Il recente parere dell’EDPB sull’uso del sistema “Pay or Consent”
Sempre più spesso, navigando sui siti di alcune testate giornalistiche o su altre piattaforme online, gli utenti si trovano davanti a una scelta: abbonarsi al servizio oppure acconsentire all’uso dei propri dati per l’invio di contenuti pubblicitari personalizzati.
Una pratica diffusa, quella del “Pay or Consent” (letteralmente: “Paga o Acconsenti”), ma non per questo necessariamente lecita, oggetto del recente parere dell’EDPB (Opinion 08/2024 del 17 aprile 2024). La pronuncia è stata sollecitata da alcune Autorità per la Protezione dei Dati nazionali (Olanda, Norvegia e Germania) e, peraltro, tiene conto anche della sentenza della Corte di Giustizia dell’Unione europea nel caso C-252/21, che ha visto coinvolta Meta.
Tra gli aspetti principali in merito alla configurazione giuridica della fattispecie del “Pay or Consent” emerge senza dubbio la questione della validità del consenso che, si ricorda, ai sensi del GDPR dev’essere, tra le altre cose, liberamente prestato. Ebbene, secondo l’EDPB, la libertà di scelta dell’utente dipende anche dalle opzioni che gli vengono offerte, e risulta difficile immaginare che le piattaforme possano ottenere un consenso liberamente prestato se la scelta si riduce a: pagare un abbonamento o “pagare” con i propri dati.
I titolari, argomenta l’EDPB, non dovrebbero offrire una sola alternativa a pagamento oltre al servizio che include il trattamento dei dati a fini di pubblicità comportamentale, ma dovrebbero prendere in considerazione la possibilità di fornire agli interessati una terza “alternativa equivalente” che non comporti il pagamento di un corrispettivo. Solo in questo modo gli utenti potranno esercitare una vera scelta; infatti, se gli utenti sono messi in condizione di poter usufruire del servizio non solo gratuitamente, ma anche senza dover necessariamente acconsentire alla pubblicità comportamentale, si può dedurre che coloro che prestino il proprio consenso alla profilazione lo facciano liberamente e consapevolmente, e non perché si tratta solo della scelta dell’unica alternativa (apparentemente) gratuita.
A ciò si aggiunga un altro fattore determinante nella validità del consenso prestato: lo squilibrio di potere tra un titolare che ricopre un’importante posizione sul mercato (ad esempio una testata giornalistica) e l’interessato (utente del sito web). Squilibrio che si accentua se si considera la tipologia di servizio e il fatto che lo stesso possa dirsi “essenziale” per gli utenti. In sostanza, il rischio è che nei sistemi “Pay or Consent” gli utenti che non intendono pagare né sottoporsi a un trattamento dei propri dati per l’invio di pubblicità comportamentale si trovino costretti a rinunciare, ad esempio, alla possibilità di informarsi.
Il tema della libertà del consenso prestato è senza dubbio quello che appare più controverso in tale dinamica, ma naturalmente devono essere rispettate anche le altre condizioni affinché il consenso possa dirsi lecito: esso, come noto, dev’essere libero, specifico, informato, inequivocabile ed ottenuto in maniera chiara e comprensibile per l’interessato. Senza trascurare, naturalmente, gli altri principi del GDPR, cui devono attenersi tutti i titolari in occasione di un trattamento di dati personali.
Per approfondimenti:
AI Act: le nuove regole sull’Intelligenza Artificiale in Europa
Il 21 maggio 2024 è stato approvato il testo definitivo dell’AI Act.
Si tratta del primo regolamento al mondo in materia di intelligenza artificiale volto a promuovere lo sviluppo e l’adozione di sistemi AI sicuri e affidabili all’interno del mercato unico europeo, che operino nel rispetto delle libertà e dei diritti fondamentali dei cittadini, compreso il diritto alla protezione dei dati personali.
L’obiettivo è quello di stimolare nuovi investimenti e promuovere l’innovazione nel campo dell’intelligenza artificiale, considerato un settore ormai cruciale non solo nel mercato europeo ma anche a livello globale, costituendo un elemento di significativa rilevanza strategica in numerosi ambiti e per diversi soggetti.
Innanzitutto, l’AI Act classifica i sistemi di intelligenza artificiale sulla base del rischio per i diritti e le libertà dei soggetti interessati. Infatti, i sistemi di IA che presentano un “rischio limitato” saranno soggetti a obblighi di trasparenza meno rigidi, a differenza dei sistemi di AI considerati ad “alto rischio” che dovranno rispettare una serie di requisiti specifici e che saranno soggetti ad obblighi di trasparenza più stringenti, fatta eccezione per quei sistemi di AI autorizzati dalla legge e impiegati per accertare, prevenire, indagare o perseguire reati.
Inoltre, l’AI Act introduce una serie di divieti con riferimento ad alcune pratiche considerate rischiose, tra cui:
- l’adozione di tecniche che manipolano la cognizione e il comportamento individuale;
- la raccolta casuale di dati biometrici da spazi pubblici, su Internet o tramite i sistemi di videosorveglianza;
- l’uso di sistemi per il riconoscimento delle emozioni in contesti lavorativi o scolastici;
- l’implementazione di punteggi di social scoring;
- l’elaborazione biometrica per l’inferenza di dati appartenenti a categorie particolari;
- l’impiego di sistemi con funzioni di polizia predittiva rivolti a specifici individui.
L’AI Act detta nuove regole anche con riferimento ai cd. foundation model, ossia quei sistemi computazionali basati sull’AI (ad esempio, ChatGPT) impiegati per diverse attività e finalità, quali la generazione di video, testi e immagini, conversazioni in linguaggio vocale, calcoli e altro ancora.
In relazione a tali sistemi, l’AI Act prevede l’obbligo per i fornitori di effettuare valutazioni d’impatto sui sistemi ad alto rischio o per quelli impiegati nel settore bancario e assicurativo. Tra gli altri obblighi imposti ai fornitori di questi sistemi, rientra anche quello di eseguire test per cercare di risolvere i rischi sistemici e adottare misure che garantiscano un livello adeguato di sicurezza dell’infrastruttura hardware e software.
Un ulteriore aspetto riguarda la previsione di misure volte a favorire lo sviluppo e l’adozione di un’AI sicura. Sotto questo profilo, le autorità competenti di ciascuno Stato membro sono tenute ad istituire uno spazio di sperimentazione normativa dedicato all’AI per garantire un ambiente controllato che promuove l’innovazione e facilita lo sviluppo, l’addestramento, la sperimentazione e la convalida dei sistemi di AI.
In tale contesto, è importante che i sistemi di AI, prima di essere immessi nel mercato, siano stati collaudati. Pertanto, occorre eseguire prove in condizioni reali, ossia sulla base dei dati esistenti forniti da soggetti che abbiano prestato il proprio consenso al trattamento per finalità di sperimentazione normativa per l’AI.
In ogni caso, si pone l’accento sulla tutela del diritto alla protezione dei dati personali, posto che la raccolta dei dati da parte dei sistemi di AI comporta un elevato rischio per i diritti degli interessati ove non fossero adottate misure di protezione o non venissero intraprese azioni per mitigare il rischio di trattamenti illeciti.
Per questa ragione, l’AI Act prevede regole specifiche per la protezione delle persone fisiche i cui dati sono trattati, specie con riferimento alle categorie particolari di dati (come nel caso dei sistemi di AI ad “alto rischio” che utilizzano i dataset per addestrare, testare e convalidare i modelli di apprendimento basati su AI).
I fornitori di tali sistemi possono trattare dati appartenenti a categorie particolari, a condizione che: a) l’utilizzo di tali dati sia limitato e siano adottate adeguate misure di sicurezza, b) siano implementate idonee misure volte a rendere i dati sicuri e protetti nonché soggetti a garanzie adeguate; c) i dati non siano divulgati o comunicati a terzi; e d) i dati siano cancellati una volta raggiunta la finalità del trattamento.
Infine, non mancano le sanzioni per coloro che violano le previsioni dell’AI Act. Infatti, in base alla tipologia di violazione commessa, l’autorità competente potrà irrogare una sanzione pari ad un importo massimo (che oscilla tra 7,5 e 35 milioni di euro) ovvero, se il trasgressore è un’impresa, a una percentuale del fatturato mondiale totale annuo relativo all’esercizio precedente, se superiore. È prevista un’eccezione per le PMI o startup, a cui si applicheranno sanzioni ridotte.
Per approfondimenti: Artificial Intelligence Act
Il Garante Privacy sanziona un Comune per videosorveglianza illecita e violazione della privacy dei dipendenti
Il Garante per la protezione dei dati personali ha sanzionato un Comune per trattamento illecito di dati personali tramite videosorveglianza. L’intervento è avvenuto a seguito della segnalazione di una dipendente che contestava l’installazione di una telecamera vicino all’orologio-timbratore, l’unico strumento utilizzato per la rilevazione dell’orario di servizio dei dipendenti. Il Comune aveva utilizzato le immagini per contestare alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di servizio e, alla richiesta di motivazioni da parte del Garante Privacy, il Comune ha giustificato la presenza della telecamera con motivi di sicurezza. Tuttavia, il Garante ha rilevato che il Comune non aveva rispettato le procedure di garanzia previste per i controlli a distanza e aveva usato le immagini per scopi disciplinari. Inoltre, il Comune non aveva fornito un’informativa adeguata ai lavoratori e ai visitatori sul trattamento dei dati personali tramite la telecamera.
Per quanto la sanzione irrogata al Comune sia di modesta entità, l’episodio evidenzia chiaramente la delicatezza della tematica, che richiede un’attenta gestione da parte delle aziende.
Per approfondimenti: provvedimento dell’11 aprile 2024 (10013356)
Telemarketing: Il Garante Privacy sanziona due gestori di energia per 100mila Euro
Il Garante per la protezione dei dati personali ha sanzionato due gestori di energia con multe di 100mila euro ciascuno per trattamento illecito di dati personali. L’azione è seguita a due reclami e 56 segnalazioni da parte di utenti che hanno ricevuto telefonate indesiderate e attivazioni non richieste di contratti energetici. Le indagini hanno rivelato che le chiamate, effettuate senza consenso degli interessati, erano rivolte principalmente a utenti iscritti nel Registro pubblico delle opposizioni (Rpo). I call center, dopo aver acquisito i contatti degli utenti da società terze e agenti o procacciatori, contattavano illegalmente gli utenti stessi, molti dei quali sottoscrivevano poi contratti di fornitura. Il Garante ha inoltre ingiunto ai call center di implementare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli interessati avvenga nel rispetto della normativa sulla privacy.
Per approfondimenti: provvedimento dell’11 aprile 2024 (10008076)
Videosorveglianza con riconoscimento facciale a Roma: il Garante apre un’istruttoria
Il Garante per la protezione dei dati personali ha avviato un’istruttoria su un progetto di videosorveglianza con riconoscimento facciale nelle stazioni della metropolitana di Roma. Stando alle notizie di stampa, in vista del Giubileo l’Amministrazione di Roma Capitale prevede di installare telecamere con riconoscimento facciale, capaci di identificare “azioni scomposte” all’interno della metropolitana da parte di chi in passato si è reso autore di “atti non conformi”. Il Garante ha quindi richiesto all’Amministrazione di Roma Capitale di fornire una descrizione tecnica delle funzionalità di riconoscimento facciale, la finalità, la base giuridica del trattamento dei dati biometrici e una copia della valutazione d’impatto sulla protezione dei dati, concedendo all’Amministrazione un termine di 15 giorni per rispondere. L’Autorità ha inoltre ricordato che fino al 2025 è in vigore una moratoria sull’uso di sistemi di videosorveglianza con riconoscimento facciale in luoghi pubblici o aperti al pubblico da parte delle autorità pubbliche o dei soggetti privati. Solo l’autorità giudiziaria, nell’esercizio delle funzioni giurisdizionali, e le autorità pubbliche, a fini di prevenzione e repressione dei reati possono effettuare tali attività di trattamento, previa approvazione del Garante.
Per approfondimenti: comunicato del 9 maggio 2024
Modifiche al Codice Privacy: semplificate le regole per la ricerca medica, biomedica ed epidemiologica
La recente modifica al Codice Privacy italiano, avvenuta tramite la conversione del decreto-legge 2 marzo 2024 n. 19, introduce significativi cambiamenti nel settore della ricerca scientifica in campo medico, biomedico ed epidemiologico. In particolare, secondo la nuova formulazione dell’art. 110 del Codice Privacy, nei casi in cui non sia possibile ottenere il previo consenso dell’interessato, i dati personali dei pazienti possono essere trattati per fini di ricerca scientifica in ambito medico, biomedico ed epidemiologico a condizione che sia stato ottenuto il parere favorevole del comitato etico e che siano osservate le garanzie dettate dal Garante Privacy. È stato dunque eliminato il requisito dell’autorizzazione preventiva da richiedere al Garante Privacy, sostituito dal rispetto delle garanzie indicate dal Garante Privacy nelle regole deontologiche sul trattamento di dati per fini di ricerca.
Il Garante per la protezione dei dati personali dovrà dunque intervenire con misure generali valide per una pluralità di progetti attraverso le regole deontologiche, che saranno sottoposte a consultazione pubblica, coinvolgendo anche la comunità scientifica nella loro formazione.
Questa riforma ha l’obiettivo di bilanciare la necessità di proteggere i dati personali con l’esigenza di facilitare la ricerca scientifica, particolarmente rilevante nel contesto della salute pubblica.
Per approfondimenti: provvedimento 9 maggio 2024 (10016146)
EDPB: Pubblicata la relazione annuale
La relazione annuale del comitato europeo per la protezione dei dati (“EDPB”) riepiloga le attività svolte dal comitato nel corso dell’anno (raccomandazioni e relazioni sulle migliori pratiche formulate dal comitato, decisioni vincolanti, applicazione pratica degli orientamenti e così via).
Nel corso dell’anno 2023, l’EDPB ha adottato due decisioni vincolanti, una decisione vincolante avente carattere d’urgenza e due nuove linee guida. Inoltre, l’EDPB ha adottato 37 pareri ai sensi dell’art. 64 del GDPR, la maggior parte dei quali riguardanti il tema delle c.d binding corporate rules e quello dei requisiti di accreditamento degli organismi di certificazione. Infine, l’EDPB ha adottato due pareri legislativi, di concerto con l’EDPS.
Con specifico riferimento alle decisioni vincolanti, si segnalano le seguenti:
- Decisione vincolante 1/2023, con cui l’EDPB ha risolto una controversia sui trasferimenti di dati da parte di Meta Platforms Ireland Limited.
- Decisione vincolante 2/2023, con cui l’EDPB ha risolto una controversia in materia di trattamento dei dati di utenti di età compresa tra i 13 e i 17 anni da parte di TikTok Technology Limited, rilevando che i pop-up di registrazione e di pubblicazione dei video non presentassero all’utente le opzioni in modo oggettivo e neutrale.
Inoltre, nel corso del 2023 l’EDPB ha adottato le seguenti linee guida:
- Linee guida 03/2022, adottate in data 14 febbraio 2023, in materia di c.d. design patterns ingannevoli nelle piattaforme di social media, aventi l’obiettivo di stabilire raccomandazioni e orientamenti pratici ai fornitori di social media, su come valutare ed escludere i design ingannevoli nelle piattaforme social.
- Linee guida 05/2022 sull’utilizzo della tecnologia di riconoscimento facciale (FRT) nell’ambito dell’applicazione della legge. Le linee guida forniscono informazioni rilevanti per i legislatori a livello europeo e nazionale, nonché per le autorità di polizia, quando implementano e utilizzano tali sistemi FRT.
Per approfondimenti: Relazione annuale EDPB
Il parere dell’EDPB sull’utilizzo delle tecnologie di riconoscimento facciale da parte degli operatori aeroportuali
A fine maggio l’EDPB ha adottato un parere (Opinion n. 11/2024) sull’uso delle tecnologie di riconoscimento facciale per semplificare il flusso dei passeggeri e la conservazione dei dati biometrici da parte degli operatori aeroportuali.
Il parere, in particolare, analizza la compatibilità del trattamento con:
- il principio di limitazione della conservazione (art. 5, paragrafo 1, lettera e), GDPR),
- il principio di integrità e riservatezza (articolo 5, paragrafo 1, lettera f), GDPR),
- la protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 GDPR),
- la sicurezza del trattamento (articolo 32, GDPR).
Preliminarmente, l’EDPB osserva che nell’UE non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul loro documento d’identità, ma l’eventuale obbligo è eventualmente oggetto di leggi nazionali. Pertanto, qualora la legge nazionale non imponga alcuna verifica dell’identità dei passeggeri, non sarà possibile effettuare il riconoscimento mediante l’uso di dati biometrici, in quanto ciò comporterebbe un trattamento eccessivo di dati personali.
Ciò premesso, l’EDPB ha preso in considerazione la conformità del trattamento dei dati biometrici dei passeggeri con riguardo a quattro diversi scenari.
- Dati memorizzati unicamente sui dispositivi personali dei passeggeri
In questo scenario, i dati biometrici sono memorizzati nei dispositivi personali dei passeggeri, sotto il loro esclusivo controllo, e vengono utilizzati per l’autenticazione ai vari checkpoint aeroportuali. Questo scenario potrebbe essere compatibile con il GDPR, a condizione che siano implementate adeguate misure di sicurezza e che non esistano soluzioni alternative meno intrusive.
- Dati memorizzati centralmente all’interno dell’aeroporto con chiavi di accesso detenute dai passeggeri
Nel secondo scenario i dati biometrici sono memorizzati centralmente nell’aeroporto in forma criptata, la cui chiave di decrittazione è in possesso dei soli passeggeri. L’EDPB ritiene che, sebbene la memorizzazione centralizzata comporti dei rischi, questi possono essere mitigati con adeguate misure di sicurezza, rendendo il processo compatibile con il GDPR, a condizione che il periodo di memorizzazione sia giustificato e limitato al minimo necessario.
- Dati memorizzati centralmente sotto il controllo dell’operatore aeroportuale
Un’altra ipotesi considerata dall’EDPB è quella in cui i dati biometrici sono memorizzati centralmente sotto il controllo dell’operatore aeroportuale, consentendo l’identificazione dei passeggeri, per un massimo di 48 ore. Secondo il parere dell’EDPB, questo scenario non è compatibile con il GDPR, poiché la centralizzazione comporta rischi elevati per i diritti fondamentali dei passeggeri in caso di violazione dei dati.
- Dati memorizzati nel cloud sotto il controllo delle compagnie aeree o dei loro fornitori di servizi
Infine, l’EDPB valuta il caso in cui dati biometrici sono memorizzati nel cloud sotto il controllo della compagnia aerea o del suo fornitore di servizi, consentendo l’identificazione dei passeggeri. Questo scenario comporta rischi elevati poiché i dati possono essere accessibili a più entità, inclusi fornitori non appartenenti all’EEA. L’EDPB conclude che questo scenario non è compatibile con il GDPR a causa dell’elevato rischio di violazione dei dati e della mancanza di controllo da parte dei passeggeri sui propri dati.
In tutti i casi dovrebbero essere trattati solo i dati biometrici dei passeggeri che si iscrivono attivamente e prestano il proprio consenso.
In conclusione, l’EDPB ha rilevato che gli scenari in cui i dati biometrici sono conservati esclusivamente dai passeggeri (scenario 1) o in una banca dati centrale, ma con una chiave di decrittazione nelle sole mani degli utenti (scenario 2), se implementati con un elenco di garanzie minime raccomandate, sono gli unici che risultano compatibili con i principi del GDPR sopra richiamati e che controbilanciano adeguatamente l’intrusività del trattamento, garantendo agli interessati il massimo controllo sui propri dati personali.
Gli scenari 3 e 4, al contrario, sono considerati dall’EDPB troppo intrusivi e non proporzionati ai benefici attesi e, pertanto, le soluzioni basate sull’archiviazione in una banca dati centralizzata all’interno dell’aeroporto o nel cloud, senza chiavi di decrittazione nelle mani del passeggero, non possono essere ritenute compatibili con i principi sopra richiamati.
Per approfondimenti:
