Il parere congiunto del GEPD e dell’EDPB sul “Data Act”

di Claudia Figliolia

30 maggio 2022

In data 4 maggio 2022. è stato pubblicato il parere congiunto del Garante europeo della protezione dei dati (GEPD) e del Comitato europeo per la protezione dei dati (EDPB) avente ad oggetto la proposta di legge sulla governance dei dati (“Data Act”).
Le Autorità europee hanno sollevato molteplici preoccupazioni sollecitando i co-legislatori ad intraprendere “un’azione decisiva” volta all’introduzione di ulteriori salvaguardie a tutela dei diritti fondamentali alla vita privata e alla protezione dei dati personali.
In primo luogo, le Autorità ritengono indispensabile incrementare i livelli di tutela in materia di accesso, utilizzo e condivisione dei dati attraverso l’esplicito riconoscimento da parte della proposta legislativa della prevalenza della legge sulla protezione dei dati. Anche il diritto alla portabilità dei dati andrebbe rafforzato, garantendo un maggiore controllo da parte degli interessati.
In secondo luogo, particolari preoccupazioni riguardano la previsione dell’obbligo di mettere i dati a disposizione degli enti del settore pubblico e delle istituzioni, agenzie o organismi dell’Unione in caso di “necessità eccezionali” (Capo V della Proposta). L’indeterminatezza terminologia, l’assenza di sufficienti garanzie volte ad evitare ingerenze arbitrarie e la mancata identificazione dell’effettiva portata e delle modalità di esercizio di tali poteri da parte delle competenti autorità pubbliche ad avviso dei Garanti si pongono in contrasto con quei canoni di liceità, necessarietà e proporzionalità che ispirano la disciplina sul trattamento dei dati personali.
Infine, per quanto riguarda l’architettura di governance, il Rapporto evidenzia il rischio che la designazione di più di un’autorità competente responsabile dell’applicazione e dell’esecuzione della proposta possa portare a una vigilanza frammentata e incoerente suggerendo di individuare l’EDPB e il GEPD quali autorità “di vertice” del sistema in un rapporto di consultazione con le altre autorità competenti su base settoriale.
«Il regolamento generale sulla protezione dei dati è il fondamento su cui deve basarsi il modello europeo di governance dei dati» – sottolinea Andrea Jelinek, presidente dell’EDPB – «Per questo motivo sottolineiamo la necessità di garantire la coerenza con detto regolamento per quanto riguarda la competenza delle autorità di controllo, i ruoli dei diversi attori coinvolti, la base giuridica per il trattamento dei dati personali, le garanzie necessarie e l'esercizio dei diritti degli interessati».