I Garanti Privacy UE: un ostacolo per l’economia dei dati del legislatore europeo?

L’economia dei dati è il treno che il legislatore UE non vuole perdere. Treno partito il 15 dicembre 2021 con l’approvazione del mandato negoziale per il DMA, primo mattone del proponendo pacchetto normativo per il nuovo assetto economico. Le raccomandazioni dei Garanti Privacy possono restare indietro. Anzi, risulta preferibile sostituire l’ingombrante presenza dell’EDPB con nuove Autorità in erba che non rappresentino un ostacolo allo sviluppo del mercato unico europeo sui dati.

Tanto ciò è vero che i Pareri del Comitato dei Garanti - resi sulle varie proposte di legge - sono rimasti in parte inascoltati e così l’EDPB ha ribadito tutte le criticità già segnalate nei precedenti Pareri in un’unica dichiarazione omnicomprensiva Statement on the Digital Services Package and Data Strategy adottata il 18.11.21 . La Dichiarazione denuncia lacune di tutela dei diritti e delle libertà fondamentali nelle proposte di regolamento sull’intelligenza artificiale AIR , sui mercati digitali DMA , sulla governance dei dati DGA . Rischi di incoerenze con la disciplina privacy UE. Frammentarietà delle Autorità di vigilanza sul rispetto del proponendo pacchetto normativo. Autorità frammentate e soprattutto diverse dai Garanti Privacy UE. Perchè? Forse troppe garanzie ingolfano l’avvio della nuova economia dei dati di cui l’Europa si ergerebbe a modello? Il fatto. Il 15 dicembre 2021 è stato approvato il mandato negoziale per il Digital Markets Act DMA , primo mattone per il nuovo assetto economico europeo. Il DMA appartiene a un proponendo pacchetto normativo A European strategy for data, COM/2020/66 costituito dal Digital Services Act DSA , dal Data Governance Act DGA a cui sta per seguire il Data Act, dal regolamento sull’Intelligenza Artificiale AIR . L’Europa si sta attivando per assurgere a modello internazionale dell’economia dei dati che segna la svolta rispetto al capitalismo estrattivo. Quando il nuovo assetto andrà a regime, l’estrazione dei dati non sarà più necessaria perché i dati verranno condivisi affinché tutti i soggetti economici e non economici possano trarne profitto o beneficio. Verranno costruiti spazi comuni europei di dati in settori specifici come quello dei dati sanitari, dei dati aziendali, dei dati di mobilità e così via. Sistemi automatizzati di intelligenza artificiale si applicheranno a queste nuove formazioni per produrre flussi informativi di domanda e risposta tra le macchine dei vari stakeholders del settore al fine di semplificare l’attività lavorativa espungendo le pratiche amministrative svolte dalle macchine e guadagnando tempi ulteriori da dedicare unicamente al lavoro. Il progetto costituisce indubbiamente un forte progresso. Tuttavia, nonostante la previsione di molte misure per gestire i rischi di impatto pregiudizievole sulla vita delle persone, questo proponendo pacchetto normativo presenta delle forti criticità. Le critiche dell’EDPB al Regolamento sull’Intelligenza Artificiale AIR . Le criticità segnalate dall’EDPB e non recepite dal legislatore in merito alla proposta di Regolamento sull’Intelligenza Artificiale vengono esposte di seguito. Si consentirebbe l’utilizzo di sistemi intelligenti di rilevazione biometrica che categorizzano le persone secondo l'etnia, il genere, l'orientamento politico o sessuale o secondo altri motivi di discriminazione vietati si consentirebbe l’utilizzo di sistemi di IA la cui validità scientifica non è dimostrata o che sono in diretto conflitto con i valori essenziali dell’UE. L'EDPB invita i colegislatori a espungerli dai sistemi consentiti e a collocarli tra quelli vietati. Si consentirebbe l'uso dell'IA per dedurre le emozioni di una persona fisica. Anche qui l’EDPB invita a collocare tali sistemi tra quelli vietati. Allo stesso modo, dato il notevole effetto negativo sui diritti e le libertà fondamentali degli individui, l'EDPB ribadisce che l'AIR dovrebbe includere il divieto di qualsiasi uso dell'IA che implichi un riconoscimento automatizzato delle caratteristiche umane in spazi accessibili al pubblico - come i volti ma anche l'andatura, le impronte digitali, il DNA, la voce e altri segnali biometrici o comportamentali in qualsiasi contesto. Le critiche dell’EDPB al DMA e al DSA. Le criticità riscontrate dall’EDPB in merito al DSA e al DMA si espongono di seguito. L'EDPB ritiene che la pubblicità mirata online dovrebbe essere disciplinata in modo più rigoroso nel DSA a favore di forme di pubblicità meno intrusive che non richiedano alcun monitoraggio dell'interazione dell'utente con i contenuti ed esorta il colegislatore a prendere in considerazione un'eliminazione graduale che porti a un divieto di pubblicità mirata sulla base del tracciamento pervasivo, mentre la profilazione dei minori dovrebbe essere sempre vietata. L'EDPB raccomanda di introdurre sia nel DSA che nel DMA requisiti di interoperabilità per promuovere un ambiente digitale più aperto alla concorrenza, rendendo più facile per le persone scegliere tra servizi che offrano una migliore privacy e protezione dei dati. Abbiamo davvero bisogno di nuove Autorità di Vigilanza? Ogni atto normativo proposto prevede un’apposita Autorità di Vigilanza il Comitato consultivo per i mercati digitali DMAC nel DMA il Comitato europeo per i servizi digitali EBDS nel DSA il Comitato europeo per l’Intelligenza Artificiale EAIB nell'AIR il Comitato europeo per l'innovazione dei dati EDIB nel DGA. Perchè doppiare Authorities che esistono già? Per il DMA non sarebbe sufficiente l’Antitrust? Per il DSA non sarebbe sufficiente il BEREC? Per il DGA e per l’AIR non sarebbe sufficiente l’EDPB? No, non sarebbero sufficienti se si vuole fare piazza pulita dell’attuale modello economico europeo giustapponendo il nuovo modello dell’economia dei dati. L’EDPB evidenzia che le proposte legislative non affrontano adeguatamente le situazioni di potenziale sovrapposizione di competenze. Ciò crea un rischio di strutture di vigilanza parallele in cui diverse Autorità competenti controllano gli stessi soggetti tenendo conto delle stesse attività di trattamento senza una cooperazione strutturata tra di loro. Ad esempio, il DSA attribuisce alla nuova Autorità di vigilanza EBDS il compito di controllare il rispetto del GDPR da parte dei sistemi potrebbe piacerti anche delle grandi piattaforme che comportano la profilazione degli interessati. Materia per cui è competente anche l’EDPB. Ciò nonostante, il DSA non stabilisce nessuna forma di consultazione o di cooperazione della nuova Autorità di vigilanza con l'EDPB. Ovvio il rischio di orientamenti e pratiche contrastanti tra le nuove Authorities e il Comitato dei Garanti Privacy con i prevedibili esiti erosivi delle tutele derivanti dall’incertezza del diritto causata dalla frammentarietà e dalla discordanza delle interpretazioni. I Garanti Privacy una presenza troppo ingombrante nella nuova economia dei dati. Le tecnologie e le attività regolate dal proponendo pacchetto normativo sul nuovo assetto economico UE implicano il trattamento di dati personali. Tuttavia, il legislatore europeo non si è preoccupato nè di coordinare interamente la disciplina delle proposte con il GDPR nonostante le raccomandazioni dell’EDPB nè di stabilire un dialogo tra le Autorità della nuova economia dei dati con il Comitato dei Garanti Privacy UE. Questi gap minano la coerenza del sistema data protection e aprono pericolose brecce nella certezza del diritto inaugurando un nuovo corso di tutela estremamente frammentato dalla molteplicità delle interpretazioni e delle Authorities. Parrebbe quasi che il nuovo proponendo pacchetto normativo - nonostante tutte le misure di riduzione del rischio approntate - denoti l’obiettivo di affrancare il nuovo mercato unico europeo sui dati dall’egemonia dei Garanti Privacy. L’avvio del nuovo sistema economico fondato sulle informazioni liberate o donate altruismo dei dati dai cittadini, dalle PMI, dagli enti, dalla P.A., dall’industria, dal commercio, dall’arte, richiede un nuovo tipo di regolamentazione. Una regolamentazione che si professa antropocentrica ma che di fatto si sbarazza dell’ingombrante presenza dei Garanti Privacy sostituendoli con Authorities in erba che non fanno paura a nessuno. Ciò comporta che questa nuova regolamentazione risulti talmente antropocentrica ???!!! da affidare le sorti dei patrimoni informativi personali unicamente al discernimento dell’interessato libero di venderli o di barattarli sebbene ignaro delle effettive ricadute di tali azioni sui propri diritti.