Parere congiunto di EDPB e EDPS sul Data Act: il Metaverso preoccupa i garanti della privacy europei sull’uso e il riuso dei dati personali
Il 5 maggio 2022, lo European Data Protection Supervisor (EDPS) e lo (European Data Protection Board) EDPB hanno pubblicato un parere, adottato congiuntamente dalle due autorità, sul Data Act suscitando l’immediata attenzione degli interessati che comunque ancora attendono di conoscere il contenuto dell’accordo raggiunto qualche giorno fa tra il Consiglio e il Parlamento UE sulla proposta di Regolamento UE.
(Nella foto: Francesco Pizzetti, Presidente dell'Autorità per la protezione dei dati personali dal 2005 al 2012)
Merita, peraltro, subito osservare che il testo del parere dell’EDPS e dell’EDPB, disponibile sui siti di entrambe le istituzioni, non consente di conoscere il testo del Data Act se non indirettamente, attraverso le osservazioni che le due Autorità formulano.
Dunque è possibile oggi commentare il testo di questo nuovo parere riservandosi di tornare sull’argomento quando sarà resa nota la versione finale del Data Act che sarà proposta per l’approvazione definitiva al Parlamento UE. Del resto è evidente che la pubblicazione di questo parere è stata voluta dalle autorità anche al fine di lanciare ulteriori segnali e avvertimenti proprio in vista della adozione del testo finale del Data Act.
Una seconda considerazione preliminare è necessaria.
Il “parere” pubblicato il 5 maggio è la seconda opinione congiunta adottata dalle due autorità sul testo del Data Act. Già il 10 marzo 2022, infatti, le due Autorità avevano adottato un parere congiunto sulla legge di governance dei dati che fa parte del “Data Act”.
Occorre dire subito che i due pareri, pur riguardando aspetti diversi del complesso sistema regolatorio che costituisce il Digital Services Act package, il primo dei quali relativo alla governance dei dati e il secondo alla condizione dei dati tra operatori pubblici e tra operatori pubblici e privati, hanno molti aspetti in comune e soprattutto sottolineano problemi analoghi.
Il dato più significativo, presente in entrambi i pareri, è che i numerosi rilievi contenuti in entrambi mettono in chiaro che non basta richiamare il principio che le nuove regole proposte devono comunque essere applicate nel rispetto dei principi europei e, dunque, anche del diritto alla protezione dei dati personali e delle regole contenute nel GDPR, per rendere la nuova regolazione conforme ai principi fondamentali dell’Unione.
Al contrario, in entrambi i pareri sono specificati numerosi punti di criticità derivanti essenzialmente proprio dalla difficoltà di armonizzare le due regolazioni e la loro applicazione tanto più in presenza di definizioni non perfettamente coincidenti su punti chiave delle due normative, quali in particolare quelli relativi all’accesso e all’uso dei dati generati e la “messa a disposizione” di un ampio spettro di servizi, primo fra i quali la connessione fra i device, legata all’Internet delle cose.
Fra i punti più delicati sottolineati nel parere del 5 maggio 2022, vi è anche la tematica della portabilità dei dati sulla quale le due opinions richiamano una particolare attenzione.
Significative sono, a questo proposito, le dichiarazioni rese a margine della presentazione del parere, da Wojciech Wiewiórowski, attuale Garante europeo per la protezione dei dati. Sottolinea infatti Wiewiórowski, che quanto più le nuove tecnologie garantiscono la condivisione dei dati e anche, e forse soprattutto, la loro utilizzabilità e portabilità, tanto più dobbiamo garantire che il quadro europeo della protezione dei dati debba restare intatto e, caso mai, essere ulteriormente rafforzato.
Per questo EDPB e EDPS chiedono ai decisori europei di prevedere più forti, e soprattutto più chiare, restrizioni all’uso e riuso dei dati generati da un prodotto o da un servizio, specialmente quando l’uso possa far capo a persone o entità diverse dagli interessati, e quando i dati stessi possono consentire di trarre informazioni relative alla vita privata delle persone che fanno uso di questi servizi.
È evidente che il parere è stato stilato avendo di mira anticipare, fin d’ora, la richiesta di una attenzione particolare all’uso che i dati prodotti dai servizi messi a disposizione e dall’uso di questi servizi prodotti potranno consentire soprattutto nell’ambito dell’evoluzione delle tecnologie e delle applicazioni che il mondo digitale sta preparando, primo fra tutti il Metaverso.
Proprio la tecnologia del Metaverso, infatti, sta già preoccupando moltissimo i Garanti europei, che sanno come i dati prodotti negli ambienti artificiali che caratterizzano il Metaverso possono essere riutilizzati con modalità tali da fornire molte informazioni preziose sulle caratteristiche delle persone che ne fanno uso, a cominciare dalla informazioni che l’analisi delle modalità di uso degli occhi e della direzione degli sguardi dei partecipanti può fornire a chi ne venga a conoscenza e possa farne liberamente uso.
Il parere riafferma poi, come già aveva fatto quello del marzo scorso, la necessità di introdurre limiti più incisivi e soprattutto più chiari per quanto riguarda la possibilità di uso e riuso dei dati a fini di marketing diretto, di controllo dei dipendenti, di valutazione dei rischi assicurativi, di valutazione dei comportamenti nella logica del credit scoring. Una tutela maggiore e specifica è richiesta per il riuso di dati che può coinvolgere i minori e le persone vulnerabili. Allo stesso tempo, si richiedono norme più chiare contro i “dark pattern”, sempre più adottati dalle piattaforme quando utilizzano i dati con modalità che rendono volutamente difficile agli utenti comprendere effettivamente i rischi che possono correre.
Rischi che aumentano anche in ragione del fatto che, forti di competenze sempre più ampie in materia di psicologia degli utenti, le piattaforme possono creare, e creano, modalità di presentazione dei servizi attrattive e ingannevoli che spingono gli utenti a accettare i servizi senza rendersi conto effettivamente dell’uso che potrà essere fatto del consenso da loro fornito.
Il parere del 5 maggio 2022 richiama, inoltre, la necessità che i colegislatori europei forniscano anche definizioni più chiare e stringenti di cosa si debba intendere per “ipotesi di emergenza” o “necessità eccezionali”, considerate l’una e l’altra, come fondamento della legittimità del riuso dei dati da parte dei soggetti pubblici. Inoltre, le due Autorità chiedono ripetutamente di riaffermare una volta di più il principio, fondamentale nel GDPR, secondo il quale ogni uso di dati (e quindi anche il riuso) deve fondarsi su basi giuridiche chiare, accessibili e prevedibili, che definiscano la portata e le modalità di esercizio dei poteri da parte delle Autorità competenti in un quadro di garanzie adeguate a proteggere gli interessati.
Per quanto riguarda le Autorità competenti alla vigilanza e all’esame dei reclami degli interessati, il parere riconferma la necessità di garantire sempre anche tutele giurisdizionali adeguate mentre per quanto riguarda le autorità di vigilanza e controllo ribadisce la convinzione che sia opportuno che anche i compiti di vigilanza sul riuso dei dati e l’applicazione della normativa esaminata siano affidati alle Autorità di vigilanza sull’applicazione della normativa di protezione dei dati personali.
Lo scopo di questa raccomandazione è evitare la frammentazione dell’architettura regolatoria e di vigilanza del mercato digitale, soprattutto rispetto alla tutela dei dati personali.
A questo proposito la Presidente dello EDPB, Andrea Jelinek, ha detto con chiarezza che “è fondamentale incorporare il GDPR nell’architettura normativa complessiva che si sta sviluppando per il mercato digitale. Dovrà essere garantita una chiara distribuzione delle competenze fra i regolatori pertinenti, così come un’efficiente cooperazione tra loro per evitare il rischio di una supervisione frammentata e la creazione di un insieme di regole parallele”. Inoltre, aggiunge la Jelinek, è necessario fare il possibile “per garantire la certezza del diritto per le organizzazioni degli interessati”.
Insomma, dal parere congiunto del 5 maggio 2022, che però sui punti citati coincide puntualmente con quello del 10 marzo 2022 e lo rafforza, è evidente che la nuova regolazione contenuta nei diversi documenti che compongono il Digital Services Act package deve, come già il pacchetto europeo dichiara di fare, garantire regole chiare, definizioni coerenti col GDPR, una chiara distribuzione di competenze tra i diversi sistemi regolatori.
In sostanza, quello che le Autorità di vigilanza europee vogliono mettere in risalto è l’esigenza che il complesso sistema regolatorio che deriva dal Digital Services Act package e dalle proposte regolatorie in esso contenute sia coerente con una effettiva e proattiva tutela del diritto fondamentale alla tutela dei dati personali ma anche con la necessità, vitale per la società digitale e il Mercato unico digitale, di evitare rischi, sempre possibili, di regolazioni frammentate e contraddittorie che originino regole parallele ma diverse e difficilmente armonizzabili fra di loro.
Inoltre, entrambi i pareri considerano fondamentale garantire e tutelare la certezza del diritto e della sua applicazione come aspetto essenziale per la effettiva esistenza di un reale Mercato Unico Digitale nell’Unione.
Come si vede anche questi due Pareri, particolarmente importanti proprio perché congiunti tra le Autorità europee di protezione dati e molto vicini tra loro quanto a data di adozione, sottolineano la strettissima connessione tra tutela dei dati e regolazione del mercato digitale.
Tutto questo conferma che man mano che la società digitale si sviluppa il ruolo del DPO o, se si preferisce, del Digital Manager Officer, richiede non solo la conoscenza approfondita del GDPR, ma anche quella del Digital Act e delle diverse proposte in esso contenute. Un quadro che conferma che i sistemi regolatori della Digital Age richiedono oggi, e sempre più richiederanno domani, anche un continuo aggiornamento professionale affinché queste figure possano vedere accrescere il proprio ruolo e anche l’importanza del loro lavoro man mano che la società digitale di svilupperà.
In sostanza è possibile, anzi necessario, dire che se il DPO è una figura centrale della protezione dei dati personali, il DDO (Digital Data Officer) è una figura ancora più centrale nella società digitale, assolvendo a compiti fondamentali non solo per il successo delle imprese e delle pubbliche amministrazioni ma anche per lo sviluppo di una società nella quale la convivenza digitale possa avvenire senza suscitare timori e preoccupazioni nei cittadini e in chi si serve delle opportunità che essa può offrire e sempre più offrirà.