbe aumentare il proprio livello di verifica in termini di controllo delle informazioni fornite. L’EDPB ritiene che il titolare, seppure non sia un obbligo, sarebbe comunque opportuno che il Titolare del trattamento richiedesse una copia di tali contratti con i sub-responsabili per poterli esamininare
• Trasferimenti al di fuori del SEE: quando avvengono trasferimenti di dati personali al di fuori del SEE tra due (sub-)responsabili, il responsabile del trattamento, in qualità di esportatore di dati, dovrebbe preparare la documentazione pertinente (ad esempio, relativa alla base giuridica del trasferimento, alla valutazione dell’impatto del trasferimento e alle eventuali misure supplementari). Il titolare del trattamento dovrebbe valutare questa documentazione ed essere in grado di mostrarla all’Autorità Garante competente.
• Contratti Titolare-Responsabile: un elemento fondamentale del contratto è l’impegno del responsabile a trattare i dati personali solo su istruzioni documentate del titolare, a meno che il trattamento non sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile (Articolo 28(3)(a) GDPR). I contratti con i responsabili devono includere clausole vincolanti per:

• Limitare l’uso di sub-responsabili non autorizzati.
• Obbligare i processori a segnalare tempestivamente eventuali richieste di accesso ai dati da parte di autorità straniere.

Le istruzioni documentate al processore (Art. 28(3)(a) GDPR) non richiedono necessariamente un linguaggio specifico, purché siano rispettati i principi del GDPR.

Casistica italiana nella relazione EDPB 2024: i casi emblematici

Da ultimo, con l’obiettivo di rappresentare le diverse applicazioni del GDPR e favorire la trasparenza e condivisione di buone pratiche, l’EDPB elenca una serie di casistiche nazionali.

Nella sezione dedicata all’Italia, vengono illustrati tre casi emblematici sui quali è intervenuto nel corso dell’anno il nostro Garante Privacy.

Il caso di OpenAI e di ChatGPT

Il primo caso è quello di OpenAI e di ChatGPT.

A seguito di un’approfondita istruttoria, infatti il Garante ha adottato misure correttive e sanzionatorie nei confronti della società americana, contestando criticità nella gestione dei dati personali degli utenti. OpenAI è stata così chiamata a realizzare una campagna informativa della durata di sei mesi per garantire maggiore trasparenza. A ciò si è aggiunta una multa significativa di 15 milioni di euro. Inoltre, con l’avvenuto stabilimento della sede europea di OpenAI in Irlanda, il Garante italiano ha trasmesso i documenti procedurali all’Autorità Garante irlandese, che il 15 febbraio 2024 è diventata l’Autorità di Controllo Capofila (LSA), per approfondire eventuali violazioni ancora in essere.

Si precisa che il Tribunale di Roma con ordinanza emessa il 21 marzo 2025 (non ancora disponibili le motivazioni), ha disposto la sospensione cautelare della sanzione, subordinandola al pagamento di una cauzione da parte di OpenAI.

Il caso Foodinho

Il secondo caso è quello di Foodinho S.r.l., parte del Gruppo Glovo. Anche in questo caso (provvedimento 13 novembre 2024) il Garante ha riscontrato illeciti nella gestione dei dati personali, stavolta riguardanti oltre 35.000 rider che operano sulla piattaforma digitale. È stata così inflitta una sanzione di 5 milioni di euro, accompagnata da precise prescrizioni operative. In particolare, è stato vietato l’ulteriore utilizzo dei dati biometrici – come il riconoscimento facciale – raccolti per la verifica dell’identità dei lavoratori.

Il caso Hera Comm

Il terzo caso riguarda Hera Comm S.p.A. che è stata sanzionata dal Garante per 5 milioni di euro (provvedimento 17 luglio 2024) , avendo riscontrato gravi violazioni nel trattamento dei dati personali di oltre 2.300 clienti, tra cui attivazione di contratti senza consenso reale degli interessati, utilizzo di dati inesatti o non aggiornati, inadeguatezza delle misure tecniche e organizzative adottate, sistema di verifica inefficace in quanto il processo di contrattualizzazione proseguiva anche in caso di mancata risposta alla telefonata di controllo prevista per accertare la volontà del cliente.