
Report annuale del Garante Europeo
15 Maggio 2023
Come ogni anno il Garante Europeo per la Protezione dei Dati (EDPS – European Data Protection Supervisor) ha presentato la propria relazione in inglese alla Commissione per le Libertà civili, la Giustizia e gli Affari interni (Commissione LIBE) del Parlamento Europeo.
Se da un lato il 2022 si è presentato nel complesso come un anno tumultuoso, segnato dalle fasi finali della Pandemia Covid-19 e dal sorgere del nuovo conflitto che ha destabilizzato gli equilibri europei, dall’altro lato esso ha rappresentato un punto di partenza per aspirare a nuovi obiettivi di sviluppo, per approdare ad un futuro prossimo nel quale poter affrontare con competenza ed in modo efficace le sfide presenti, e così garantire l’effettività del diritto fondamentale alla protezione dei dati personali.
LE ATTIVITÀ PIÙ SIGNIFICATIVE DEL 2022
La relazione annuale, alla luce dei 3 pilastri fondamentali (previsione, azione, solidarietà) che l’EDPS aveva già definito nella sua strategia per il quinquennio 2020-2024, presenta e ripercorre le priorità dell’Autorità nelle attività politiche, consultive e di enforcement della normativa privacy. A tal proposito il Garante ha individuato i quattro principali ambiti di intervento nelle sue funzioni di supervisore, consulente e promotore, e i relativi obiettivi-chiave:
- protezione dello spazio di libertà, sicurezza e giustizia dell’Unione Europea, a tutela delle persone e dei loro diritti fondamentali alla riservatezza e alla protezione dei dati, rispetto alle attività condotte dalle Istituzioni dell’Unione Europea (IUE);
- consulenza e politiche legate ai temi della salute, dell’intelligenza artificiale e della lotta alla criminalità;
- promotore del monitoraggio e della previsione tecnologica;
- promotore dell’innovazione digitale.
SUPERVISIONE ED ENFORCEMENT
Il Garante intende vigilare sulle modalità di gestione dei dati personali nelle attività di trattamento, nell’adozione di decisioni e nell’implementazione di misure da parte dell’UE, nello specifico offre una serie di risorse idonee a orientare le attività delle stesse Istituzioni dell’Unione Europea (d’ora in avanti IUE) verso una maggiore conformità al GDPR ed alla normativa privacy: fornisce osservazioni, pareri e raccomandazioni, effettua audit e offre occasioni per la formazione del personale delle stesse Istituzioni dell’Unione Europea.
In questo ambito il Garante si è occupato del tema dei trasferimenti dei dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, attraverso iniziative, raccomandazioni e consigli per soddisfare le esigenze di riservatezza dei contraenti nei rapporti con entità extraeuropee, ad esempio subordinando trattamenti e trasferimenti alla prova che lo Stato non-Membro sia in grado di dimostrare garanzie alla riservatezza degli individui equivalenti a quelle comunitarie.
Lo stesso vale per i sistemi IT su larga scala nello Spazio Economico Europeo: il Garante promuove audit finalizzati a valutare la conformità dei suddetti sistemi rispetto ai principi di privacy by design, a salvaguardia dei dati personali dei cittadini dell’Unione ed in conformità agli standard di privacy e di protezione delle informazioni degli individui.
Ciascuna delle attività citate è sostenuta da accurate indagini volte a stabilire con certezza i livelli di protezione dei dati personali nello Spazio di libertà, sicurezza e giustizia dell’UE.
POLICY E CONSULENZA
Le attività di consulenza, in risposta alle istanze della Commissione, sono di supporto all’attività del Legislatore Europeo, destinatario di pareri, commenti formali e pareri congiunti con l’EDPB.
Nel corso del 2022 l’EDPS ha condotto un’attività consulenziale davvero produttiva, che rappresenta la cura posta dal Garante per offrire una tutela effettiva, efficace e di alto livello ai sensi del GDPR: l’intervento principale ha visto il rilascio di 27 pareri, 4 pareri congiunti, 49 commenti formali e 30 commenti informali in materia di sanità, IA e contrasto ai crimini, e all’organizzazione di eventi e di conferenze per il pubblico, in risposta ad un totale di 110 richieste di consulenza.
TECNOLOGIA E PRIVACY
Il Garante ha compiuto attività di monitoraggio e di previsione tecnologica a partire dall’analisi delle tecnologie emergenti e delle loro implicazioni privacy, pertanto, per raggiungere tale obiettivo l’Autorità si è servito di due strumenti, TechSonar e TechDispatch: il primo cerca di comprendere gli sviluppi tecnologici futuri al fine di sviluppare idonee misure di protezione dei dati; il secondo, invece, analizza le nuove tecnologie per valutarne i possibili risvolti in materia di privacy e di protezione dei dati.
INNOVAZIONE DIGITALE
Infine, l’EDPS cita l’attività di promozione dell’innovazione digitale, compiuta attraverso la ricerca di strumenti alternativi ai prodotti (software) e ai servizi offerti dalle grandi aziende, pur sempre conformi alle normative privacy europee, utili canali di comunicazione e di collaborazione. Tra le alternative, nel corso del 2022 l’EDPS ha promosso:
- l’adozione di piattaforme social (EU Voice, EU Video, PeerTube) per interagire con il pubblico;
- l’implementazione di strumenti di collaborazione di archiviazione, condivisione e collaborazione, rispettosi della privacy e dei dati degli utenti (Nextcloud);
- l’interazione con la stampa e i media durante gli eventi, coinvolgimento del pubblico interessato al lavoro e alle competenze dell’Autorità quale IUE;
- la ripresa degli eventi di interazione con il pubblico dopo la pandemia Covid-19, attraverso modalità di incontro sostenibili, in presenza ed online. È il caso delle conferenze “Il futuro della protezione dei dati: L’applicazione efficace nel mondo digitale” e “Supervision Conference: Protezione dei dati e giustizia” tenute rispettivamente nei mesi di giugno 2022 e novembre 2022;
- la collaborazione con le altre Istituzioni dell’Unione Europea, con lo scopo ulteriore di sviluppare nuove soluzioni di sicurezza informatica e di garantire una migliore gestione delle proprie risorse, anche economiche.
LA PROTEZIONE DEI DATI IN PRATICA
Tutte le IUE devono conformarsi alla normativa privacy, a tutela dei diritti fondamentali e a protezione dei dati delle persone nello Spazio Economico Europeo. Per questo motivo il Garante si è impegnato a fornire alle stesse IUE molteplici strumenti (in forma di pareri, raccomandazioni, ed altri…) per mettere in pratica il GDPR nello svolgimento dei loro compiti e prerogative. Tali attività consistono in indagini, esami dei reclami e conduzione di audit, e possono essere svolte anche in cooperazione tra le diverse IUE.
L’EDPS, perciò, ha riepilogato le proprie attività per offrire un panorama più chiaro e concreto del lavoro svolto nel corso del 2022:
- monitoraggio e adattamento delle Linee Guida alle nuove esigenze emerse in seguito alla crisi sanitaria globale: le misure temporanee, adottate per contrastare la diffusione della pandemia, sono state riepilogate all’interno di un apposito inventario predisposto per limitare la raccolta, il trattamento e la conservazione dei dati sanitari;
- consulenza per le IUE per definire le responsabilità che possono sorgere nel corso di esternalizzazione delle attività economiche stabilite nel territorio dell’UE, con riferimento alle finalità, al tipo e al mezzo di trattamento dei dati personali dei dipendenti, a garanzia dei diritti dei lavoratori e del diritto della concorrenza, anche attraverso la conduzione di audit, indagini, formulazione di pareri o di raccomandazioni;
- vigilanza sui sistemi IT su larga scala, nel rispetto dei parametri Schengen, a favore delle libertà di circolazione delle persone nello SEE;
- adozione di strategie di monitoraggio sulle IUE, volte ad accertare la conformità delle loro attività rispetto ai canoni di protezione dei dati affermati nella sentenza “Schrems II” 2020 della CGUE, la quale richiede alle IUE di implementare servizi basati sul cloud: in particolare, per l’anno 2023, è in programma la prosecuzione delle indagini condotte nel 2021 e nel 2022 riguardanti il trasferimento dei dati durante l’utilizzo dei servizi in cloud e l’uso Microsoft Office 365 da parte della Commissione Europea. A completamento di questa attività l’EDPS ha adottato strumenti specifici (accordi amministrativi, clausole contrattuali, strumenti di comunicazione) per autorizzare il trasferimento dei dati personali verso paesi extra-UE, purché lo stesso sia effettuato in conformità al regolamento europeo, a garanzia di una protezione dei dati equivalente a quella prevista dal GDPR;
- previsione di linee guida e politiche di formazione delle IUE per consentire loro di utilizzare in sicurezza, nei soli casi di stretta necessità, prodotti e servizi sviluppati da imprese non stabilite nello SEE;
- invito alla vigilanza, alla lotta alla criminalità, alla gestione delle frontiere, alla cooperazione tra le IUE, gli organismi, le agenzie, le forze giudiziarie (penali e civili) e le forze di polizia al fine di assicurare una migliore protezione dei dati personali nello SEE;
- impegno ad aumentare la propria accountability e la trasparenza, garantendo alle persone il pieno esercizio del diritto di accesso.
CONCLUSIONI
L’anno 2022 è stato davvero stimolante per l’EDPS il quale, in ripresa ed in risposta alle ultime circostanze di emergenza sanitaria e di conflitti interni all’Unione, ha proseguito con il suo progetto di monitoraggio, di supervisione, di consulenza, di promozione e di implementazione di tutte le misure idonee ed efficaci ad assicurare un maggior grado di effettività del diritto alla riservatezza e alla protezione dei dati personali, anche e soprattutto in previsione delle prossime evoluzioni della tecnologia e dell’intero mondo digitale.
Auspichiamo il buon esito dei lavori programmati per l’anno 2023.