Iñigo de Miguel Beriain e Lorena Pérez Campillo (UPV/EHU)

L’ultima sezione del presente documento riproduce parzialmente la parte relativa all’IA originariamente redatta da Gianclaudio Malgieri e Andres Chomczyk Penedo (VUB)

Mario Muñoz Organero e Julian Estévez hanno fornito un importante supporto in materia di questioni tecniche. Elena Gil González ha rivisto la presente parte degli Orientamenti

La presente parte degli Orientamenti è stata convalidata da Iñaki Pariente, anteriormente direttore dell’Agenzia di Protezione Dati Basca.

INTRODUZIONE

“Nell’ambito dei servizi di geolocalizzazione forniti dai servizi della società dell’informazione, è possibile distinguere tre tipi di funzioni, con diverse responsabilità in materia di trattamento dei dati personali. Essi sono: titolare del trattamento di un’infrastruttura di geolocalizzazione; fornitore di una determinata applicazione o servizio di geolocalizzazione e lo sviluppo del sistema operativo di un dispositivo mobile intelligente. In pratica, le aziende, spesso, ricoprono molti ruoli contemporaneamente, ad esempio, quando combinano un sistema operativo con una banca dati con punti di accesso WiFi mappati e una piattaforma pubblicitaria”. Nella presente sezione degli Orientamenti, ci concentriamo sugli ultimi due tipi di titolari del trattamento: coloro che sono disposti a fornire un’applicazione o servizio di geolocalizzazione specifico, o a progettare il sistema operativo di un dispositivo mobile intelligente.

Allo stesso modo, non affrontiamo questioni in materia di protezione di dati relativi al trattamento realizzato da terzi online che consenta il (successivo) trattamento di dati di localizzazione come browser, siti di social networking o mezzi di comunicazione che permettono, ad esempio, il ‘geotagging’. Non consideriamo qui lo sviluppo di un dispositivo o sistema basato su dati di localizzazione o dati di prossimità. Queste attività sono incluse nel capitolo dedicato a social network e servizi online.

È necessario, inoltre, sottolineare che gli sviluppatori del sistema operativo del dispositivo mobile intelligente potrebbero essere i titolari del trattamento dei dati di prossimità o di localizzazione quando interagiscono direttamente con l’utente e raccolgono dati personali (come quando si richiede la registrazione iniziale dell’utente e/o la raccolta di informazioni relative all’ubicazione a scopi di miglioramento dei servizi). “Uno sviluppatore è anche il titolare del trattamento dei dati che elabora se il dispositivo possiede una funzionalità ‘phone home’ (telefona a casa) per la sua posizione. Poiché in tal caso sono gli sviluppatori a decidere sugli strumenti e sulle finalità del flusso di dati, essi sono anche i responsabili del trattamento di tali dati. Un esempio comune di questa funzionalità ‘phone home’ è la fornitura automatica degli aggiornamenti sul fuso orario in base alla posizione.”^[1]

Il presente capitolo degli Orientamenti segue la struttura della Locus Charter.^[2] Si tratta di un importante tentativo di creare dei principi internazionali comuni per aiutare gli utenti di dati geospaziali a prendere decisioni più informate e a fornire le basi per comunicare con soggetti interessati da quelle decisioni. PANELFIT è lieta di collaborare in questo sforzo partecipativo, originariamente sostenuto dalle iniziative Benchmark ed EthicalGEO. Conformemente alla Charter, riteniamo che ci siano dieci principi fondamentali da affrontare quando si utilizzano dati di posizione/prossimità: realizzare opportunità, comprendere impatti, non danneggiare, proteggere le vulnerabilità, porre rimedio ai preconcetti, ridurre al minimo le intrusioni, minimizzare i dati, proteggere la privacy, evitare l’identificazione degli interessati e garantire l’assunzione di responsabilità. La presente parte degli Orientamenti è volta alla concretizzazione di questi principi etici in consigli legali concreti.

ESENZIONE DI RESPONSABILITÀ

La presente sezione degli Orientamenti è stata redatta in un momento in cui il Regolamento in materia di ePrivacy non era stato approvato. È possibile che al momento dell’uso di questo strumento, il Regolamento sia in vigore. In tal caso, sarà necessario prendere in considerazione le possibili modifiche eventualmente prodottesi nel quadro normativo. In ogni caso, il presente documento ha tentato di introdurre alcune disposizioni principali incluse nella proposta di Regolamento in materia di ePrivacy. Ciò perché dobbiamo, quanto meno, comprendere che si tratta di requisiti etici richiesti da una corretta implementazione dell’RGPD. In tal senso, abbiamo introdotto in questa sezione degli Orientamenti le istruzioni principali sviluppate dall’EDPB a questo proposito.^[3]

Fino all’entrata in vigore del Regolamento in materia di ePrivacy, ci sarà una situazione frammentata. Al contrario, le autorità di controllo si trovano ora dinanzi a una situazione di interazione tra la Direttiva in materia di ePrivacy e l’RGPD che mette in discussione questioni come le competenze, le funzioni e i poteri delle autorità di protezione dei dati in quelle materie che provocano l’applicazione dell’RGPD e delle leggi nazionali che implementano la Direttiva in materia di ePrivacy.^[4]

1. Gruppo di lavoro dell’Articolo 29 (2011) Parere 13/2011 in materia di servizi di Geolocalizzazione sui dispositivi mobili intelligenti adottato il 16 maggio 2011. 881/11/EN WP 185, P. 12, su: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf ↑
2. https://ethicalgeo.org/locus-charter/ ↑
3. EDPB, Parere 5/2019 in materia di interazione tra la Direttiva ePrivacy e l’RGPD, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati, del 12 marzo 2019, su: https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf ↑
4. EDPB, Parere 5/2019 in materia di interazione tra la Direttiva ePrivacy e l’RGPD, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati, del 12 marzo 2019, su: https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf. ↑