Digital Omnibus: ecco cosa potrebbe cambiare in materia di protezione dei dati personali

Come preannunciato nella comunicazione A simpler and faster Europe di inizio anno, la Commissione europea sta lavorando alla semplificazione del digital acquis, vale a dire il complesso normativo europeo sul digitale che, negli ultimi anni, è andato stratificandosi, creando notevoli costi e oneri per imprese e non solo. Il digital acquis spazia dalla normativa sulla protezione dei dati, personali e non, toccando l’utilizzo dei cookie, servizi e mercati digitali, fino alla disciplina della cybersecurity. La proposta interviene, tra gli altri, sul Data Act, sul GDPR, sulla Direttiva e-Privacy e sulla Direttiva NIS2.

L’intento, come detto, è quello di semplificare e la proposta, con cui si intende perseguire questo obiettivo, si concentra sull’allineamento dei molteplici atti normativi che – riconosce la Commissione – hanno creato nel tempo complessità e sovrapposizioni, causando incertezza giuridica e rendendo poco chiaro l’interplay tra le diverse fonti.

Delle 152 pagine di cui si compone la proposta ci concentreremo, nel presente commento, su alcune di quelle dedicate alla riforma del GDPR, il Regolamento europeo 2016/679 sulla protezione dei dati personali.

Nell’attuale bozza di regolamento, la Commissione si propone in primo luogo di aggiornare le definizioni di dato personale e di dato appartenente a categorie particolari.

Adottando una sintassi lontana da quella schematica a cui si è abituati, specie negli articoli dedicati all’impianto definitorio, la Commissione fa proprio l’orientamento (e forse le parole) della Corte di Giustizia dell’UE (v. il mio commento alla Causa 413/23P “La relatività del dato personale, ma non solo: la CGUE interpreta anche l’obbligo di informativa”) e alla definizione di “dato personale” aggiunge in modo esplicativo: “Information relating to a natural person is not necessarily personal data for every other person or entity, merely because another entity can identify that natural person. Information shall not be personal for a given entity where that entity cannot identify the natural person to whom the information relates, taking into account the means reasonably likely to be used by that entity. Such information does not become personal for that entity merely because a subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates”. Dunque, la Commissione europea non si limita a offrire una nozione statica, ma ragiona sui confini applicativi del concetto stesso di dato personale, offrendo spunti per l’attuazione operativa.

Analogamente, con riferimento ai dati particolari, la Commissione specifica che rientrano in tale categoria solo quelli che direttamente rivelano informazioni relative alla sfera più intima della persona. I dati relativi alla salute sarebbero, ad esempio, solo quelli che direttamente rivelano informazioni sullo stato di salute del soggetto. In questo caso, la modifica potrebbe avere un forte impatto considerato che, sino ad oggi, la nozione è stata sempre interpretata in maniera estensiva ritenendo comprendesse anche quei dati da cui si possa inferire un’informazione di tal genere (ad esempio, oggi nel settore dell’energia elettrica è prassi considerare dato – benché indirettamente – relativo alla salute l’informazione circa l’appartenenza di un utente domestico alla categoria dei c.d. “clienti non disalimentabili”, ossia soggetti per i quali l’interruzione del servizio potrebbe comportare gravi rischi per la salute).

Un’importante novità risiede nell’introduzione di due nuove eccezioni al generale divieto di trattamento di dati particolari.

Secondo la bozza di regolamento, sarebbe lecito il trattamento di dati particolari per finalità di sviluppo, addestramento, testing e validazione di sistemi o modelli di IA, purché siano adottate misure tali da limitare la raccolta di questo genere di dati e, qualora ci si avveda dell’utilizzo di dati particolari, si intervenga per rimuoverli o, perlomeno, per evitare che tali dati siano utilizzati per la produzione degli output, siano diffusi o resi disponibili a soggetti terzi. Tale previsione fa il paio con un nuovo articolo che la proposta mira a introdurre e che prevederebbe il legittimo interesse come condizione di liceità del trattamento di dati personali per le finalità di addestramento dell’IA, ferma restandone l’esperibilità previo bilanciamento con i diritti e le libertà degli interessati. A tal riguardo, la proposta specifica che occorrerà tenere conto se l’interesse perseguito dal titolare vada in qualche modo a vantaggio degli interessati o della collettività in generale, ad esempio quando il trattamento di dati personali sia necessario per rilevare ed eliminare i bias e, dunque, per proteggere gli interessati dai rischi di discriminazione.

Un’altra eccezione proposta dalla Commissione riguarda il trattamento di dati biometrici per finalità di autenticazione che è sempre ammesso purché questi siano sotto il controllo esclusivo del soggetto a cui i dati appartengono. La ratio sottostante a tale nuova eccezione – spiega la proposta – risiede nel fatto che il trattamento non presenterebbe rischi elevati per l’interessato poiché, grazie all’obbligatoria misura di cautela individuata dalla norma, il titolare di fatto non verrebbe a conoscenza dei dati o comunque li conoscerebbe per un tempo assai limitato durante la sola fase di autenticazione.

Tra gli adempimenti che talvolta, dal punto di vista prettamente operativo, causano maggiori oneri vi è la fornitura di informazioni ai soggetti interessati, rispetto alla quale i titolari del trattamento sono oggi esentati soltanto in casi limitati, ad esempio quando si reputi che gli interessati siano già a conoscenza di tali informazioni.

Con la proposta di semplificazione tale deroga verrebbe estesa ai casi in cui i trattamenti di dati personali non siano tali da generare un rischio elevato e si possa ritenere, sulla base del contesto specifico, che gli interessati siano già a conoscenza del trattamento. Nei considerando, la proposta esemplifica il caso dell’artigiano rispetto al trattamento dei dati dei propri clienti e dell’associazione sportiva rispetto ai propri abbonati, rilevando come in questi casi l’attività riguardi una quantità ridotta di dati personali (“controller’s activity is not data-intensive”) e la relazione tra titolare e interessati sia chiara e circoscritta.

Nelle more della versione definitiva, tale deroga suscita delle perplessità e ci si domanda quale possa essere la reale portata applicativa. In un contesto economico e sociale dove anche le microimprese si avvalgono di sistemi gestionali digitali, piattaforme di pagamento online e strumenti di marketing automatizzato, risulta difficile individuare realtà in cui i trattamenti dei dati possano dirsi davvero residuali. Forse solo i piccoli artigiani — il falegname che conserva i recapiti dei propri clienti su un’agenda cartacea, il sarto che annota le misure e i nomi dei clienti abituali — rientrano in questa casistica. Ma si tratta ormai di eccezioni, non della regola, in un tessuto produttivo in cui anche la bottega più tradizionale è spesso connessa a un gestionale o a un profilo social.

Si cambia prospettiva sulla soglia che fa scattare l’obbligo di notifica della violazione di dati personali all’autorità di controllo privacy. Mentre oggi la notifica è obbligatoria salvo che sia “improbabile che la violazione dei dati personali presenti un rischio”, la Commissione propone di innalzare (o, a seconda dei punti di vista, abbassare) tale soglia prevedendo l’obbligo di notifica soltanto in quei casi in cui la violazione presenti un rischio elevato per gli interessati. Questa modifica avrebbe, da un lato, il pregio di consentire al titolare di effettuare valutazioni analoghe in tema di notifica della violazione al Garante e di comunicazione alla stessa all’interessato; dall’altro, rischia di ridurre sensibilmente il livello di vigilanza complessiva, lasciando al titolare margini di discrezionalità più ampi. In concreto, si potrebbe assistere a un numero minore di notifiche all’autorità, con il rischio che episodi di data breach di media entità restino confinati all’interno dell’organizzazione. Il nuovo impianto normativo punta chiaramente a sgravare le autorità di controllo da segnalazioni minori e a ridurre gli oneri per le imprese, ma ci si chiede se ciò non finisca, in prospettiva, per abbassare il livello di trasparenza e di consapevolezza sul fenomeno delle violazioni dei dati personali.

Un’ulteriore modifica all’articolo 33 del GDPR riguarderebbe poi la tempistica di notifica, innalzata da 72 a 96 ore.

Ma l’azione che avrà senz’altro un impatto concreto, e positivo, per le imprese è l’istituzione di un unico punto di accesso (single-entry point) per la notifica di data breach e incidenti. ENISA – l’Agenzia europea per la cybersicurezza – sarebbe individuata come il soggetto responsabile di sviluppare e gestire una piattaforma unica attraverso cui l’impresa possa adempiere ai plurimi obblighi di notifica cui soggiace in virtù di molteplici atti normativi, come GDPR, NIS2, Regolamento DORA.

L’introduzione di un punto di accesso unico rappresenterebbe un passo avanti concreto verso la semplificazione, riducendo duplicazioni, oneri e incertezze operative per le imprese. La possibilità di gestire in modo centralizzato le notifiche di incidenti di sicurezza consentirebbe di risparmiare tempo, coordinare meglio le comunicazioni e garantire una maggiore coerenza nell’applicazione delle diverse normative europee.

Per ragioni di sintesi non si è potuto illustrare nel dettaglio ogni abrogazione o modifica proposta, ma si è dato atto di quelle che, a parere della scrivente, potrebbero essere le modifiche più impattati nel contesto del GDPR. Tra queste vale la pena citare anche l’introduzione di un articolo dedicato alle tecnologie di pseudonimizzazione (attualmente in attesa di definizione) e la possibilità per le autorità di controllo di istituire sandbox regolatorie.

È prematuro formulare giudizi definitivi: sarà necessario attendere la versione finale del testo per comprenderne la reale portata. La proposta attuale, pur orientata alla semplificazione, potrebbe rappresentare anche un’occasione per affrontare nodi rimasti irrisolti. In particolare, sarebbe auspicabile che nel prosieguo dei lavori venissero introdotte indicazioni su tecniche comuni di anonimizzazione e una disciplina più chiara (e permissiva) sull’uso secondario dei dati, soprattutto quando perseguito da soggetti che operano nell’interesse collettivo, come nel campo della sanità o della ricerca. Sarebbe un passo importante per coniugare semplificazione normativa e valorizzazione responsabile dei dati.

_______
*Avv. Laura Greco, Studio Legale Giusella Finocchiaro

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più