L’Agenzia spagnola per la protezione dei dati pubblica le linee guida per il trattamento dei dati personali negli "Spazi di Dati"

Introduzione

L'Agenzia spagnola per la protezione dei dati (“AEPD”) ha pubblicato a maggio del 2023 un importante provvedimento su un “Approccio agli Spazi di Dati dal punto di vista dell'RGDP” (“Provvedimento”) con l'obiettivo di fornire linee guida su come affrontare – nell'ambito dei cd. Spazi di Dati - il trattamento dei dati personali in conformità con il Regolamento generale sulla protezione dei dati (“GDPR”).

L'esigenza di affrontare questi temi nasce dalla consapevolezza che lo sviluppo tecnologico consente a soggetti sia pubblici che privati di trattare e condividere dati personali su larga scala. Non solo: come noto, sono molteplici le iniziative legislative, sia a livello europeo che nazionale, che mirano proprio a regolare questi fenomeni. In particolare, il Regolamento sulla governance dei dati (Data Governance Act – “DGA”), già approvato e che troverà applicazione a partire da settembre 2023, la proposta di Regolamento Data Act (“Data ACT”) e di Regolamento sulla creazione di uno European Health Data Space (“EHDSR”), i quali al momento sono ancora in fase di discussione presso le istituzioni dell'Unione Europea, insieme al Digital Markets Act e al Digital Services Act, costituiscono il quadro normativo di riferimento quando si parla di Spazi di Dati.

Ricordiamo come il DGA ha come scopo quello di regolamentare ed incentivare la condivisione dei dati protetti detenuti da soggetti pubblici, il Data Act stabilisce i soggetti che creano valore dai dati generati dai prodotti connessi (“IoT”) e coloro che ne possono beneficiare e le regole per un accesso equo a tali dati nonché sul loro utilizzo, mentre l'EHDSR ha come scopo quello di regolare l'uso di dati sanitari – anche per finalità secondarie, quali la ricerca scientifica – all'interno dell'Unione Europea. Queste normative in fase di approvazione ed applicazione, pur non fornendo una definizione di Spazio di Dati, ne regolano il funzionamento.  

Il Provvedimento definisce anzitutto lo Spazio di Dati come una “infrastruttura basata su meccanismi comuni di governance, organizzazione, regolamentazione e tecnica, che facilita l'accesso ai dati quindi lo sviluppo di modelli di business basati sulla loro esplorazione e sfruttamento”. L'accesso ai dati che si verifica all'interno di uno Spazio dati è definito come “qualsiasi utilizzo dei dati in conformità a requisiti specifici ma (…) senza necessariamente implicare la trasmissione o il download di dati, né spostare i principi e i diritti del GDPR”. 

Diventa quindi fondamentale chiarire comela realizzazione degli Spazi di Dati conformemente al quadro normativo europeodebba avvenireanche nel pieno rispetto di principi stabiliti dal GDPR. Questo per evitare che – come già avvenuto in passato – le possibilità offerte dalla tecnologia di effettuare trattamenti di dati innovativi possano realizzarsi senza tenere conto di questi principi. In questa ottica, l'AEPD sottolinea come un intervento tempestivo delle autorità di controllo possa aiutare ad una definizione corretta degli aspetti fondamentali: dalle definizioni di tutti gli attori coinvolti, alle soluzioni tecniche e architetturali idonee a realizzare gli Spazi di dati, fino agli obblighi derivanti dalla corretta applicazione della normativa in materia di protezione dei dati personali agli Spazi di Dati.

I soggetti degli Spazi di Dati

Il Provvedimento prova a fornire un quadro esaustivo di tutti i soggetti coinvolti nella creazione e nella gestione di uno Spazio di Dati, cercando di fare ordine tra le varie definizioni fornite dal DGA, DA e EHDSR che non coincidono e non risultano coordinate tra loro (l'assenza di coordinamento è stata segnalata da EDPB e EDPS nei pareri congiunti che sono stati rilasciati su questi provvedimenti negli ultimi due anni).

Le linee guida evidenziano una mancanza di coordinamento tra le varie definizioni contenute nei vari provvedimenti adottati o di prossima adozione nell'Unione Europea. Ad esempio, la definizione di “titolare dei dati” (data holder) è fuorviante in caso di dati personali: infatti, nel GDPR non esiste un concetto proprietario di dati personali e il titolare del trattamento è la persona fisica o giuridica che decide le finalità e le modalità del trattamento, il quale deve essere fondato su una base giuridica. Pertanto, il titolare dei dati, potrebbe essere, in base al GDPR, sia un titolare del trattamento che un responsabile, con tutto ciò che ne consegue in termini di obblighi e adempimenti, anche in base al principio di accountability.

Tra le figure più importanti sicuramente i Mediatori dello Spazio di Dati, cioè le entità che stabiliscono le relazioni tra gli interessati e/o i titolari dei dati e gli utenti dei dati o riceventi. Essi implementano i mezzi tecnici, legali, organizzativi o di altro tipo e consentono il funzionamento dello Spazio di Dati.  Il Supervisore delle richieste di accesso è l'organo di controllo responsabile della valutazione delle richieste presentate da un utente di dati per il trattamento dei dati personali.

Anche il concetto di Utente dei dati è sfuggente in base alla nuova normativa: si potrebbe trattare tanto di una persona fisica (interessato ai sensi del GDPR) quanto di una persona giuridica (altro titolare del trattamento) autorizzata ad utilizzare i dati a fini commerciali e non (ai sensi del DGA), ma anche di un utente di un prodotto connesso (ai sensi del Data Act). Nel EHDSR l'utente è il soggetto persona fisica o giuridica che può accedere legalmente ai dati ai fini dell'uso secondario (concetto privo di una definizione precisa dal punto di vista del GDPR).

Infine, tra i vari soggetti individuati ed esaminati dal provvedimento, c'è quello dell'Abilitatore, definito come il soggetto che “supporteranno tutti gli attori…per garantire che l'implementazione avvenga in un processo efficiente e coerente”. Ad esempio, nel DGA tale ruolo è svolto dal cd. Sportello Unico – che riceve le richieste di riutilizzo e le trasmette agli enti pubblici competenti. A titolo di esempio, secondo l'AEPD, anche un fornitore di servizi cloud potrebbe essere un abilitatore tecnologico e potrebbe contribuire alla creazione di questa infrastruttura. Inoltre, l'abilitatore non avrebbe solo un ruolo di natura tecnica, ma implementerebbe anche misure organizzative, di governance e di controllo, nonché assistenza legale ai vari attori coinvolti nello Spazio di Dati.

La protezione dei dati personali in uno Spazio di Dati

Il Provvedimento – dopo avere esaminato in dettaglio le varie architetture possibili per la realizzazione di uno Spazio di Dati conforme ai principi di privacy by design e by default ed al principio di minimizzazione di cui al GDPR – esamina le più importanti questioni relative alla protezione dei dati personali, fornendo importanti suggerimenti per i soggetti coinvolti nella loro realizzazione e gestione.

Ad esempio, in relazione alla figura del Data Protection Officer – DPO, nonostante l'AEPD faccia riferimento al GDPR per stabilire se sussista o meno l'obbligo di nominarne uno per i soggetti coinvolti, suggerisce che, in ogni caso, i Mediatori ne nominino uno, soprattutto quando esercitano le funzioni di supervisione e di autorizzazione all'accesso allo Spazio di Dati.

In relazione ai rischi connessi ai trattamenti nell'ambito di uno Spazio di Dati, l'AEPD rimanda agli articoli del GDPR e della normativa spagnola sulla valutazione di impatto. Tuttavia, sottolinea anche il fatto che le operazioni di trattamento nell'ambito di uno Spazio di Dati normalmente comportano il trattamento di grandi quantità di dati provenienti da fonti diverse con soluzioni tecniche e organizzative innovative, su larga scala, in modo completo e sistematico, che comporta l'associazione e la combinazione di dati automatizzata e orientata all'applicazione di nuove tecnologie. Pur non suggerendo esplicitamente una valutazione di impatto, il wording utilizzato dall'AEDPD suggerisce che in molti casi – anche sulla base degli orientamenti del Gruppo di Lavoro Articolo 29 - sarà necessario condurne una.

Uno dei passaggi più importanti del Provvedimento è quello sulle tematiche dei rischi per gli interessati e il riconoscimento del “rischio sociale” che i trattamenti di dati personali nell'ambito degli Spazi di Dati possono comportare. Si tratta di un riconoscimento molto importante da parte dell'AEPD: troppo spesso i rischi connessi ai trattamenti di dati personali vengono valutati solo in relazione ai singoli individui e non sempre le autorità di controllo si focalizzano sulla dimensione sociale del rischio. Qui l'AEPD riconosce la necessità di valutare anche l'impatto che i trattamenti di dati di una quantità significativa di interessati possono avere da un punto di vista sociale. L'impatto sulla enorme quantità di individui i cui dati vengono trattati nell'ambito di uno Spazio di Dati non è la somma del rischio sui diritti fondamentali dei singoli individui, secondo l'AEPD, ma ha “un effetto moltiplicatore, che colpisce i fondamenti della nostra società: mancanza di fiducia nelle istituzioni, manipolazione di ampie parti della popolazione o di gruppi particolarmente vulnerabili, messa a rischio di parti massicce della popolazione che rende impraticabili misure di mitigazione, ecc”. Il fatto che si riconosca espressamente l'importanza della dimensione sociale del rischio connesso al trattamento di dati personali appare fondamentale in un momento in cui la grande attenzione alla sua dimensione individuale rischia di portare ad alcuni eccessi, come ad esempio una esorbitante enfatizzazione del consenso quale base giuridica del trattamento o un eccessivo formalismo nella valutazione della correttezza degli adempimenti privacy.

Un altro passaggio interessante del Provvedimento è il paragrafo dedicato alle misure di sicurezza. Ad esempio, l'AEPD riconosce che le misure di sicurezza informatica non sono sufficienti ad assicurare la limitazione dei rischi per i diritti e le libertà degli interessati, ma che si inseriscono in un ampio novero di misure di natura organizzativa, di governance, policy, di privacy by default e privacy by design, sembra molto interessante. Così come anche il riconoscimento che le misure di sicurezza non costituiscono un obbligo di risultato, ma di mezzi secondo la Corte di Cassazione Spagnola. Pertanto, afferma l'AEPD con una innegabile linearità di pensiero “la materializzazione delle minacce ai dati personali è una questione di tempo e l'unica incognita è la dimensione che avrà”. Tale affermazione, tuttavia, non sembra suggerire l'impossibilità degli operatori di garantire il rispetto della normativa in materia di dati personali, e dunque l'inevitabilità delle sanzioni, quanto piuttosto per ammettere – in maniera oggettiva – le difficoltà nell'assicurare la compliance, pur riconoscendo la necessità di compiere ogni sforzo in tale direzione.

Infine, l'AEPD sottolinea l'importanza della cooperazione tra tutti gli attori coinvolti nella complessità dell'ambiente di uno Spazio di Dati: solo la cooperazione tra titolari del trattamento, responsabili, sub-responsabili e fornitori di tecnologia, può garantire un elevato livello di protezione dei dati personali. Da questo punto di vista, appare molto interessante il suggerimento di individuare – nell'ambito degli Spazi di Dati – i cd. “Data Protection Enablers” per coordinare e fornire il “supporto legale, organizzativo e tecnico a coloro che sono coinvolti in una operazione di trattamento nell'ambito di uno Spazio di Dati”.

Conclusioni

L'esame del Provvedimento che è stato sin qui fornito non è esaustivo. Sono molti gli aspetti trattati dall'AEPD, in alcuni casi anche con creatività e la consapevolezza – ci sembra - di essere solo all'inizio di un processo di trasformazione tecnologica e normativa che necessita di un impegno costante e costruttivo da parte di tutti gli operatori coinvolti: soggetti privati e pubblici, interessati, autorità di controllo, fornitori di servizi clou, consulenti, manager, ecc.

Si tratta tuttavia di uno sforzo importante per ordinare un insieme di normative (già esistenti o proposte) complesso e potenzialmente problematico: le incertezze interpretative e applicative potrebbero avere un impatto importante sullo sviluppo degli Spazi di Dati all'interno dell'Unione Europea. Quello che sembra muovere l'AEPD nella redazione del Provvedimento è la consapevolezza che un set di norme complesso e di difficile coordinamento potrebbe avere come effetto l'esatto contrario delle intenzioni per le quali tali norme sono state adottate. L'obiettivo della Commissione Europea è quello di formulare norme che agevolino la condivisione dei dati e contribuiscano al benessere di tutti i soggetti coinvolti. Ma le incertezze interpretative e applicative possono determinare l'effetto contrario e favorire i soggetti che riusciranno a beneficiare di esse. È di fondamentale importanza, dunque, tentare di fare ordine e fornire linee guida e interpretazioni, soluzioni e standard che gli operatori possano comprendere e realizzare.

Nella stessa direzione è andato in Italia, ad esempio, il Garante per la Protezione dei Dati Personali quando, circa un anno fa, ha fornito un parere negativo sullo schema di Decreto sull'Ecosistema di Dati Sanitari (“EDS”), evidenziandone le lacune ed il mancato coordinamento con la normativa in materia di protezione dei dati personali. Si tratta naturalmente di una situazione molto diversa, circostanziata e relativa a un provvedimento governativo specifico, non di linee guida. Tuttavia, è interessante sottolineare l'esigenza – in entrambi i casi – di intervenire per fare sì che la creazione di Spazi di Dati non sia scollegata dai principi di protezione dei dati personali. La creazione e la gestione di un Ecosistema di Dati Sanitari da parte del Ministero della Salute ha l'obiettivo di garantire un coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità del Fascicolo sanitario elettronico. L'EDS comporta una duplicazione di dati e documenti originariamente generati per finalità di cura, la creazione di una banca di dati sulla salute, costituendo un trattamento sistematico di dati sanitari su larga scala. È necessario che alcuni aspetti siano dunque trattati con particolare cautela: la definizione dei ruoli e delle responsabilità, l'individuazione delle basi giuridiche per il trattamento, l'implementazione di idonee misure di sicurezza, la redazione di una valutazione di impatto. Questi ed altri aspetti sono stati oggetto del provvedimento del Garante e dovranno essere considerati per l'implementazione dell'EDS in Italia.

Il Provvedimento dell'AEPD– con ogni probabilità – necessiterà di aggiustamenti e chiarimenti ma si muove nella giusta direzione. Ed è auspicabile che simili provvedimenti non siano adottati autonomamente dalle singole autorità di controllo nazionale, ma che si arrivi a soluzioni simili condivise dalle autorità dei vari Stati Membri.

Un altro motivo per cui questo Provvedimento – ad avviso di chi scrive – si muove nella direzione giusta, è l'evidente sforzo dell'AEPD di muoversi in anticipo, di individuare fin da ora le questioni più complesse e le possibili soluzioni interpretative ed applicative rispetto ad un set di norme che è ancora in fase di definizione. Questo è un altro elemento che deve fare riflettere: le istituzioni dei vari Stati Membri non dovrebbero farsi trovare impreparate ad affrontare gli effetti di questo complesso sistema di regolamenti che arriva dall'Unione Europea. L'adeguamento delle normative nazionali e le scelte di governance non dovrebbero avvenire sull'onda dell'urgenza (ad esempio, quando il set di norme sia già direttamente applicabile negli Stati Membri), ma si dovrebbero pianificare interventi già da oggi per evitare soluzioni normative e applicative locali inefficaci.

Guida all’approfondimento

- Provvedimento Garante Privacy 22 agosto 2022 recante «Parere al Ministero della Salute sullo schema di decreto da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sull’Ecosistema Dati Sanitari (EDS)». Parere negativo (www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9802752);

- Parere congiunto EDPB-GEPD 3/2022 sulla proposta di regolamento sullo spazio europeo di dat sanitari (edpb.europa.eu/system/files/202304/edpb_edps_jointopinion_202203_europeanhealthdataspace_it.pdf);

- Parere congiunto EDPB-GEPD sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (edpb.europa.eu/system/files/2021-09/edpb-edps_joint_opinion_dga_it_0.pdf);

- Parare congiunto EDPB -GEPD sulla proposta del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (edpb.europa.eu/system/files/2023-03/edpb-edps_jointopinion_2022-02_data_act_proposal_it.pdf);

- Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa  presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 (ec.europa.eu/newsroom/article29/items/611236).