L'EDPB (che riunisce tutte le autorità indipendenti per la protezione dei dati) e il Garante europeo per la protezione dei dati (GEPD) hanno pubblicato un parere congiunto in cui esprimono serie preoccupazioni sugli elementi chiave della proposta di modifica del GDPR e dell'ePrivacy nel cosiddetto "Omnibus digitale"proposto dalla Commissione europea. In particolare, le autoritàautorità si oppongono fermamente alla proposta di restringimento della definizione di dati personali. Il parere mette inoltre mette in dubbio la necessità di diverse proposte chiave, come la base giuridica per la formazione dell'IA e le restrizioni al diritto di accesso. Molte altre disposizioni non sono ritenute sufficientemente chiare. Le autorità' fautorità è un altro duro colpo per il tentativo della Commissione di limitare i diritti degli utenticommissione di limitare i diritti degli utenti.
Un contributo molto importante sul Digital Omnibus. Con il Digital Omnibus, la Commissione europea ha proposto modifiche radicali al GDPR e alla direttiva ePrivacy, mascherate da misure di "semplificazione". Ciò potrebbe significare, tra l'altro, una restrizione della definizione di dati personali (articolo 4, paragrafo 1, del GDPR) e del diritto di accesso (articolo 12, paragrafo 5, del GDPR), nonché il via libera al trattamento dei dati degli utenti per la formazione dell'intelligenza artificiale. Queste modifiche non aiutano a sbrigare le inutili pratiche burocratiche delle normali aziende dell'UE, ma sono utili soprattutto alle grandi aziende tecnologiche statunitensi. Le organizzazioni della società civile avevano già lanciato l'allarme, ma ora l'influente e indipendente Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno sottoposto la proposta a un nuovo esame: in un parere congiunto, le autorità sollevano serie preoccupazioni su alcune delle proposte più importanti.
Max Schrems: Le autorità indipendenti hanno definito i cambiamenti chiave per quello che sono: né "modifiche tecniche" né "semplificazioni", ma limitazioni del diritto alla protezione dei dati per i residenti nell'UE."
Modifica della definizione di dati personali: respinta. In particolare, il GEPD e il GEPD confermano le preoccupazioni delle parti interessate in merito alla proposta di restringere la definizione di dati personali ai sensi dell'articolo 4, paragrafo 1, del GDPR. Secondo il parere, ciò "andrebbe ben oltre una modifica mirata del GDPR, una 'modifica tecnica' o una mera codifica della giurisprudenza della CGUE"
Allo stesso modo, le autorità respingono la proposta della Commissione di estendere i propri poteri, consentendole di decidere cosa si qualifica come dati personali pseudonimizzati. In combinazione con la nuova definizione di dati personali, ciò potrebbe aprire alle aziende comode vie di fuga dall ' applicazione del GDPR.
Formazione AI basata su un interesse legittimo? Sebbene il parerenon sia strettamente contrario alla proposta della Commissione relativa alla formazione sull'IA basata su un interesse legittimo, il GEPD e il GEPD sottolineano che, in realtà, il nuovo articolo 88 quater non chiarisce la questione. Le aziende dovranno ancora effettuare un test in tre fasi per valutare se l'uso di un interesse legittimo come base giuridica è legittimo. La proposta non risolve molte altre questioni fondamentali relative all'uso dei dati personali nella formazione sull'IA.
Limitazione del diritto di accesso. Nella sua forma attuale, laproposta della Commissioneper l'articolo 12, paragrafo 5, del GDPR limiterebbe la possibilità per gli interessati di utilizzare il diritto di accesso per ottenere l'accesso ai propri dati, imponendo che tale diritto debba essere utilizzato per "finalità di protezione dei dati". Ciò escluderebbe probabilmente le finalità giornalistiche, di ricerca, politiche, economiche, legali o di altro tipo per accedere ai propri dati personali. Le autorità chiariscono che un tale rifiuto violerebbe l'attuale giurisprudenza della CGUE, anche se sono possibili chiarimenti sulle restrizioni esistenti per "abuso" dei diritti di accesso.
Conferma delle critiche precedenti. Su molti altri articoli, il GEPD e il GEPD affermano che gli obiettivi della Commissione sono comprensibili, ma il modo in cui le proposte sono state redatte non raggiunge il livello di chiarezza e profondità che sarebbe utile nella pratica.
I risultati principali della valutazione delle autorità coincidono con quelli dell'analisi dettagliata della proposta della Commissione europea effettuata dal Noyb. D'altra parte, alcune delle modifiche proposte sembrano essere considerate accettabili dalle autorità, nonostante il fatto che, invece di snellire l'applicazione e ridurre gli oneri normativi per le PMI europee, molte modifiche ne aumenterebbero la complessità. Ciò andrebbe esclusivamente a vantaggio delle grandi aziende tecnologiche statunitensi e degli studi legali specializzati nella ricerca di scappatoie da sfruttare per i propri clienti.
Avanti: Posizione del Consiglio e del PE: Si spera che il Parlamento europeo e il Consiglio tengano conto di questo parere congiunto del GEPD e del GEPD, ma che vadano oltre, eliminando alcune delle modifiche che non possono essere corrette in modo significativo e migliorando profondamente altri elementi.
