UE vs UK: approcci divergenti nella protezione dei dati personali | EU vs. UK: divergent approaches to data protection [Repost Irpa.eu]

Articolo originale qui | Original article here


Short summary: 

On 16 June 2022, the UK government, in response to a consultation, built the foundations for a reform of the data protection framework. Prominent among the measures envisaged is the new 'opt-out' consent model applied to cookies and other tracking tools. The innovations supported by the government will allow the introduction of a more flexible personal data processing regime than that imposed by the GDPR, with beneficial consequences for the country's economic development. However, many dissenting voices point out the dangerousness of the reforms for users and the limited benefits to the data market.



Il 16 giugno 2022 il governo britannico, in risposta a una consultazione, ha costruito le fondamenta della riforma della disciplina sul trattamento dei dati personali. Tra le misure ipotizzate spicca il nuovo modello di consenso «opt-out» applicato a cookies e altri strumenti di tracciamento. Le innovazioni sostenute dal governo consentiranno l’introduzione di un regime di trattamento dei dati personali più flessibile di quanto imposto dal GDPR, con conseguenze benefiche sullo sviluppo economico del Paese. Molte voci di dissenso sottolineano però la pericolosità delle riforme per gli utenti e i limitati benefici sul mercato dei dati.


A seguito della consultazione sul tema «Data: a new direction», durata dieci settimane e conclusasi il 19 novembre 2021, il 16 giugno 2022 il Department for Digital, Culture, Media and Sport (DCMS) ha pubblicato una risposta alla consultazione, fissando gli elementi chiave delle proposte del governo per una nuova Data Reform Bill.

La consultazione ha ricevuto 2.924 risposte, pervenute dall’Information Commissioner’s Office (ICO), ossia l’autorità garante per la protezione dei dati personali del Regno Unito, nonché da organizzazioni che rappresentano la vita economica e sociale britannica e da organizzazioni statunitensi. Durante il periodo di consultazione, il governo si è impegnato a coinvolgere una serie di parti interessate, attraverso oltre 40 tavole rotonde con il mondo accademico, con organizzazioni che si occupano di tecnologia e con gruppi per i diritti dei consumatori.

L’attuale regime di protezione dei dati nel Regno Unito è costituito dal Regolamento Generale sulla Protezione dei Dati (GDPR), il Data Protection Act 2018 (DPA) e il Regolamento sulla Privacy e sulle Comunicazioni Elettroniche del 2003 (PECR), che integra il GDPR con norme specifiche relative alla riservatezza delle apparecchiature terminali (come nel caso delle regole sui cookies), comunicazioni di marketing diretto non richieste (nuisance calls) e sicurezza delle comunicazioni, tutelando informazioni come i dati sul traffico di rete e sulla posizione.

La riforma del settore della privacy che il governo intende proporre muove dalla considerazione che i dati personali costituiscono risorsa strategica e settore trainante delle economie moderne: l’obiettivo è consacrare il Regno Unito come il più attrattivo mercato dei Big Data.

Per sfruttare i benefici di un maggiore utilizzo dei dati personali, il legislatore intende fornire alle aziende i mezzi per aumentare produttività e posti di lavoro attraverso l’impiego di strumenti decisionali automatizzati e l’applicazione di norme di protezione della privacy degli utenti «in the most proportionate and appropriate way». La normativa europea in tema è infatti considerata «overcautious, unclear», al punto da rendere necessaria una riforma che possa giovare consistentemente ai settori della ricerca e dell’economia.

Ai sensi della normativa vigente in materia di cookies e tecnologie assimilate quali pixel tracking (§6 PECR) (sui cookies e sui connessi rischi per la privacy degli utenti si è già parlato quiquiquiquiquiqui e qui), questi non possono essere collocati su un dispositivo in assenza di consenso espresso dell’utente, fornito a seguito di completa informativa sullo scopo e sulle modalità dell’archiviazione di informazioni personali, tranne che in caso di necessità per la trasmissione di una comunicazione o per motivi essenziali connessi alla fornitura di un servizio online. Il consenso viene solitamente richiesto attraverso un avviso pop-up o un banner che appare quando l’utente visita un sito web.

In linea con le preferenze espresse in sede di consultazione, il governo intende consentire l’impiego di cookies su siti web e tecnologie connesse (app) senza richiedere il consenso dell’utente per una più ampia gamma di scopi non intrusivi, come misurare il traffico sulla propria pagina web e migliorare la propria offerta, mantenendo al contempo il requisito del consenso per cookies più invasivi, che raccolgono dati personali ai fini delle offerte in tempo reale e del micro-targeting a fini commerciali.

Il governo intende passare in futuro a un modello di consenso «opt-out» per i cookies, che potrebbero quindi essere impostati senza chiedere il consenso dell’utente, ma il sito web dovrebbe fornire informazioni chiare su come manifestare il dissenso all’impiego di strumenti di tracciamento. I benefici derivanti da tale modello di consenso (che non troverebbe applicazione ai siti web cui possono accedere minori) corrisponderebbero al miglioramento dell’esperienza dell’utente attraverso la rimozione di banner non necessari, pur mantenendo il controllo sulle modalità di impiego dei propri dati personali.

Numerose voci hanno accolto in modo critico le proposte del governo, affermando che la divergenza dal modello GDPR, per quanto possa contribuire a creare un sistema di impiego dei dati più comodo e flessibile, potrebbe destabilizzare la capacità del Regno Unito di innovare a livello globale e di sostenere la competitività delle proprie imprese in assenza di meccanismi aggiuntivi per la protezione dei dati.

In merito al modello di consenso «opt-out» per i cookies, questo è stato considerato foriero di rischi per la privacy dei cittadini, considerando che la proposta di riforma renderebbe spiare sull’attività degli utenti «l’opzione di default» dei siti web.

Si aggiunga che la Decisione della Commissione Europea C(2021) 4801 final del 28.06.2021 ammette lo scambio di dati fra l’Unione Europea e il Regno Unito, affermando che quest’ultimo conserva uno «status di adeguatezza», avendo regole di protezione dei dati essenzialmente equivalenti a quelle interne all’Unione, nonostante non sia più uno Stato Membro.

L’Unione si riserva il potere di intervento nel momento in cui tali condizioni non dovessero più sussistere nell’ordinamento britannico, rendendo molto onerosa la divergenza dalle norme del GDPR. Si stima che conformarsi alla «perdita di adeguatezza» costerebbe al Regno Unito circa 1-1.6 miliardi di sterline, quindi, il risultato della Data Reform così ipotizzata sarebbe, nella migliore delle ipotesi, quello di consumare ogni profitto connesso al taglio della burocrazia e la semplificazione delle norme sulla privacy.


Giulia Taraborrelli