Una speranza e una preoccupazione alberga nel cuore della massima autorità europea e mondiale in fatto di privacy, l’EDPB (European Data Protection Board). Il timore è che non si riuscirà a trovare una quadra nell’attuazione del GDPR nel rapido, incessante progredire del digitale. Sono troppi i soggetti decisori.
Indice degli argomenti
I timori (e le speranze) dell’EDBP
Ma la speranza è che alla fine si riuscirà a sviluppare una buona cooperazione, tra autorità garanti privacy e anche verso diverse autorità e soggetti istituzionali, a quanto ci racconta Andrea Jelinek, presidente di EDPB, raggiunta al telefono qualche giorno fa.
Comincia a rispondere alle domande dopo essersi dichiarata amante del Sud Italia – della Calabria – e delle sue spiagge. Abbiamo ribattuto con analoga dichiarazione d’amore per la sachertorte di morettiana memoria. Già perché Jelinek vive a Vienna e ci raccomanda un posto poco noto dove assaporarla.
Data transfer Ue-Usa, l’Edpb accoglie con riserva il nuovo framework
Venendo a temi meno “dolci”: quali sono, per l’EDPB, le principali preoccupazioni privacy nell’era della trasformazione digitale? In particolare per il 2023 e 2024.
“Partiamo da un punto fermo. Il GDPR è diventato standard globale di regolamentazione privacy. Ha influenzato la regolazione di tutti i Paesi e ora è nostra responsabilità, di EDPB in particolare, farlo rispettare. I cittadini si aspettano un rispetto rigoroso. Molti soggetti sono in attesa di vedere se il GDPR davvero riuscirà a mantenere le promesse attraverso tutte le evoluzioni tecnologiche ed economiche che stiamo vivendo Per questo motivo, è necessaria una cooperazione tra autorità come previsto da Gdpr.
Quest’anno raddoppieremo gli sforzi per la cooperazione. Con iniziative come il coordinated enforcement framework (CEF), un modo per fornire una struttura per coordinare le attività annuali ricorrenti delle autorità di vigilanza dell’EDPB. L’EDPB ha creato il CEF per consentire alle autorità di protezione dei dati di svolgere un’azione coordinata di contrasto su un tema concordato, utilizzando una metodologia comune per un periodo di un anno.
La prima azione coordinata annuale si è svolta nel 2022 sull’uso di servizi basati su cloud da parte del settore pubblico e si è conclusa nel gennaio 2023.
Per noi questa cooperazione è cruciale e deve investire altri organi d’alto livello nei Governi e nella Commissione”.
La sfida? Tenere il GDPR al centro di tutto
Ma più direttamente ci può dire qual è il vostro principale timore?
“Una preoccupazione e una speranza assieme, direi: riguarda la necessità di questa cooperazione, fra autorità diverse. Ed è cruciale che responsabilità e ruoli delle diverse autorità siano chiariti dal legislatore europeo per evitare sovrapposizioni.
Abbiamo bisogno di più dettagli su come deve funzionare la cooperazione in pratica e su chi deve essere il regolatore principale della digital economy.
Solo così sarà ancora possibile tenere il Gdpr al centro di tutto e del nostro futuro. Il legislatore deve prendere questo tema seriamente, riconoscendo che il Gdpr è ancora valido anche a fronte del nuovo Digital package europeo”.
Human centric innovation
Rispetto alle innovazioni che arrivano sul mercato, invece, qual è la vostra posizione?
“Continueremo a monitorare le tecnologie emergenti e il potenziale loro impatto sui diritti fondamentali. Le tecnologie stanno trasformando il nostro mondo e noi vogliamo rendere il digital single market adeguato per quest’era, anche sotto il profilo dei diritti fondamentali.
In merito all’AI act già l’ EDPB ha espresso una “opinion”, su alcuni usi dell’intelligenza artificiale che consideriamo incompatibili con i nostri diritti, che devono avere quindi prevalere sulle esigenze di innovazione, la quale deve sempre essere human centric.
Uno dei problemi sono i dark pattern, su cui abbiamo pubblicato recenti linee guida utili per valutare quando si pone questo rischio ed evitarlo. È nei fatti una violazione del GDPR. Il dark pattern, ad esempio sui social media, crea decisioni non desiderate dagli utenti e potenzialmente pericolose, con i nostri dati”.
Se da una parte il GDPR è valido, quindi, dall’altra è sempre utile offrire una guidance per la sua implementazione.
“Sì a volte devi dare guidance e chiarire alcuni casi d’uso; ma serve anche fare continuo enforcement”.
Una novità del 2024 sarà senza dubbio il Digital Services Act. Quali i suoi principali impatti sulla privacy?
“Edbp è soddisfatta di DSA, che impone nuovi obblighi e controlli sulle big tech, a tutela soprattutto degli utenti più fragili, come i bambini. Molto importante, il Dsa; ma la sua importanza sempre e comunque si fonda sul GDPR”.
Qual è la sua visione in generale sul futuro che dobbiamo perseguire, in Europa, nella continua e necessaria trasformazione digitale?
“Credo il successo di digital single market si debba fondare su due elementi, la protezione dei diritti la libera circolazione dei dati. GDPR supporta entrambi gli elementi e, come detto, avrà bisogno di una corretta cooperazione tra autorità per svolgere appieno questo ruolo”.
Le big tech rispettino le regole del GPPR
In questa visione qual è il ruolo delle big tech, dal vostro punto di vista?
“(ride) La nostra visione è che rispettino le regole del GDPR; così sarà il primo passo verso la direzione giusta.
Ma la cosa più importante è che le big tech siano privacy by default. Mettano privacy e diritti nel cuore del loro operatore, anche prima che gli diciamo noi come fare. In questo modo non solo rispetteranno il GDPR ma anche aiuteranno lo sviluppo delle loro aziende”.
Ultimo punto: la questione del trasferimento dati Usa-Europa, su cui avete una recente opinion.
“Sappiamo che c’è in corso una discussione ad alto livello tra Europa e Usa. Come si legge nella nostra opinione vincolante sulla nuova bozza di accordo per il trasferimento dati, siamo davanti a un grande passo avanti ma restano alcuni punti critici. È cruciale che questi siano affrontati. Non ci aspettiamo che altri Paesi facciano copia incolla delle nostre regole ma è necessario che le loro siano equivalenti alle nostre nei principi.
In conclusione, sottolineo l’importanza del risultato finora raggiunto, frutto di una lunga negoziazione; ora bisognerà rafforzare l’accordo per renderlo future-proof. Come data per una possibile adozione finale, le mie ultime informazioni la pongono nell’estate del 2023″.
Articolo originariamente pubblicato il 22 Mar 2023