Un’interpretazione troppo conservativa del Gdpr, unita ad una mancanza di armonizzazione e ad un’applicazione non coerente, ha creato sfide importanti per le imprese, nonostante il loro impegno e i notevoli investimenti, con pericolose ricadute sull’operatività aziendale e sull’innovazione: è necessario che i Garanti privacy nazionali rivedano la loro applicazione del testo sulla data protection in nome di un approccio risk-based e del principio di proporzionalità e garantiscano l‘armonizzazione dell’interpretazione su scala Ue, instaurando il prima possibile un dialogo costruttivo con l’industria. È quanto si legge nella dichiarazione congiunta (SCARICA QUI IL DOCUMENTO COMPLETO) firmata da una coalizione di 24 associazioni di diversi settori (tra cui Etno e Gsma).
Il documento propone di lavorare, in particolare, su sei punti che richiedono chiarimenti e armonizzazioni: i Codici di condotta e le certificazioni, le Richieste di accesso degli interessati (Dsar), gli obblighi di Documentazione e informazione, le Basi giuridiche per il trattamento dei dati personali, i Trasferimenti internazionali di dati, e i Metodi per l’anonimizzazione e la pseudoanonimizzazione dei dati. A rischio potrebbe esserci anche l’applicazione efficace della Strategia europea dei dati e dell’Ai act, sottolinea l’appello.
Gdpr, allarme dell’industria: interpretazione troppo restrittiva
Gli attori economici in ogni settore hanno investito molte risorse per raggiungere la compliance dall’entrata in vigore della normativa Gdpr, si legge nel documento. Le aziende riconoscono come il regolamento abbia avuto un ruolo fondamentale nel rafforzare la protezione dei dati in tutta l’Ue e riconoscono il vantaggio competitivo che deriva dalla protezione dei dati per creare un duraturo rapporto di fiducia con gli stakeholder. Tuttavia, proseguono i 24 firmatari, “sottolineiamo la necessità che i regolatori nazionali ed europei applichino coerentemente l’approccio basato sul rischio e i principi di proporzionalità sanciti dal Gdpr”.
Infatti, le autorità di regolamentazione hanno adottato un’interpretazione restrittiva della legge che, contrariamente allo spirito originale del Gdpr, “sembra considerare soltanto l’esistenza di un potenziale danno, trascurandone la probabilità e la gravità dei rischi e come questi variano tra i settori e le operazioni aziendali”. La protezione dei dati è diventata così un diritto assoluto, in contraddizione con l’ambizione del Gdpr di conciliarlo con altri obiettivi di politica pubblica e con i diritti fondamentali, compreso il diritto di esercitare un’impresa, come previsto dallo stesso Gdpr.
Riallineare l’attività dei Garanti privacy: dialogo con l’industria
Il riallineamento allo spirito originario del Gdpr deve essere accompagnato da un rafforzamento della missione del regolatore di dare sostegno agli attori economici, in particolare le pmi, nella protezione dei dati personali attraverso misure tecniche e organizzative che siano adeguate rispetto ai rischi delle loro attività di trattamento dei dati e del loro settore specifico.
“Siccome non ci si può aspettare che i regolatori abbiano una vasta esperienza settoriale”, prosegue il documento, “è fondamentale garantire un dialogo costruttivo e strutturato con gli stakeholder (sia singole aziende che associazioni di settore)”. Questo dialogo dovrebbe avvenire fin dall’inizio del processo ed essere sempre sostenuto da incontri o audizioni dinanzi sia alle Dpa (Autorità di protezione dei dati) nazionali sia all’Edpb (il Comitato europeo per la protezione dei dati). Questo dialogo dovrebbe aiutare le autorità di regolamentazione a comprendere meglio le dinamiche aziendali, nonché l’importanza e l’impatto dei dati nei modelli e nelle strategie di business.
Applicazione armonizzata su scala Ue: le proposte
Le aziende spesso si trovano ad affrontare anche l’incertezza giuridica nei loro sforzi per conformarsi al Gdpr, un fattore esacerbato dai livelli significativi di frammentazione nel modo in cui vengono valutati i rischi per gli individui, che rende più difficile per le aziende svolgere la propria attività in più paesi dell’Ue rimanendo compliant. Ciò si riflette, ad esempio, nell’ambiguità che deriva dai tanti diversi modelli e guide per le valutazioni d’impatto sulla protezione dei dati (Dpia, Data protection impact assessment) disponibili in diversi Stati membri. Occorrono una migliore armonizzazione a livello dell’Ue e valutazioni comuni del rischio.
In questo contesto, ci sono sei aree chiave in cui gli attori economici di tutti i settori concordano sulla necessità di una revisione nell’applicazione risk-based e del principio di proporzionalità del Gdpr. Per esempio, nei Codici di condotta e certificazioni, nelle Dsar, o richieste di accesso degli interessati (Dsar), e negli obblighi di documentazione e informazione.
Punto particolarmente delicato è quello delle basi giuridiche per il trattamento dei dati personali, dove le aziende sono ancora alle prese con l’incertezza in merito alla base giuridica adeguata, con particolare riguardo alla necessità di esecuzione di un contratto e dell’interesse legittimo.
Altro punto su cui occorre lavorare è quello dei trasferimenti internazionali di dati: dopo la sentenza Schrems II della Cgue, e anche dopo la sigla dell’Ue-Usa Data privacy framework, la Commissione europea e le autorità di regolamentazione hanno assunto una posizione severa in merito ai trasferimenti internazionali di dati verso paesi privi di accordi di adeguatezza con l’Ue. Nonostante costose valutazioni dell’impatto del trasferimento, le organizzazioni sono tenute ad eliminare tutti i rischi di accesso non autorizzato ai dati personali europei, indipendentemente dalla natura dei dati, dalla probabilità di accesso da parte di governi stranieri e dalla gravità del potenziale danno. Questo approccio rigoroso obbliga quindi le imprese ad implementare misure aggiuntive oltre alle clausole contrattuali standard e alle regole aziendali vincolanti. Ciò pone sfide, in particolare per le imprese più piccole, che richiedono un approccio più equilibrato e basato sul rischio, in linea con i principi Gdpr.
Infine, i firmatari notano che, sei anni dopo l’entrata in vigore del Gdpr, i titolari del trattamento dei dati non hanno ancora strumenti e criteri comuni per il trattamento dei dati pseudonimizzati e anonimizzati. Anche se questa avrebbe dovuto essere una delle prime priorità delle autorità di regolamentazione, l’attuale approccio eccessivamente restrittivo spesso rende inutili i dati pseudonimizzati/anonimi, scoraggiando gli investimenti in tecnologie per proteggere la privacy. Le autorità di regolamentazione devono definire i confini del Gdpr, specificando i metodi operativi dell’anonimizzazione e le condizioni per il riutilizzo sicuro dei dati attraverso la pseudonimizzazione.
Innovazione data-based e Ai Act a rischio
In conclusione, gli ostacoli descritti ritardano l’approvazione da parte delle imprese di ogni tipo di trattamento dei dati, da quelli a basso rischio a quelli più innovativi. Inoltre, secondo i firmatari, si rischia di mettere a repentaglio le potenzialità delle nuove iniziative nell’ambito della strategia europea sui dati e dell’Ai Act, la cui logica interazione con la protezione dei dati richiede una chiara applicazione dell’approccio risk-based, si legge.
Il Gdpr e la legge sull’Ai rispondono a principi e scopi fondamentalmente diversi, ma alcune disposizioni si sovrappongono e questi obblighi contrastanti dovranno essere chiaramente identificati per evitare ulteriori difficoltà nella compliance. In conclusione, “La complessità del quadro giuridico non deve contribuire ad alimentare un circolo vizioso che eroderebbe gradualmente la capacità e la volontà degli attori economici in tutti i settori di innovare”.
