L'EDPB e il GEPD adottano un parere congiunto sulla legge sulla governance dei dati

10 March 2021 EDPB

Bruxelles, 10 marzo — L'EDPB e il GEPD hanno adottato un parere congiunto sulla proposta di legge sulla governance dei dati. La legge sulla governance dei dati mira a promuovere la disponibilità dei dati rafforzando la fiducia negli intermediari di dati[1] e potenziando i meccanismi di condivisione dei dati in tutta l'UE. In particolare, la legge intende disciplinare le seguenti situazioni: la messa a disposizione dei dati del settore pubblico per il riutilizzo; la condivisione dei dati tra le imprese; il consenso all'utilizzo di dati personali con l'aiuto di un "intermediario per la condivisione dei dati personali" nonché il consenso all'utilizzo dei dati per scopi altruistici.

L'EDPB e il GEPD riconoscono la legittimità dell'obiettivo sotteso alla legge sulla governance dei dati, ossia migliorare le condizioni per la condivisione dei dati nel mercato interno. Al tempo stesso, la protezione dei dati personali è parte essenziale e integrante della fiducia nell'economia digitale. Con il presente parere congiunto, l'EDPB e il GEPD invitano i colegislatori a garantire che la futura legge sulla governance dei dati sia pienamente in linea con la legislazione dell'UE in materia di protezione dei dati personali, e quindi promuova  la fiducia nell'economia digitale mantenendo il livello di protezione garantito dal diritto dell'UE sotto il controllo delle autorità di controllo degli Stati membri dell'UE.

Andrea Jelinek, la presidente dell'EDPB, ha dichiarato: "Il quadro giuridico dell'UE in materia di protezione dei dati non ostacola lo sviluppo dell'economia dei dati. Al contrario, consente tale sviluppo: per guardare con fiducia alla condivisione dei dati, in ogni sua forma, è necessario rispettare la legislazione vigente in materia di protezione dei dati. Il regolamento generale sulla protezione dei dati è il fondamento su cui deve basarsi il modello europeo di governance dei dati. Per questo motivo sottolineiamo la necessità di garantire la coerenza con detto regolamento per quanto riguarda la competenza delle autorità di controllo, i ruoli dei diversi attori coinvolti, la base giuridica per il trattamento dei dati personali, le garanzie necessarie e l'esercizio dei diritti degli interessati".

Wojciech Wiewiórowski, GEPD, ha dichiarato: "Siamo consapevoli della crescente importanza dei dati per l'economia e la società, come indicato nella strategia europea per i dati. Tuttavia, i "big data" comportano grandi responsabilità. Occorre pertanto predisporre garanzie adeguate in materia di protezione dei dati. Il quadro generale relativo allo spazio europeo dei dati dovrebbe garantire che non sia pregiudicato l'acquis in materia di protezione dei dati."

L'EDPS e il GEPD ritengono che il legislatore dell'UE dovrebbe garantire che la legge sulla governance dei dati affermi in modo chiaro e inequivocabile che essa non inciderà sul livello di protezione dei dati personali, né modificherà i diritti e gli obblighi stabiliti nella legislazione in materia di protezione dei dati.

Per quanto riguarda il riutilizzo dei dati personali detenuti da enti pubblici, l'EDPB e il GEPD raccomandano di allineare la legge sulla governance dei dati alle norme vigenti in materia di protezione dei dati personali stabilite nel regolamento generale sulla protezione dei dati e nella direttiva sull'apertura dei dati. Inoltre dovrebbe essere chiarito che il riutilizzo dei dati personali detenuti da enti pubblici può essere consentito solo sulla base di  legislazione dell'UE o degli Stati membri. Tale legislazione dovrebbe includere un elenco di finalità chiaramente compatibili, per le quali può essere lecitamente autorizzato un trattamento ulteriore ovvero quest’ultimo costituisce una misura necessaria e proporzionata, in una società democratica, per salvaguardare gli obiettivi di cui all'articolo 23 del regolamento generale sulla protezione dei dati.

Per quanto riguarda i fornitori di servizi di condivisione dei dati, il parere congiunto sottolinea la necessità di garantire alle persone fisiche la previa informazione e sistemi di controllo, tenendo conto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, trasparenza e limitazione delle finalità. Inoltre dovrebbero essere chiarite le modalità con cui tali fornitori di servizi assisterebbero efficacemente le persone nell'esercizio dei loro diritti di interessati.

Per quanto riguarda il cosiddetto “altruismo dei dati”, l'EDPB e il GEPD raccomandano che la legge sulla governance dei dati definisca meglio le finalità di interesse generale di tale "altruismo dei dati". Le attività fondate sull'altruismo dei dati dovrebbero essere organizzate in modo da permettere alle persone di prestare e revocare facilmente il proprio consenso.

Alla luce dei possibili rischi per gli interessati in caso di trattamento dei dati personali da parte di fornitori di servizi di condivisione dei dati o di organizzazioni per l'altruismo dei dati, l'EDPB e il GEPD ritengono che i meccanismi di registrazione dichiarativa previsti per tali soggetti nella legge sulla governance dei dati non configurino una procedura di controllo sufficientemente rigorosa. L'EDPS e il GEPD raccomandano pertanto di prendere in esame procedure alternative che prevedano un ricorso più sistematico di strumenti di responsabilizzazione, in particolare l'adesione a un codice di condotta o a un meccanismo di certificazione.

Il parere congiunto formula anche raccomandazioni sulla designazione delle autorità di controllo quali principali autorità competenti per il controllo della conformità alle disposizioni della legge sulla governance dei dati, in consultazione con altre autorità competenti su base settoriale.

______________________________________
[1] Cfr. la relazione della proposta, pag. 1.

Nota editoriale: tutti i documenti adottati durante la plenaria dell'EDPB sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web dell'EDPB una volta completati tali controlli.

EDPB_Press Release_statement_2021_02