Le autorità europee per la protezione dei dati del gruppo Article 29 Working Party hanno pubblicato un report relativo alle consultazioni avvenute in seno al Gruppo su aspetti controversi del Regolamento privacy, in particolare sul concetto di “consenso”, sull’adempimento relativo alla notificazione di data breach e sull’attività di profilazione.
Com’è noto il Regolamento europeo 679/2016 sul trattamento dei dati personali, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. Allo scopo di intervenire tempestivamente con implementazioni e modifiche il gruppo Article 29 Working Party ha organizzato alcuni workshop volti a costruire un confronto con partecipanti provenienti dal settore industriale europeo, dalle università, dal mondo associativo e dalla società civile. All’ultimo workshop, tenutosi in aprile a Bruxelles sono intervenuti 90 partecipanti che hanno dialogato con i Garanti privacy Europei su particolari aspetti del Regolamento Europeo.
Sul tema del “consenso”, che costituisce la principale base legale del trattamento dei dati, è emerso che in alcuni casi la definizione di consenso contenuta nel Regolamento potrebbe non rappresentare una base affidabile per l’utilizzo dei dati. Particolare preoccupazione desta il trattamento di dati relativi ad un minore perché attualmente non c’è un modo si verificare l’età di chi presta un consenso online né è possibile verificare l’identità di colui che dichiara online di detenere la responsabilità genitoriale.
Per quanto riguarda il consenso al trattamento dei dati utilizzati per fini di ricerca, sono state sollevate delle perplessità riguardo l’utilizzo dei dati per fini secondari alla ricerca.
I partecipanti hanno anche espresso incertezza riguardo alla possibilità di ritiro di un consenso già accordato e alle possibili conseguenze che affronta chi non accorda il proprio consenso. Particolare perplessità sono state espresse in merito a quelle situazioni in cui chi non dà il consenso non può usufruire di un servizio.
Un altro tema su cui sono state espresse perplessità riguarda le notifiche dei “data breach”. Dai partecipanti è emersa la necessità di una maggiore flessibilità sul contenuto della notifica in considerazione del danno reputazionale che si profila per le compagnie vittime di attacchi.
Viene inoltre richiesta maggiore chiarezza sui sulle modalità. In particolare, si richiedono chiarimenti sul destinatario della notifica nel caso di dati relativi a cittadini di diversi paesi. E’ necessario comunicare la notifica alle Authority di ogni stato coinvolto?
I partecipanti si sono inoltre confrontati sul tema della profilazione come particolare trattamento dei dati personali. Ci sono molte forme di profilazione che variano da settore a settore e non possono essere regolamentate da un’unica disposizione. È stata dunque richiesta la produzione di linee guida differenziate per tipologia. Inoltre le linee guida dovranno tenere conto delle finalità diverse per cui si fa profilazione. A questo proposito è emerso il dubbio se non ci debba essere una limitazione nelle tipologie di dati utilizzabili. In particolare per quanto riguarda dati di minori. I partecipanti hanno anche obiettato che attualmente non c’è una chiara distinzione tra le profilazioni basate su intervento umano e quelle invece completamente automatizzate.
L’intero report dell’incontro è disponibile sulla pagina della Commissione Europea dedicata all’Article 29 Working Party.
Aggiungi commento