Il Data Act fa preoccupare i Garanti europei (e non solo): dopo la presentazione del Data Act, EDPB e Garante Europeo hanno pubblicato due pareri che gettano ombre sul nuovo Regolamento. 

L'approvazione del Data ACT accolta con freddezza

Sono passati meno di due mesi da quando la Commissione Europea ha presentato il Data Act. Già l'accoglienza non è stata delle migliori, ma le due pronunce congiunte di EDPB e Garante europeo sul tema sono state una doccia fredda.

Per iniziare, e senza pretesa di completezza, il Data ACT è una proposta di regolamento europeo per normare l'uso delle informazioni generate e raccolte da dispositivi connessi. Insomma, un tentativo di regolare quello che attualmente è il petrolio del terzo millennio, ovvero i dati. E' l'ultimo atto del tentativo di gestire il mercato dei dati, cresciuto in maniera esponenziale e impressionante: è la cosiddetta datification, ovvero la trasposizione in dati delle nostre esistenze (digitali?).

A partire dal problema che la datification è un flusso che finisce in pochissimi server, molti extra europei: si parliamo delle big tech. Nobile volontà, anche "materiale": l'Europa tenta con questo regolamento di mettersi a capo della data driven economy ma, effettivamente, qualcosa non quadra.

Per saperne di più > DATAFICATION: la nostra esistenza in dati

Data Act: le preoccupazioni dei Garanti

Intanto chiariamo un punto: è una proposta di regolamento europeo e dovrà ancora essere approvato. Secondo chiarimento: il testo completo del Data Act non è consultabile. Quanto si sa deriva direttamente dalle osservazioni presentate dalle autorità nei due pareri, il primo datato 10 marzo e il secondo datato 5 maggio. I due pareri ovviamente trattano temi che si sovrappongono ma, a grandi trattano due temi diversi:

• la governance dei dati;
• la condizione dei dati tra operatori pubblici e privati e tra operatori pubblici.

Il comunicato stampa col quale è accompagnato il parere del 5 Maggio,che consta di ben 28 pagine, ha un titolo esplicito: "il Data Act dell'UE: la protezione dei dati deve prevalere per respononsabilizzare gli interessati". Nel complesso, i due testi sollevano problemi raggruppabili in tre macro temi:

• il rapporto tra Data Act e le normative di protezione dati, GDPR in testa;
• la possibilità di accesso ai dati in casi di "eccezionale necessità" da parte di enti e istituzioni;
• i rischi connessi all'implementazione del Data Act, che potrebbero portare ad un quadro disarmonico.

Qui il comunicato stampa dell'EDPB 5 Maggio 2022 > The EU’s Data Act: data protection must prevail to empower data subjects

Il rapporto tra Data Act e le normative di protezione dati, GDPR in testa

Wojciech Wiewiórowski, Garante europeo, ha detto chiaramente:

“I dati devono essere elaborati secondo i valori europei se vogliamo a creare un futuro digitale più sicuro. Mentre ci muoviamo per aprire nuove opportunità per l’utilizzo dei dati, dobbiamo garantire che il quadro di protezione dei dati esistente rimanga completamente intatto. L’accesso ai dati da parte delle autorità pubbliche dovrebbe sempre essere adeguatamente definito e limitato a quanto strettamente necessario e proporzionato e questo non è garantito dalla proposta di Data act nella sua forma attuale“.

Qui si riscontra un doppio problema: da una parte le modalità di raccolta dei dati personali (anche sensibili) da parte degli IoT, dei dispositivi medici e sanitari e degli assistenti virtuali, per poi utilitzzarne i dati a fini di marketing. Il secondo è la possibilità di accesso a tali dati da parte di istituzioni e forze dell'ordine. Il confine delle "necessità eccezionali" va chiarito per evitare abusi.

Infine il Garante Europeo chiede che sia rafforzato il diritto degli interessati alla portabilità dei dati, nel rispetto delle previsioni dell'art 20 del GDPR.

Un cambio di paradigma: i dati divengono un bene materiale

Il parere di EDPB e Garante europeo traccia anche il fatto che, con il Data Act, si "materializzano" beni immateriali come i dati, che divengono oggetti di scambio.

E' qui che si potrebbero verificare i principali problemi. Visto che il Data Act si applica anche a dati sensibili e personali, le autorità chiedono ai legislatori di prevedere limitazioni all'uso dei dati generati da prodotti e servizi da parte di entità diversa dagli interessati. Questo, soprattutto nel caso in cui si mettono a rischio i diritti e le libertà personali. Le preoccupazioni ruotano attorno all'uso di tali dati per attività di marketing diretto, monitoraggio dei dipendenti, calcolo dei premi assicurativi, valutazioni del merito creditizio. Poi c'è il tema dati dei minori, che apre scenari ancora più delicati.

Per saperne di più > Riconoscimento vocale sempre più diffuso, sempre più centrale per il nuovo marketing. E riservatezza e privacy?

L'obbligo poi di rendere tali dati disponibili per istituzioni, organi e agenzie UE in caso di necessità eccezionale apre preoccupazioni intorno alla liceità, necessità e proporzionalità di tale trattamento. Il parere sottolinea come sia fondamentale che qualsiasi limitazione al diritto di protezione dei dati personali sia ancorato a precisa base giuridica.

Data act e metaverso: quali problemi?

EDPB e Garante europeo affrontano anche il tema del metaverso. A partire da un punto: i dati prodotti nel metaverso sono potenzialmente infiniti e possono essere usati in maniera tale da ricostruire informazioni estremamente delicate sugli utenti che vi accedono. Un nuovo campo di raccolta dati, ad esempio, diviene l'analisi delle modalità di utilizzo degli occhi e degli sguardi dei partecipanti alla stanza.

Non solo: si fa più cogente il problema dei cosiddetti "dark patterns", l'insieme cioè delle strategie volte a cercare di manipolare le scelte degli utenti. In questi rientrano anche i "dati psicologici": la raccolta dati sugli utenti è arrivata a tal punto da far divenrie possibile ricostruire la psicologia degli utenti. Cosa fare di fronte ad una big tech che, profilando psicologicamente gli utenti, può confezionare un prodotto o servizio in manieta tale da spingerlo ad accettare servizi senza rendersi effettivamente conto dell'uso che verrà fatto del consenso prestato?

Per saperne di più > Quattro amici al bar… del metaverso

Il Data Act resta una necessità impellente

I problemi sollevati dai Garanti non spostano di una virgola il punto: il Data Act serve a regolamentare un mercato in espansione continua ed enorme. Serve un quadro normativo omogeneo ed armonizzato con la normativa di protezione dei dati personali. 

Andrea Jelinek, capo dell'EDPB lo dice chiaramente:
“È fondamentale incorporare saldamente il GDPR nell'architettura normativa complessiva in fase di sviluppo per il mercato digitale. Non solo per questa proposta, ma anche per altre proposte legislative, come il Data Governance Act o il Digital Markets Act. Sarà necessario garantire una chiara distribuzione delle competenze tra le autorità di regolamentazione competenti, nonché una cooperazione efficiente per evitare il rischio di una supervisione frammentata, l'istituzione di un insieme parallelo di regole e garantire la certezza del diritto per le organizzazioni e gli interessati".