TUTELA DEI DATI PERSONALI
Parere congiunto del Comitato Europeo per la protezione dei dati personali e del Garante privacy UE sul Data Governance Act.
L'EDPB e il GEPD hanno adottato un parere congiunto sulla proposta di Regolamento sulla governance dei dati (Data Governance Act - DGA). Il DGA mira a promuovere la disponibilità dei dati aumentando la fiducia negli intermediari dei dati e rafforzando i meccanismi di condivisione dei dati in tutta l'UE. In particolare, la DGA intende promuovere la disponibilità dei dati del settore pubblico per il riutilizzo, la condivisione dei dati tra le imprese e consentire l'utilizzo dei dati personali con l'aiuto di un "intermediario per la condivisione dei dati personali".
Il Regolamento sulla DGA cerca anche di consentire l'uso dei dati per scopi altruistici. L'EDPB e il GEPD riconoscono l'obiettivo legittimo del DGA di migliorare le condizioni per la condivisione dei dati nel mercato interno. Allo stesso tempo, la protezione dei dati personali è un elemento essenziale e integrante per la fiducia nell'economia digitale. Con questo parere congiunto, l'EDPB e il GEPD invitano i legislatori a garantire che la futura regolamentazione di cui al DGA sia pienamente in linea con la legislazione dell'UE in materia di protezione dei dati personali, promuovendo così la fiducia nell'economia digitale e mantenendo il livello di protezione fornito dal diritto dell'UE sotto la supervisione delle autorità di controllo degli Stati membri dell'UE.
Il quadro giuridico dell'UE sulla protezione dei dati non ostacola lo sviluppo dell'economia dei dati. Al contrario, lo consente: la fiducia in qualsiasi tipo di condivisione dei dati può essere raggiunta solo rispettando la legislazione esistente in materia di protezione dei dati. Il GDPR è la base su cui deve essere costruito il modello europeo di governance dei dati. Per questo il consiglio sottolinea la necessità di assicurare la coerenza con il GDPR per quanto riguarda la competenza delle autorità di controllo, i ruoli dei diversi attori coinvolti, la base giuridica del trattamento dei dati personali, le garanzie necessarie e l'esercizio del diritti degli interessati. L'EDPB e il GEPD ritengono che il legislatore dell'UE dovrebbe garantire che la formulazione del DGA affermi in modo chiaro e inequivocabile che tale atto non influirà sul livello di protezione dei dati personali delle persone, né i diritti e gli obblighi stabiliti nella legislazione sulla protezione dei dati essere alterato.
Per quanto riguarda il riutilizzo dei dati personali detenuti da enti del settore pubblico, l'EDPB e il GEPD raccomandano di allineare il DGA con le norme esistenti sulla protezione dei dati personali stabilite nel GDPR e con la direttiva sui dati aperti. Inoltre, dovrebbe essere chiarito che il riutilizzo dei dati personali detenuti da enti del settore pubblico può essere consentito solo se fondato nel diritto dell'UE o degli Stati membri. Tali leggi dovrebbero includere un elenco di chiare finalità compatibili per le quali l'ulteriore trattamento può essere legittimamente autorizzato o costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare gli obiettivi di cui all'articolo 23 del GDPR. Sui fornitori di servizi di condivisione dei dati, il parere congiunto sottolinea la necessità di garantire informazioni e controlli preventivi per le persone, tenendo conto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, trasparenza e limitazione delle finalità. Inoltre, dovrebbero essere chiarite le modalità in base alle quali tali fornitori di servizi assistono efficacemente le persone nell'esercizio dei loro diritti in quanto interessati.
Per quanto riguarda l'altruismo dei dati, l'EDPB e il GEPD raccomandano che il DGA definisca meglio le finalità di interesse generale di tale "altruismo dei dati". L'altruismo dei dati dovrebbe essere organizzato in modo tale da consentire alle persone di dare facilmente, ma anche ritirare il proprio consenso. Alla luce dei possibili rischi per gli interessati quando i loro dati personali potrebbero essere trattati da fornitori di servizi di condivisione dei dati o organizzazioni di altruismo dei dati, l'EDPB e il GEPD ritengono che i regimi di registrazione dichiarativa per queste entità, come stabilito nel DGA, non prevedano per una procedura di controllo sufficientemente rigorosa applicabile a tali servizi. Pertanto, l'EDPB e il GEPD raccomandano di esplorare procedure alternative che prevedano un'inclusione più sistematica di strumenti di responsabilità, in particolare l'adesione a un codice di condotta o un meccanismo di certificazione. Il parere congiunto include anche raccomandazioni sulla designazione delle autorità di vigilanza come principali autorità competenti per il controllo del rispetto delle disposizioni del DGA, in consultazione con altre autorità settoriali pertinenti.
Il Regolamento sulla DGA cerca anche di consentire l'uso dei dati per scopi altruistici. L'EDPB e il GEPD riconoscono l'obiettivo legittimo del DGA di migliorare le condizioni per la condivisione dei dati nel mercato interno. Allo stesso tempo, la protezione dei dati personali è un elemento essenziale e integrante per la fiducia nell'economia digitale. Con questo parere congiunto, l'EDPB e il GEPD invitano i legislatori a garantire che la futura regolamentazione di cui al DGA sia pienamente in linea con la legislazione dell'UE in materia di protezione dei dati personali, promuovendo così la fiducia nell'economia digitale e mantenendo il livello di protezione fornito dal diritto dell'UE sotto la supervisione delle autorità di controllo degli Stati membri dell'UE.
Il quadro giuridico dell'UE sulla protezione dei dati non ostacola lo sviluppo dell'economia dei dati. Al contrario, lo consente: la fiducia in qualsiasi tipo di condivisione dei dati può essere raggiunta solo rispettando la legislazione esistente in materia di protezione dei dati. Il GDPR è la base su cui deve essere costruito il modello europeo di governance dei dati. Per questo il consiglio sottolinea la necessità di assicurare la coerenza con il GDPR per quanto riguarda la competenza delle autorità di controllo, i ruoli dei diversi attori coinvolti, la base giuridica del trattamento dei dati personali, le garanzie necessarie e l'esercizio del diritti degli interessati. L'EDPB e il GEPD ritengono che il legislatore dell'UE dovrebbe garantire che la formulazione del DGA affermi in modo chiaro e inequivocabile che tale atto non influirà sul livello di protezione dei dati personali delle persone, né i diritti e gli obblighi stabiliti nella legislazione sulla protezione dei dati essere alterato.
Per quanto riguarda il riutilizzo dei dati personali detenuti da enti del settore pubblico, l'EDPB e il GEPD raccomandano di allineare il DGA con le norme esistenti sulla protezione dei dati personali stabilite nel GDPR e con la direttiva sui dati aperti. Inoltre, dovrebbe essere chiarito che il riutilizzo dei dati personali detenuti da enti del settore pubblico può essere consentito solo se fondato nel diritto dell'UE o degli Stati membri. Tali leggi dovrebbero includere un elenco di chiare finalità compatibili per le quali l'ulteriore trattamento può essere legittimamente autorizzato o costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare gli obiettivi di cui all'articolo 23 del GDPR. Sui fornitori di servizi di condivisione dei dati, il parere congiunto sottolinea la necessità di garantire informazioni e controlli preventivi per le persone, tenendo conto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, trasparenza e limitazione delle finalità. Inoltre, dovrebbero essere chiarite le modalità in base alle quali tali fornitori di servizi assistono efficacemente le persone nell'esercizio dei loro diritti in quanto interessati.
Per quanto riguarda l'altruismo dei dati, l'EDPB e il GEPD raccomandano che il DGA definisca meglio le finalità di interesse generale di tale "altruismo dei dati". L'altruismo dei dati dovrebbe essere organizzato in modo tale da consentire alle persone di dare facilmente, ma anche ritirare il proprio consenso. Alla luce dei possibili rischi per gli interessati quando i loro dati personali potrebbero essere trattati da fornitori di servizi di condivisione dei dati o organizzazioni di altruismo dei dati, l'EDPB e il GEPD ritengono che i regimi di registrazione dichiarativa per queste entità, come stabilito nel DGA, non prevedano per una procedura di controllo sufficientemente rigorosa applicabile a tali servizi. Pertanto, l'EDPB e il GEPD raccomandano di esplorare procedure alternative che prevedano un'inclusione più sistematica di strumenti di responsabilità, in particolare l'adesione a un codice di condotta o un meccanismo di certificazione. Il parere congiunto include anche raccomandazioni sulla designazione delle autorità di vigilanza come principali autorità competenti per il controllo del rispetto delle disposizioni del DGA, in consultazione con altre autorità settoriali pertinenti.
