L’EDPB ha pubblicato il suo “Annual report 2021”, una panoramica dettagliata del lavoro svolto dall’EDPB e dal Garante europeo lo scorso anno per implementare il GDPR. Grande attenzione alla tutela dei dati trattati con tecnologie di nuova generazione.
Annual Report 2021: uno sguardo d’insieme sullo stato di saluto del GDPR
Il presidente dell’EDPB, Andrea Jelinek, ha dichiarato:
“Il 2021 è stato il quarto anno di esistenza dell’EDPB e il primo anno di attuazione della strategia pluriennale dell’EDPB 2021-2023. È stato un anno molto produttivo, in cui abbiamo portato a termine molte azioni chiave per raggiungere gli obiettivi fissati nella nostra strategia. Anche se abbiamo continuato a lavorare principalmente da remoto a causa del continuo impatto della pandemia di COVID-19, abbiamo compiuto progressi significativi su una serie di importanti dossier. Per renderlo possibile, abbiamo tenuto oltre 380 riunioni dell’EDPB, tra plenarie ed esperti riunioni di sottogruppo”.
Il report parla chiaro: nel 2021 il Garante europeo, in rispetto al GDPR, ha fatto ampio ricorso ai poteri correttivi. Se il monitoraggio sull’applicazione del GDPR è ovvio, un tema è stato particolarmente attenzionato. Parliamo della protezione dei dati, soprattutto relativamente al trasferimento di là dall’Oceano. Il Garante Europeo ha dovuto infatti affrontare la Sentenza Schrems II e tutti i suoi effetti, anche se a tutt’ora la situazione non è risolta.
Non solo:
- molto importante è l’ordinanza con la quale il Garante Europeo ha obbligato l’EUROPOL a cancellare i dati relativi alle persone che non hanno legami accertati con attività criminali;
- la richiesta di vietare l’uso dell’Intelligenza Artificiale per il riconoscimento facciale nei luoghi pubblici;
- le verifiche sul trasferimento dati personali da utenti istituzionali ai servizi cloud di Amazon e Microsoft.
Garante Europeo: il trasferimento dati all’estero
La sentenza Schrems II ha segnato uno spartiacque tra un “prima” del GDPR e un “dopo”. Volendo essere pignoli, tra un “prima” la pubblicazione della sentenza stessa (Ottobre 2020) e un dopo. Ecco perché il Garante Europeo ha prestato molta attenzione al tema del trasferimento dati personali fuori dall’UE. Inutile dire, forse, come il traffico più attenzionato sia quello verso gli Stati Uniti.
Non è un caso che il Garante Europeo, come si ricorda nel report, abbia avviato ben due verifiche sul rispetto del GDPR:
- nell’uso dei servizi in cloud forniti da Amazon Web Service e Microsoft;
- nell’uso di Microsoft Office 365 da parte della Commissione Europea.
Ricordiamo, in breve, che la sentenza della Corte di Giustizia dell’Unione Europea detta Schrems II ha dichiarato non conforme al GDPR il Privacy Shield. Il Privacy Shield è un accordo UE-USA che istituisce una serie di vincoli e protezioni a quei dati di cittadini e imprese europee che vengono trasferiti in server negli USA. Ne è derivato un vuoto normativo non ancora del tutto colmato, anche se di recente Biden ha dichiarato, in conferenza stampa congiunta con Ursula von der Leyen, che UE e USA sono giunti ad un nuovo accordo.
Per approfondire > Privacy Shield: l’UE annulla l’accordo per il trasferimento dei dati personali negli USA
Dati personali e sicurezza: l’attenzione verso l’Europol nel rispetto dello Stato di diritto
Uno degli interventi più importanti del 2021 ricordato nel report sullo “stato del GDPR” è indubbiamente quello verso la Polizia Europea. Qui il Garante Europeo ha fatto ampio ricorso ai poteri correttivi. Tra le imposizioni principali c’è quella di aver ingiunto all’Europol di cancellare tutti i set di dati che non fossero direttamente collegati ad attività criminali. Per il Garante Europeo questa decisione è necessaria per restare nel contesto dello stato di diritto.
Non solo: il Garante europeo ha deciso anche di verificare e supervisionare gli strumenti di machine learning ed AI in uso ad Europol. O meglio, ha deciso di proseguire un’attività di monitoraggio iniziata nel 2019. Se il dibattito su tali strumenti è in corso, ed è piuttosto complesso, soprattutto in relazione al riconoscimento facciale, l’indicazione del Garante europeo è chiara anche se in forma di “suggerimento”. L’Europol dovrebbe dotarsi di un framework, un quadro organizzativo interno che limiti l’uso di queste tecnologie fin dove non producano nocumento per i diritti e le libertà fondamentali degli individui.
Tema confinante a quello del machine learning e l’uso delle intelligenze artificiali. Il Garante europeo, in risposta alla proposta della commissione Europea di un “Artificial Intelligence ACT”, ha espresso un parere chiaro. L’uso dell’intelligenza artificiale per il riconoscimento facciale automatizzato in pubblici spazi andrebbe vietato.
Il techSonar per stare al passo col futuro
Il Garante europeo, nel 2021, ha creato anche un nuovo report annuale, il Tech Sonar. Esso ha uno specifico obiettivo: anticipare le tendenze e gli sviluppi emergenti nel mondo della tecnologia, per poter affrontare per tempo i cambiamenti. Il Garante Europeo ha infatti ribadito più e più volte che reagire alle tecnologie emergenti quando già queste hanno messo a rischio la privacy dei cittadini europei è un meccanismo non più accettabile.
Ecco che il primo report TechSonar ha individuato 6 diversi trend tecnologici che metteranno a rischio la privacy nei prossimi anni. Si va dai certificati Green Pass e affini, le valute digitali emesse dalle banche centrali, le tecnologie utilizzate per i negozi “senza cassa”, ovvero senza operatore umano, l’uso di dati biometrici per individuare le persone, le cure digitali, i dati generati sinteticamente.
Il report completo è disponibile qui
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!