L’interoperabilità dei dati e il consenso nei modelli commerciali digitali

L’interoperabilità dei dati e il consenso nei modelli commerciali digitali: il parere chiave dell’EDPB e le implicazioni per la privacy nell’UE.

Durante l’ultima sessione plenaria, l’European Data Protection Board (EDPB) ha rilasciato un parere significativo che riguarda la discussione attuale sulla privacy e il trattamento dei dati personali nel contesto commerciale digitale. Questo parere si concentra sulle strategie di “consenso o pagamento” adottate dalle grandi piattaforme online, sollevando interrogativi cruciali sulla loro conformità ai requisiti del GDPR per ottenere un consenso valido. Il presidente dell’EDPB, Anu Talus, ha evidenziato una questione di fondo associata a questi modelli: spesso, non offrono agli utenti una reale possibilità di scelta. Attualmente, gli utenti si trovano di fronte alla decisione di concedere i propri dati personali per accedere ai servizi o di pagare una tariffa, una situazione che potrebbe non riflettere una vera libertà di scelta e solleva dubbi sulla validità del consenso ottenuto. Secondo l’EDPB, questo approccio non solo riduce la trasparenza, ma mina anche la volontà dell’utente di mantenere il controllo sulle proprie informazioni personali.

Per affrontare queste problematiche, l’EDPB raccomanda che le piattaforme considerino alternative che non comportino costi aggiuntivi per gli utenti che non desiderano essere soggetti a pubblicità comportamentale. È stato anche suggerito che si possa offrire un’alternativa “equivalente” senza pubblicità invasiva o con forme di pubblicità meno intrusive che richiedono un trattamento meno intensivo dei dati personali. Inoltre, l’EDPB ha chiarito che ottenere semplicemente il consenso non è sufficiente per rispettare tutti i principi fondamentali del GDPR, come la limitazione delle finalità, la minimizzazione dei dati e l’equità nel trattamento. Di conseguenza, le grandi piattaforme online dovrebbero garantire che il trattamento dei dati sia conforme ai principi di necessità e proporzionalità del regolamento. Un altro aspetto cruciale evidenziato dal parere riguarda la “libertà” del consenso. Affinché sia considerato valido, il consenso non deve essere in alcun modo coercitivo o condizionato da minacce, disuguaglianze di potere o da una mancanza di chiarezza nella scelta. L’EDPB enfatizza che le tariffe imposte non dovrebbero costringere gli utenti a dare il consenso al trattamento dei loro dati. Inoltre, le piattaforme dovrebbero valutare attentamente le possibili conseguenze negative per gli utenti che scelgono di non dare il consenso, come l’esclusione da servizi essenziali o la perdita di accesso a reti professionali.

È fondamentale che gli utenti siano pienamente consapevoli delle implicazioni delle proprie scelte relative ai dati personali, e le piattaforme devono garantire che queste scelte siano autenticamente libere e informate. Il Regolamento UE 2024/903, noto come Interoperable Europe Act, rappresenta un importante passo avanti verso l’interconnessione delle amministrazioni all’interno dell’Unione Europea attraverso lo scambio di dati transfrontaliero. Questo atto mira a accelerare la trasformazione digitale nel settore pubblico, promuovendo l’adozione di servizi pubblici digitali transeuropei e facilitando una cooperazione a più livelli tra le autorità pubbliche degli Stati membri e altri attori coinvolti.

Il cuore di questa iniziativa è l’istituzione del Comitato per un’Europa interoperabile, che guiderà un quadro di governance per garantire l’interoperabilità dei servizi pubblici. Inoltre, sono previste valutazioni obbligatorie dell’interoperabilità al fine di garantire che i servizi pubblici siano “interoperabili fin dalla progettazione“. Parallelamente, verrà istituito l’Interoperable Europe Portal, una piattaforma centrale per favorire lo scambio di soluzioni di interoperabilità e promuovere l’innovazione nel settore pubblico, compresa l’adozione di tecnologie come l’Intelligenza Artificiale nel rispetto delle normative sulla protezione dei dati. La recente sentenza della Corte di Giustizia dell’Unione Europea riguardante le violazioni del GDPR da parte dei dipendenti sottolinea l’importanza di avere un modello organizzativo privacy (MOP) all’interno delle aziende. Questo modello, attraverso procedure chiare, controlli adeguati e formazione dei dipendenti, può limitare significativamente gli errori nel trattamento dei dati personali, riducendo così il rischio di richieste di risarcimento danni. Infine, l’approvazione del disegno di legge sull’Intelligenza Artificiale da parte del Consiglio dei ministri italiano riflette l’adattamento normativo nazionale all’imminente Regolamento Europeo in materia. Questo provvedimento mira a conciliare la promozione dell’Intelligenza Artificiale con la tutela dei diritti e delle libertà fondamentali degli individui, stabilendo principi chiari e limiti all’utilizzo di questa tecnologia in settori sensibili come la sanità, il lavoro e la giustizia. Parallelamente, il legislatore italiano sostiene attivamente lo sviluppo e l’utilizzo dell’Intelligenza Artificiale attraverso l’istituzione di autorità nazionali dedicate e investimenti nella ricerca e nello sviluppo.