Come gradualmente trapelato negli ultimi giorni da vari organi di informazione, la Commissione UE ha segretamente messo in moto una riforma potenzialmente massiccia del GDPR. Se le bozze interne diventassero realtà, ciò avrebbe un impatto significativo sul diritto fondamentale delle persone alla privacy e alla protezione dei dati. La riforma farebbe parte del cosiddetto "Digital Omnibus", che avrebbe dovuto apportare solo adeguamenti mirati per semplificare la conformità per le imprese. Ora la Commissione propone di modificare elementi fondamentali come la definizione di "dati personali" e tutti i diritti degli interessati previsti dal GDPR. La bozza trapelata suggerisce anche di dare alle aziende di IA (come Google, Meta o OpenAI) un assegno in bianco per risucchiare i dati personali degli europei. Inoltre, la protezione speciale dei dati sensibili, come quelli relativi alla salute, alle opinioni politiche o all'orientamento sessuale, verrebbe significativamente ridotta. Verrebbe inoltre consentito l'accesso remoto ai dati personali su PC o smartphone senza il consenso dell'utente. Molti elementi della riforma prevista ribalterebbero la giurisprudenza della CGUE, violerebbero le convenzioni europee e la Carta europea dei diritti fondamentali. Se questa bozza estrema diventerà la posizione ufficiale della Commissione europea, sarà chiaro solo il 19 novembre, quando il "Digital Omnibus" sarà presentato ufficialmente. Schrems: "Si tratterebbe di un massiccio declassamento della privacy degli europei, dieci anni dopo l'adozione del GDPR."
- Tabella riassuntiva della bozza e commenti di noyb
- Documento trapelato sulle posizioni degli Stati membri (in gran parte non chiedono riforme)
- Documento trapelato dalla Germania (che chiede una riforma massiccia, ma in gran parte non ora)
- Testo originale trapelato (via Netzpolitik.org)
- Servizio originale di MLex (paywalled), Servizio di Reuters e Servizio di Netzpolitik.org
Attacco segreto "veloce" al GDPR. La Commissione europea intende semplificare diverse leggi dell'UE attraverso la cosiddetta riforma "Omnibus", uno strumento che di solito modifica orizzontalmente vari elementi minori di diverse leggi, per migliorare la qualità della legge e snellire gli obblighi burocratici. A differenza dell'approccio tradizionale all'attività legislativa, l'Omnibus viene realizzato attraverso una procedura "accelerata" che salta diversi elementi del processo, tra cui le valutazioni d'impatto e il tempo necessario per un feedback da parte dei servizi legali e delle unità competenti delle istituzioni europee. Ciò è accettabile se vengono apportati solo miglioramenti semplici e non contenziosi.
Tuttavia, come è stato rivelato, i servizi della Commissione europea guidati dal vicepresidente esecutivo Henna Virkkunen (la cosiddetta"DG CONNECT") stanno lavorando a una massiccia riforma del GDPR sotto la voce "semplificazione" o "chiarimenti".
Max Schrems:"La bozza non è solo estrema, ma anche mal formulata. Non aiuta le 'piccole imprese', come promesso, ma avvantaggia soprattutto le 'big tech'"
Il piano originale della Commissione prevedeva di effettuare una cosiddetta "Digital Fitness Check" nel 2026, raccogliere le prove necessarie e quindi procedere a un aggiornamento mirato e ben sviluppato del GDPR e di altre leggi digitali.
L'UE "salta" sulle richieste tedesche o statunitensi? Sia le parti interessate che gli Stati membri hanno chiesto esplicitamente di non riaprire il GDPR. In un riepilogo delle posizioni degli Stati membri, quasi tutti gli Stati membri che hanno fornito un feedback affermano di non volere alcun cambiamento. Tuttavia, la Germania ha spinto per modifiche significative al GDPR che vanno oltre il mandato originale di questa legge. Sembra che la Commissione si sia semplicemente "buttata" su un non-paper tedesco trapelato la scorsa settimana, dato che molti cambiamenti nella bozza sembrano essere una copia 1:1 delle richieste contenute nella lettera tedesca trapelata. La Germania non ha fornito prove della necessità di tali riforme e non è chiaro da dove provengano queste richieste. Altre voci sottolineano la recente notizia riportata da Politico, secondo cui il messaggio di Virkkunen alle imprese statunitensi in occasione di incontri diretti è stato chel'UE rivedrà le sue regole e diventerà più favorevole alle imprese.
Max Schrems:"Non è chiaro da dove provenga la pressione politica. La maggior parte degli Stati membri ha chiesto piccole modifiche e nessuna riapertura. La Germania ha tradizionalmente assunto una posizione anti-GDPR in Europa. Sembra più facile incolpare qualche legge dell'UE per i problemi tedeschi con la digitalizzazione piuttosto che risolvere le questioni a livello nazionale. Non ci sorprende che quest'ultima spinta provenga ancora una volta dalla Germania. Si dice che anche le pressioni degli Stati Uniti potrebbero giocare un ruolo."
Leggendo la prima bozza interna, è chiaro che il danno potenziale al GDPR (vedi dettagli sotto) sarebbe enorme. Molte parti della bozza violano le convenzioni europee, la Carta dei diritti fondamentali o la giurisprudenza consolidata della Corte di giustizia. Non è chiaro se ciò sia intenzionale o se sia dovuto al rapido ritmo di lavoro e alla conseguente scarsa qualità della bozza. Gli addetti ai lavori di Bruxelles hanno riferito che alcune unità hanno avuto solo cinque (!) giorni lavorativi per commentare un progetto di legge di oltre 180 pagine.
Max Schrems: "Una parte della Commissione europea sembra cercare di scavalcare tutti gli altri a Bruxelles, ignorando le regole di buona legiferazione, con risultati potenzialmente terribili. È molto preoccupante vedere le pratiche legislative trumpiane prendere piede a Bruxelles"
Visione a tunnel sulla "corsa all'intelligenza artificiale"? Sebbene ci possano essere diversi modi validi per migliorare e semplificare il GDPR, le modifiche proposte sembrano soffrire di una "visione a tunnel" per quanto riguarda l'abilitazione alla formazione e all'uso dell'IA - anche sui dati personali. In un recente studio, tuttavia, solo il 7% dei tedeschi dichiara di volere che Meta utilizzi i propri dati personali per addestrare l'IA. Ciononostante, la riforma punta a tutti gli elementi del GDPR che potrebbero limitare l'utilizzo dell'IA.
Max Schrems: "Ciò che queste modifiche sembrano ignorare è che la maggior parte dell'elaborazione dei dati non è basata sull'IA. Il potenziale cambiamento che "libererebbe" l'IA avrebbe enormi conseguenze indesiderate per molte altre aree del GDPR. Anche la protezione dei dati sanitari, delle minoranze o dei dipendenti verrebbe eliminata da questa bozza. Ampi settori dell'attività pubblicitaria online potrebbero essere in grado di aggirare i doveri del GDPR, a causa delle modifiche considerate"
Una morte da 1000 tagli. Sebbene molti cambiamenti sembrino tecnici, dietro ogni "definizione" del GDPR ci sono i diritti delle persone. Le modifiche vanno dalla riduzione di ciò che è considerato "dati personali" e quindi protetto, fino alla limitazione del "diritto di accesso" in modo che dipendenti, giornalisti o ricercatori non possano più accedere ai propri dati. Le modifiche consentono anche un accesso indulgente per "estrarre" i dati da smartphone, PC o dispositivi connessi o permettono in larga misura alle aziende di utilizzare i dati personali degli europei per l'addestramento (commerciale) dell'intelligenza artificiale. Mentre le aziende spesso sostengono che il GDPR sarebbe un "onere", la realtà è che nemmeno l'1,3% di tutti i reclami relativi al GDPR porta a una multa. In Irlanda finora è stato pagato solo lo 0,6% delle multe.
Max Schrems:"La bozza taglierebbe molti piccoli buchi nella legge, rendendola complessivamente inutilizzabile per la maggior parte dei casi. Già oggi l'applicazione delle leggi sulla privacy dell'UE è quasi inesistente, con queste modifiche la maggior parte dei casi che attualmente vinciamo - probabilmente li perderemmo o andremmo incontro a procedure ancora più complesse"
In pratica nessun beneficio per le PMI e le imprese dell'UE. La ragione ufficiale dei "chiarimenti" e delle "semplificazioni" attraverso l'Omnibus era quella di limitare gli oneri amministrativi per le piccole e medie imprese (PMI) dell'UE. noyb sostiene pienamente questo obiettivo. Tuttavia, le modifiche proposte riguardano soprattutto le aziende che si occupano di formazione sull'IA - quindi aziende che oggi hanno un valore di trilioni di dollari (come OpenAI, Google, Meta, Amazon o Microsoft). Sebbene vi siano alcuni chiarimenti che potrebbero giovare alle PMI, come le regole su quando devono essere effettuate le cosiddette "valutazioni d'impatto sulla protezione dei dati", questi non avranno un impatto maggiore sulla competitività europea.
Max Schrems:"Se questa bozza diventerà definitiva, tutti i discorsi sulle 'piccole imprese' e sugli 'oneri amministrativi' saranno chiaramente solo una messa in scena per ottenere il sostegno dell'opinione pubblica. In fondo si tratta di un massiccio tentativo di deregolamentazione, che rovescia 40 anni di dottrina europea sui diritti fondamentali"
Richiesta di uno stop urgente e di un'adeguata legislazione. Dato che questa proposta è piena di problemi e scatenerebbe anche una grande incertezza giuridica che renderà molte modifiche soggette ad attacchi legali (riusciti) davanti alla Corte di Giustizia, questo approccio "accelerato" potrebbe non essere utile a nessuno - che si tratti di PMI, autorità di protezione dei dati o utenti. Le prime indicazioni del Parlamento europeo evidenziano inoltre che modifiche di ampia portata ostacolerebbero chiaramente l'"Omnibus" in Parlamento. Dato che la Commissione intende approvare altri elementi dell'Omnibus digitale il più rapidamente possibile, pensiamo che non ci sia altro modo che eliminare la maggior parte delle modifiche al GDPR dalla bozza.
Max Schrems: "Sparare un "colpo basso" in un settore altamente complesso e sensibile non solo danneggerà gli utenti, ma non aiuterà nemmeno le imprese dell'UE. Inoltre, mette in dubbio che questo Omnibus possa passare rapidamente al Parlamento europeo e al Consiglio. La Commissione ha ancora una settimana per decidere cosa inserire nella proposta finale"
Panoramica dei cambiamenti
La bozza del Digital Omnibus propone innumerevoli modifiche a molti articoli diversi del GDPR. Nel complesso si tratta di una "morte da 1000 tagli". Abbiamo fatto una panoramica generale di alcune delle modifiche principali. Per un'analisi legale più dettagliata, scaricate il nostro PDF riassuntivo qui. Tutti i cambiamenti elencati di seguito si basano sui nostri migliori sforzi di comprensione delle bozze interne della Commissione. Alcuni elementi sono poco chiari e contrastanti nella bozza di testo e di qualità così scarsa che il vero significato e l'intenzione dei testi non sono sempre chiari.
(1) Una nuova scappatoia del GDPR tramite "pseudonimi" o "ID"? Sembra che la Commissione intenda restringere in modo significativo la definizione di "dati personali", il che comporterebbe l'inapplicabilità del GDPR in molti casi. Il piano prevede di aggiungere un "approccio soggettivo" nel testo del GDPR. Ciò significherebbe che se un'azienda specifica non è in grado di identificare una persona, i dati non sono "personali" per quell'azienda e il GDPR cessa di essere applicato.
Inoltre, la bozza fa riferimento a strumenti di identificazione che probabilmente saranno utilizzati da ogni specifico responsabile del trattamento. Ciò richiederebbe ulteriori indagini e previsioni sul funzionamento interno e sulle azioni future di una specifica azienda per sapere se una persona gode ancora dei diritti previsti dal GDPR. In pratica, ciò rende il GDPR difficilmente applicabile e porterebbe a dibattiti e scontri infiniti sulle vere intenzioni e sui piani di un'azienda.
La bozza può essere letta almeno per abbandonare l'idea che le tecniche per "individuare" una persona siano ancora coperte dalla legge. Invece, la formulazione della bozza allude a un'esenzione generale dal GDPR se i responsabili del trattamento si limitano a utilizzare "pseudonimi" (come "user12473" o i dati di un cookie di tracciamento) al posto dei nomi. Ciò significherebbe che interi settori industriali, finora coperti dal GDPR e operanti tramite "pseudonimi" o numeri identificativi casuali, non sarebbero più (completamente) coperti. Ciò potrebbe applicarsi a quasi tutti i tracciamenti online, alla pubblicità online e alla maggior parte degli intermediari di dati.
Questo cambiamento si discosterebbe anche in modo massiccio dall'interpretazione piuttosto ampia della Corte di giustizia (CGUE). Esiste una giurisprudenza di oltre 20 anni che sostiene un'interpretazione ampia di ciò che si intende per "dati personali".
Dato che il termine "dati personali" deriva dall'articolo 8 della Carta, è molto probabile che una modifica così profonda non sopravviva all'esame della CGUE.
(2) Il diritto all'accesso, alla cancellazione o alla rettifica viene limitato alle finalità. Una modifica massiccia (su richiesta tedesca) consiste nel limitare l'uso dei diritti degli interessati (come l'accesso ai dati, la rettifica o la cancellazione) alle sole "finalità di protezione dei dati". Al contrario, ciò significa che se un dipendente utilizza una richiesta di accesso in una controversia di lavoro sulle ore non retribuite - ad esempio, per ottenere una registrazione delle ore lavorate - il datore di lavoro potrebbe respingerla come "abusiva". Lo stesso varrebbe per i giornalisti o i ricercatori.
In una lettura ampia questo potrebbe andare anche oltre. Se una persona chiede di cancellare i dati falsi della classifica di credito per ottenere un prestito più economico in banca, tale "diritto alla rettifica" delle informazioni finanziarie false potrebbe non essere esercitato solo per uno "scopo di protezione dei dati", ma per interesse economico. Anche casi come il famoso "diritto all'oblio" possono non essere considerati un "interesse di protezione dei dati" se la persona che chiede la cancellazione dei dati pubblici lo fa per un interesse economico.
Questa idea è una chiara violazione della giurisprudenza della CGUE e dell'articolo 8, paragrafo 2, della Carta. Il diritto all'autodeterminazione informativa è esplicitamente inteso a colmare il divario informativo tra gli utenti e le aziende che detengono le informazioni, dato che sempre più informazioni sono nascoste nei server aziendali (ad esempio, copia dei fogli di presenza). La CGUE ha stabilito più volte che i cittadini europei possono esercitare questi diritti per qualsiasi scopo, compreso il contenzioso o la produzione di prove.
Il GDPR prevede già limitazioni per l'uso "abusivo" dei diritti del GDPR (come il rifiuto di accedere ai dati o il pagamento di una tassa), ma la Commissione vuole ora limitare anche le ragioni per cui questi diritti possono essere esercitati.
(3) Google, Meta e OpenAI possono ora addestrare l'intelligenza artificiale con i vostri dati. La bozza della Commissione prevede anche modifiche all'articolo 6, paragrafo 1, e all'articolo 9, paragrafo 2, del GDPR per consentire il trattamento dei dati personali per l'IA. Ciò significa che una tecnologia ad alto rischio, alimentata dai pensieri più personali e dai dati sensibili delle persone, ottiene un "OK" generale ai sensi del GDPR. Allo stesso tempo, ogni database tradizionale o telecamera a circuito chiuso rimane strettamente regolamentato.
La bozza della Commissione sottolinea la necessità di "minimizzare i dati" (un principio che si applica già ai sensi dell'articolo 5(1)(b) del GDPR) e richiede che vengano messe in atto "salvaguardie" non meglio definite. Tuttavia, non vi sono parametri o standard tecnici per tali "salvaguardie". L'unica presunta protezione specifica è il "diritto di opposizione". Ma questa idea è destinata a fallire nella maggior parte dei casi:
- Significherebbe che gli utenti dell'UE dovrebbero prima essere informati che i loro dati sono effettivamente utilizzati per l'addestramento dell'IA, il che è in gran parte impossibile. Aziende come OpenAI non hanno idea di quali dati personali appartengano a chi, né tantomeno di quali siano i loro contatti. Pertanto, le persone non scopriranno mai che i loro dati personali vengono utilizzati
- Se le persone lo scoprissero comunque, dovrebbero opporsi costantemente a tutte queste aziende. Ciò significa trovare centinaia di responsabili del trattamento, compilare moduli e ripetere l'esercizio per tutti coloro che fanno formazione sull'IA individualmente
- Infine, l'obiezione e i dati pertinenti dovrebbero essere "abbinati", nonostante gli utenti non sappiano se i loro dati vengono utilizzati - e se sì, quali dati vengono utilizzati. A sua volta, il responsabile del trattamento sarà per lo più impossibilitato a eseguire un'obiezione quando l'intera rete Internet viene raschiata.
In conclusione: Google, Meta, Microsoft o OpenAI possono continuare a guadagnare trilioni (!) con i dati generati da aziende, artisti o privati europei, ottenendo un "lasciapassare" dal legislatore europeo.
(4) Il funzionamento dei sistemi di IA ottiene un "jolly GDPR"? Le modifiche all'articolo 6, paragrafo 1, e all'articolo 9, paragrafo 2, del GDPR vanno oltre le aspettative. Non solo lo sviluppo di sistemi di IA sarebbe privilegiato, ma anche il funzionamento di un sistema di IA. Il termine "funzionamento" non è definito, ma probabilmente comprenderà qualsiasi tipo di trattamento dei dati.
Questo porterebbe a una situazione grottesca: Se i dati personali vengono trattati tramite un database tradizionale, un foglio Excel o un software, un'azienda deve trovare una base giuridica ai sensi dell'articolo 6(1) del GDPR. Tuttavia, se lo stesso trattamento viene effettuato tramite un sistema di intelligenza artificiale, può qualificarsi come "interesse legittimo" ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR. Questo privilegerebbe una tecnologia (rischiosa) rispetto a tutte le altre forme di trattamento dei dati e sarebbe contrario all'approccio "neutrale dal punto di vista tecnologico" del GDPR.
(5) I dati sensibili come salute, politica o vita sessuale sono coperti solo se "direttamente rivelati"? L'articolo 9 del GDPR protegge specificamente i dati "sensibili" riguardanti la salute, le convinzioni politiche, la vita sessuale, l'orientamento sessuale o l'appartenenza sindacale delle persone. Finora la CGUE ha ritenuto che tali informazioni siano protette anche se possono essere dedotte solo da altre informazioni. La Commissione cerca ora di ribaltare la legge e vuole limitare le tutele dell'articolo 9 solo se tali informazioni sensibili sono "direttamente rivelate".
Tuttavia, le persone che "rivelano direttamente" di essere incinte, malate di cancro o gay di solito hanno meno bisogno di questa protezione rispetto alle persone su cui tali informazioni sensibili possono essere solo "dedotte" da altre informazioni. Un esempio classico è rappresentato dai datori di lavoro che utilizzano i "big data" per dedurre che una donna è incinta, per poi licenziarla rapidamente ed evitare pagamenti sociali e simili. In questo momento, ciò rientrerebbe nell'articolo 9 del GDPR. In futuro, si ridurrebbe alle tutele previste dall'articolo 6 del GDPR, mentre una persona che annuncia pubblicamente la propria gravidanza rientrerebbe nell'articolo 9 del GDPR.
Dal punto di vista degli individui, una simile limitazione non ha senso, ma la Commissione sembra preoccuparsi soprattutto delle aziende che vogliono utilizzare questi dati per l'addestramento dell'intelligenza artificiale. Filtrare per "sono incinta" è più facile che filtrare i 1000 segnali che permettono a Meta o Google di capire che una persona è incinta.
Questa modifica violerebbe l'articolo 6 della Convenzione 108 del Consiglio d'Europa, che utilizza l'attuale formulazione del GDPR ("rivelare") ed è stata ratificata da 55 Paesi.
(6) Estrarre i dati personali dal dispositivo? Finora, l'articolo 5(3) ePrivacy ha protetto gli utenti dall'accesso remoto ai dati memorizzati su "apparecchiature terminali", come computer o smartphone. Ciò si basa sul diritto alla protezione della comunicazione di cui all'articolo 7 della Carta e ha fatto sì che le aziende non possano "cercare a distanza" nei dispositivi.
Tuttavia, la proposta della Commissione consente ora - a seconda della lettura della bozza - fino a 10 (!) basi giuridiche per estrarre informazioni da un dispositivo personale - o inserire tecnologie di tracciamento sul dispositivo (come i "cookie"). Le quattro operazioni di trattamento "in bianco" per l'accesso alle apparecchiature terminali includono ora "statistiche aggregate" e "finalità di sicurezza". Sebbene la direzione generale dei cambiamenti sia comprensibile, la formulazione è estremamente permissiva e consentirebbe anche "ricerche" eccessive sui dispositivi degli utenti per (minuscoli) scopi di sicurezza.
Inoltre, sarebbero disponibili tutte le basi giuridiche di cui all'articolo 6(1) del GDPR. In combinazione, ciò potrebbe portare a risultati assurdi: L'addestramento dell'intelligenza artificiale sarebbe un "interesse legittimo" e le aziende possono ora accedere da remoto ai dati personali sul dispositivo dell'utente per tale "interesse legittimo". Di conseguenza, una possibile lettura della legge prevede che aziende come Google possano utilizzare i dati di qualsiasi app Android per addestrare la sua IA Gemini. Soprattutto le aziende "Big Tech" molto probabilmente darebbero una lettura ancora più espansiva della bozza di testo. È discutibile che gli autori di questa proposta di legge abbiano mai pensato a queste combinazioni.
