I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Evoluzione GDPR mediante la Strategia UE sui dati

Il 24 novembre 2022 si è tenuto il webinar “UK e UE tra economia del dato e tutela dei diritti: conflitti e opportunità” organizzato da Officine Dati. Il Regno Unito sta discutendo la riforma del UKGDPR, il recepimento nell’ordinamento nazionale del regolamento UE post Brexit. L’obiettivo dell’incontro era quello di fare un “tagliando” al GDPR, passando in rassegna le critiche pubbliche avanzate alla disciplina dell’Unione sulla protezione dei dati personali, al fine di verificarne l’obiettiva validità, tanto da suggerire modifiche all’attuale impianto normativo. 

Nel corso della tavola rotonda, dove è stata rilevata all’unanimità la complessità di eventuali modifiche legislative, considerata l’articolata procedura di compromesso per la redazione della legislazione all’interno dell’UE, il professor Gianclaudio Malgieri ha evidenziato come il legislatore europeo stia già intervenendo con modifiche “laterali” al corpus del GDPR, attraverso l’attuazione della EU Digital Strategy.

 

Imperiali_Strategia_Europea_dati
Figura – Sintesi dei principali atti legislativi dell’UE sui dati.

 

Strategia digitale UE

Sebbene la strategia digitale dell’Unione europea sia stata lanciata nel 2020, si può affermare che essa tragga origine da prima, includendovi il pacchetto della disciplina sulla protezione dei dati personali. In questo senso, ad oggi, la strategia digitale UE può distinguersi in 5 fasi principali: 

  1. la tutela dei diritti sui dati personali
  2. la libera fruizione dei dati non personali
  3. la disciplina del mercato digitale
  4. la condivisione dei dati personali e la creazione di spazi unici di dati
  5. le discipline verticali dei dati connessi a tecnologie avanzate.

 

1. Tutela dei diritti sui dati personali

La prima fase – del periodo 2012-2018 – riguarda il pacchetto di norme aventi l’obiettivo di tutelare i diritti e le libertà fondamentali degli interessati, in relazione ai dati personali che li riguardano. Vi sono ricompresi i regolamenti GDPR (2016/679) ed EUDPR (2018/1725) – quest’ultimo indirizzato alle istituzioni UE – la direttiva sui trattamenti di dati personali per fini di polizia (2016/680), nonché la proposta di regolamento e-Privacy, del cui iter legislativo non si ha modo di fare previsioni circa la sua conclusione. In tutte queste norme si tracciano principi e regole generali di tutela al fine di consentire l’uso dei dati personali per le specifiche finalità in esse previste: cioè, principi e regole sono strumentali per l’uso lecito dei dati personali. La promulgazione in legge del regolamento e-Privacy concluderà il pacchetto di norme in questo ambito.

 

2. Liberalizzazione dei dati non personali

Dopo aver sostanzialmente completato la piattaforma regolatoria della tutela dei diritti, nel rispetto della dimensione politica antropocentrica e valoriale del mondo digitale che caratterizza la UE, nel periodo 2018-2019 si è passati ad affrontare l’altro aspetto della dicotomia protezione-utilizzo dati: ci si è concentrati in primo luogo sui dati non-personali; sono state introdotte regole per la libera circolazione di questi dati all’interno della UE con l’eliminazione di potenziali barriere (Regolamento sui liberi flussi (2018/1807) nonché è stato previsto il libero riuso dei dati non personali detenuti dal settore pubblico per finalità di interesse pubblico (direttiva “open data” 2019/1024).

 

3. Disciplina del mercato digitale

In terza battuta, nell’arco del solo 2022, l’Unione europea è poi passata a disciplinare il mercato digitale per contrastare posizioni di monopolio o di abuso di posizione dominante dei cosiddetti “gatekeeper”, cioè delle grandi piattaforme di base online, come le imprese tecnologiche fornitrici di motori di ricerca online molto grandi (DMA 2022/1925), in aggiunta alla regolamentazione della fornitura dei servizi digitali (DSA 2022/2065).

 

4. Condivisione di dati personali

Sempre nel 2022, l’Unione ha gettato le basi per la condivisione di dati personali promulgando la legge sul governo dei dati (DGA 2022/868) finalizzata alla costituzione dei cosiddetti “spazi unici di dati” di cui, la prima proposta di disciplina è rappresentata dal futuro regolamento sui dati elettronici sanitari, rilasciata dalla Commissione. La soluzione individuata dalla Commissione per agevolare tale condivisione nel rispetto delle prescrizioni del GDPR è stata quella di prevedere l’istituzione delle nuove figure degli intermediari di dati, una sorta di stanze di compensazione tra domanda e offerta di dati, che permettono di realizzare transazioni “molti-a-molti” in questo ambito. In breve, gli interessati su base volontaria specificano agli intermediari le condizioni per cui determinati dati personali che li riguardano possono essere condivisi con terzi per determinate finalità. Gli intermediari, organismi indipendenti e affidabili soggetti a notifica all’autorità, si fanno carico di verificare il rispetto delle condizioni dettate dagli interessati da parte dei potenziali utenti nonché di mettere a disposizione dei data subjects meccanismi per un loro agevole controllo. Insieme agli intermediari, il DGA prevede anche la figura degli organismi per l’altruismo dei dati, entità senza scopo di lucro e soggette a registrazione presso l’autorità, che facilitano l’uso dei dati personali degli interessati per finalità di interesse collettivo. 

La proposta di regolamento sullo spazio unico dei dati sanitari elettronici, sulla falsariga del DGA, disciplina sia il caso dell’uso primario di tali dati – essenzialmente per fini di cura dell’interessato-paziente – sia dell’uso secondario, cioè per finalità ulteriori rispetto a quelle originarie. La proposta è attualmente in discussione presso il Consiglio UE mentre l’iter legislativo non è ancora iniziato in Parlamento. 

La presenza di specifici intermediari – ai quali l’interessato comunica le sue decisioni sull’uso dei propri dati sanitari – insieme alla istituzione di appropriate dashboard per un controllo diretto sull’uso dei dati, facilita il riuso dei dati sanitari a fini di ricerca scientifica fondati sulla base legale dell’interesse legittimo, così superando la necessità di ricorrere al consenso del paziente.

 

5. Discipline verticali su dati connessi a tecnologie avanzate

L’ultima fase richiamata riguarda la proposta normativa riferita ai dati, personali e non, connessi all’uso di speciali tecnologie: come la proposta di regolamento UE sull’intelligenza artificiale (AIA) e la proposta di Data Act (presentata nel febbraio 2022); quest’ultima ha per oggetto l’uso de dati raccolti tramite tecnologie di Internet of Things, oltre a prevedere accordi equilibrati di condivisione dei dati per le PMI, la eliminazione di barriere al porting dei dati nei servizi cloud nonché obblighi per le imprese di fornitura di determinati dati a certe condizioni fondamentali. Questi atti sono attualmente a livello di proposta: per entrambi l’AIA e il Data Act, nel Consiglio UE sono in corso le discussioni per l’approvazione del testo in prima lettura; mentre il Parlamento UE deve ancora iniziare il proprio iter.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form