Il Garante privacy dell’Ue (Edps) ha aumentato l’uso dei suoi “poteri correttivi” nel corso del 2021. Sotto la lente, come evidenzia l’Annual Report 2021, il monitoraggio del rispetto del Gdpr ma anche della sentenza Schrmes II per il trasferimento transatlantico dei dati. Tra le attività più rilevanti ci sono l’ordinanza nei confronti dell’Europol per la cancellazione dei dati relativi a persone che non hanno alcun legame accertato con un’attività criminale, la richiesta di vietare l’Ai per il riconoscimento facciale nelle aree ad accesso pubblico, le verifiche sul trasferimento dei dati personali degli utenti istituzionali europei dei servizi cloud di Amazon e Microsoft e il sondaggio sull’impatto del Covid-19 sulla privacy.
Quest’anno è stato senza precedenti anche in termini di consulenza dell’Edps fornita al legislatore dell’Ue: il Garante ha totalizzato nel 2021 88 pareri, inclusi commenti formali, rispetto ai 27 del 2020. L’Edps ha inoltre continuato a partecipare attivamente ai lavori del comitato europeo per la protezione dei dati (Edpb), proponendo o partecipando a una serie di iniziative.
Il Garante europeo Wojciech Wiewiórowski ha così commentato il report: “Sono passati un paio d’anni dall’entrata in vigore di una serie di leggi dell’Ue sulla protezione dei dati. È passato abbastanza tempo per aspettarsi che le istituzioni dell’Ue rispettino pienamente queste leggi. L’Edps vuole istituzioni europee forti. Questa forza può, tuttavia, basarsi solo sul pieno rispetto delle leggi vigenti. Nessun’altra fondazione può portare risultati a lungo termine”.
Questi alcune delle informazioni salienti del report.
Trasferimento internazionale dei dati personali
A seguito della sentenza Schrems II della Corte di giustizia dell’Unione europea, il Garante europeo ha perseguito e avviato varie attività e iniziative nel quadro della strategia dell’Edps affinché le istituzioni, gli enti e gli organismi dell’Ue (Eui) si conformino alla sentenza pubblicata il 29 ottobre 2020.
La strategia dell’Edps in questo ambito mira a garantire e monitorare la conformità delle Eui alla sentenza sui trasferimenti di dati personali al di fuori dell’Ue e dello Spazio economico europeo, in particolare negli Stati Uniti. A questo riguardo, a maggio 2021, l’Edps ha avviato due indagini: una sull’utilizzo dei servizi cloud forniti da Amazon web services e Microsoft nell’ambito dei contratti Cloud II da parte delle Eui, e una sull’utilizzo di Microsoft Office 365 da parte della Commissione europea.
Covid-19 e data protection, monitoraggio continuo
Per tutto il 2021 l’Edps ha continuato a monitorare la pandemia di Covid-19 e il suo impatto sulla protezione dei dati attraverso la sua task force dedicata, istituita inizialmente nel 2020. In qualità di autorità per la protezione dei dati delle Eui e in qualità di datore di lavoro il Garante ha prodotto linee guida e altre iniziative per supportare le Eui nelle loro attività di trattamento dei dati durante questo periodo.
In particolare l’Edps ha condotto un sondaggio chiedendo a tutte le Eui come hanno cambiato o sviluppato nuovi processi di elaborazione dei dati come risposta alla pandemia (per esempio alla comunicazione della positività al Covid o all’adesione alla campagna vaccinale) e allo smart working. I risultati dell’indagine sono stati già condivisi con i responsabili della protezione dei dati delle Eui e verranno presto resi pubblici; contribuiranno all’aggiornamento delle linee guida dell’Edps o alla creazione di nuove norme.
Libertà, sicurezza e giustizia: il caso dell’Europol
Alcuni degli interventi più importanti nell’ambito libertà, sicurezza e giustizia includono le attività di supervisione sul trattamento dei dati personali da parte di Europol, l’Agenzia dell’Ue per la cooperazione tra le forze dell’ordine. Nel 2021 l’Edps ha aumentato l’uso dei suoi poteri correttivi. Tra le azioni esecutive intraprese quest’anno, particolare importanza è attribuita alla decisione di ordinare a Europol di cancellare set di dati privi di collegamenti accertati con attività criminali, che l’Edps vede nel contesto del rispetto dello Stato di diritto.
L’Edps ha anche supervisionato Europol sull’uso degli strumenti di machine learning (proseguendo un’attività partita nel 2019). Il Garante ha suggerito ad Europol di istituire un quadro di governance interno per garantire che, nel corso dello sviluppo di modelli di apprendimento automatizzato, Europol identifichi i rischi per i diritti e le libertà fondamentali posti dall’uso di queste tecnologie innovative.
Il futuro digitale dell’Ue e l’Artificial intelligence act
L’Edps ha pubblicato anche delle opinioni sulle nuove leggi europee Digital markets act e Digital services act. Per il Digital Services Act ha sottolineato l’opportunità di ulteriori misure a protezione degli individui online, in particolare negli ambiti della moderazione dei contenuti, della pubblicità mirata e dei sistemi di raccomandazione usati dalle piattaforme digitali come social media e marketplace dell’e-commerce.
L’Edps ha anche pubblicato un’opinione sulla proposta della Commissione europea di un Artificial intelligence act chiedendo il divieto dell’Ai per il riconoscimento automatico delle fattezze umane negli spazi pubblici.
Il TechSonar: i 6 trend del 2022 per la privacy
Nel 2021 l’Edps ha creato un nuovo report annuale, il TechSonar, con lo specifico obiettivo per anticipare le tendenze tecnologiche emergenti e comprendere meglio i loro sviluppi futuri, in particolare le potenziali implicazioni sulla protezione dei dati e sulla privacy delle persone.
L’Edps crede fermamente che, invece di reagire alle nuove tecnologie emergenti quando i rischi per la società sono già sviluppati, dovremmo essere in grado di anticiparne gli sviluppi. Ciò ci consentirebbe di garantire che queste tecnologie siano sviluppate, sin dalle prime fasi della loro concezione, secondo i diritti fondamentali delle persone.
Il primo 2021 TechSonar report si è concentrato su sei trend tecnologici che impatteranno la privacy nell’immediato futuro: i certificati di avvenuta vaccinazione anti-Covid (i green pass); i dati generati sinteticamente; le valute digitali emesse dalle banche centrali; le tecnologie per lo shopping “Just walk out”, ovvero il negozio senza cassa interamente digitalizzato; l’autenticazione biometrica continua, e le cure digitali (digital therapeutics).