Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di una normativa su un’Europa interoperabile

(2023/C 60/12)

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD https://edps.europa.eu)

Il 18 novembre 2022 la Commissione europea ha formulato una proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello elevato di interoperabilità del settore pubblico nell’Unione (normativa su un’Europa interoperabile) (1) («la proposta»). L’obiettivo di tale proposta è di promuovere l’interoperabilità transfrontaliera dei sistemi informatici e di rete utilizzati per la fornitura o la gestione dei servizi pubblici nell’Unione, definendo norme comuni e un quadro di coordinamento relativo all’interoperabilità del settore pubblico, allo scopo di promuovere lo sviluppo di un’infrastruttura di servizi pubblici digitali transeuropei interoperabili.

Il GEPD riconosce i vantaggi che possono derivare da una maggiore interoperabilità nel settore pubblico e accoglie con favore gli sforzi intrapresi dalla Commissione per organizzare e istituzionalizzare il processo verso tale obiettivo. Tuttavia, il GEPD rammenta anche che l’interoperabilità di rete e dei sistemi informatici in tutti i settori della pubblica amministrazione e a tutti i livelli dell’amministrazione incide su uno dei principi più fondamentali della protezione dei dati, il principio di limitazione delle finalità. È pertanto essenziale che i rischi che si creano eliminando gli ostacoli tecnici allo scambio di informazioni siano esaminati ulteriormente nel corso del processo. Per questo motivo, il GEPD accoglie con favore la disposizione che impone alla Commissione di consultarlo prima di autorizzare la creazione di spazi di sperimentazione normativa nei casi in cui nessuna istituzione, organo o agenzia dell’UE partecipi allo spazio di sperimentazione e propone una modifica della formulazione.

La proposta creerebbe una base giuridica per il trattamento di dati personali negli spazi di sperimentazione normativa di cui all’articolo 11 e 12 della proposta. Le osservazioni del GEPD si concentrano pertanto su tali disposizioni.

Il GEPD raccomanda di valutare se esistano possibili casi d’uso per gli spazi di sperimentazione normativa che soddisfano il criterio di necessità e, qualora non sia possibile individuare tali casi, di eliminare dalla proposta la base giuridica per il trattamento dei dati personali. Individua inoltre le disposizioni apparentemente prive di contenuto normativo e propone di modificarle in modo che apportino un valore aggiunto. Inoltre, il GEPD suggerisce di introdurre un’ulteriore salvaguardia per garantire che i dati di prova non diventino nuovamente dati nell’ambiente di produzione, in particolare non dopo averli alimentati con i dati di altri partecipanti. Suggerisce in aggiunta di imporre ai partecipanti agli spazi di sperimentazione normativa di fornire le informazioni essenziali necessarie per una valutazione della protezione dei dati da parte dell’autorità di controllo, con la loro richiesta alla Commissione di istituire uno spazio di sperimentazione, e propone modifiche per affrontare meglio le situazioni in cui diverse autorità di controllo sono competenti a valutare un trattamento proposto in uno spazio di sperimentazione normativa.

1.   INTRODUZIONE

6.   CONCLUSIONI

(1)  COM(2022) 720 final.

(2)  Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni – Plasmare il futuro digitale dell’Europa, [COM(2020) 67 final].

(3)  Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni – Una strategia europea per i dati, 19 febbraio 2020 [COM(2020) 66 final].

(4)  Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni – Individuare e affrontare le barriere al mercato unico [COM(2020) 93 final].

(5)  Comunicazione della Commissione – Digitalizzazione della giustizia nell’Unione europea – Un pacchetto di opportunità» [COM (2020) 710 final].

(6)  Comunicazione del Segretariato generale del Consiglio alle delegazioni in merito alle conclusioni della riunione straordinaria del Consiglio europeo (1o e 2 ottobre 2020) (EUCO 13/20).

(7)  Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni – Programma di lavoro della Commissione per il 2022 Insieme per un’Europa più forte [COM(2021) 645 final].

(8)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(9)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).