Parlamento europeo 2014-2019 Commissione per le libertà civili, la giustizia e gli affari interni 2016/2225(INI) 19.10.2016 PROGETTO DI RELAZIONE sulle implicazioni dei Big Data per i diritti fondamentali: privacy, protezione dei dati, non discriminazione, sicurezza e attività di contrasto (2016/2225(INI)) Commissione per le libertà civili, la giustizia e gli affari interni Relatore: Ana Gomes PR\1107302IT.docx IT PE592.279v01-00 Unita nella diversità IT PR_INI INDICE Pagina PROPOSTA DI RISOLUZIONE DEL PARLAMENTO EUROPEO ...................................... 3 PE592.279v01-00 IT 2/7 PR\1107302IT.docx PROPOSTA DI RISOLUZIONE DEL PARLAMENTO EUROPEO sulle implicazioni dei Big Data per i diritti fondamentali: privacy, protezione dei dati, non discriminazione, sicurezza e attività di contrasto (2016/2225(INI)) Il Parlamento europeo, – visto l'articolo 16 del trattato sul funzionamento dell’Unione europea, – visti gli articoli 1, 7, 8, 11, 14, 21, 47 e 52 della Carta dei diritti fondamentali dell'Unione europea, – visti il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)1 e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio2, – visti la convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (STE n. 108), del 28 gennaio 1981, e il suo protocollo addizionale dell'8 gennaio 2001 (STE n. 181)3, – vista la raccomandazione CM/Rec(2010)13 del Comitato dei Ministri del Consiglio d'Europa agli Stati membri sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto di attività di profilazione, del 23 novembre 20104, – visto il parere 7/2015 del Garante europeo della protezione dei dati, del 19 novembre 2015, dal titolo "Meeting the challenges of big data; A call for transparency, user control, data protection by design and accountability"5 ("Affrontare le sfide dei Big Data: un invito alla trasparenza, al controllo dell'utente, alla protezione dei dati fin dalla progettazione e alla responsabilità"), – vista la dichiarazione del 16 settembre 2014 del gruppo di lavoro "Articolo 29" sull'impatto dello sviluppo dei Big Data sulla protezione delle persone fisiche con riguardo al trattamento automatizzato dei loro dati personali nell'UE6, 1 GU L 119 del 4.5.2016, pag. 1. GU L 119 del 4.5.2016, pag. 89. 3 http://www.coe.int/it/web/conventions/full-list/-/conventions/treaty/108. 4 https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805cdd00. 5 https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/ 15-11-19_Big_Data_EN.pdf. 6 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp221_en.pdf. 2 PR\1107302IT.docx 3/7 PE592.279v01-00 IT – visto l'articolo 52 del suo regolamento, – visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e il parere della commissione per l'industria, la ricerca e l'energia (A8-0000/2016), A. considerando che i Big Data si riferiscono all'accumulo ricorrente di ingenti quantità di dati, compresi i dati personali, provenienti da una serie di fonti diverse, che sono oggetto di un trattamento automatizzato mediante algoritmi informatici e tecniche avanzate di trattamento dei dati al fine di individuare determinate correlazioni, tendenze e modelli (analisi dei Big Data); B. considerando che i progressi delle tecnologie di comunicazione e l'uso massiccio di dispositivi elettronici e di monitoraggio, dei social media, delle interazioni e delle reti web, compresi i dispositivi che comunicano informazioni senza intervento umano, hanno portato allo sviluppo di enormi insiemi di dati in costante crescita che, attraverso l'analisi e tecniche avanzate di trattamento, tracciano un quadro senza precedenti del comportamento umano e delle nostre società; C. considerando che le imprese, i governi e le organizzazioni hanno approfittato di tale insieme di dati e dell'analisi dei Big Data per promuovere la competitività, l'innovazione, le previsioni di mercato, la pubblicità mirata, la ricerca scientifica e la definizione delle politiche nel settore dei trasporti, le "città intelligenti", le attività di contrasto, la trasparenza, la sanità pubblica e la capacità di risposta alle catastrofi; D. considerando che i Big Data possano apportare innegabili benefici e opportunità per i cittadini, le imprese e i governi, ma comportano altresì rischi significativi, in particolare per quanto riguarda la protezione dei diritti fondamentali garantiti dalla Carta dei diritti fondamentali e dal diritto dell'Unione; E. considerando che il grado di diffusione dei sensori, l'ampia produzione sistematica di dati e le odierne attività di trattamento dei dati sono caratterizzati da un'elevata mancanza di trasparenza; F. considerando che gli algoritmi e gli altri strumenti analitici imparziali, la scarsa qualità dei dati, le false correlazioni, gli errori, la sottovalutazione delle implicazioni giuridiche, sociali ed etiche e la marginalizzazione del ruolo degli esseri umani in questi processi possono comportare vizi nelle procedure decisionali; G. considerando che la proliferazione del trattamento e dell'analisi dei dati, la molteplicità dei soggetti coinvolti nella raccolta, nella conservazione, nel trattamento e nella condivisione dei dati e la combinazione di grandi insiemi di dati contenenti dati personali provenienti da una serie di fonti diverse e conservati per periodi illimitati di tempo, hanno creato una grande incertezza sia per i cittadini che per le imprese per quanto riguarda le condizioni specifiche per il rispetto dei principi generali in materia di protezione dei dati; Considerazioni generali 1. sottolinea che le informazioni che emergono dall'analisi dei Big Data sono affidabili solo tanto quanto lo consentono i dati di riferimento e che, pertanto, sono necessarie PE592.279v01-00 IT 4/7 PR\1107302IT.docx norme etiche e scientifiche rigorose per valutare i risultati di tale analisi e dei suoi algoritmi predittivi; 2. evidenzia che i cittadini, le imprese, i governi e le istituzioni possono godere appieno delle prospettive e delle opportunità offerte dai Big Data solo se la fiducia dei cittadini in queste tecnologie è garantita da una rigorosa applicazione dei diritti fondamentali e dalla certezza giuridica per tutti i soggetti coinvolti; I Big Data a fini commerciali e nel settore pubblico Privacy e protezione dei dati 3. sottolinea che la normativa dell'Unione in materia di protezione della privacy e dei dati personali, così come i diritti all'uguaglianza e alla non discriminazione, sono applicabili al trattamento dei dati anche questo è preceduto da tecniche di pseudonimizzazione e anonimizzazione, nella misura in cui vi siano rischi di reidentificazione o, in ogni caso, se l'utilizzo di dati non personali potrebbe avere un impatto sulla vita privata delle persone o su altri diritti e libertà; 4. ritiene che la trasparenza, l'equità, la responsabilità e il controllo dei dati personali siano valori fondamentali da cui derivano diritti e obblighi specifici, che dovrebbero orientare l'azione delle imprese, delle autorità pubbliche e di altri soggetti che utilizzano i dati per definire le loro procedure decisionali; sottolinea la necessità di una trasparenza molto maggiore per quanto riguarda il trattamento e l'analisi dei dati da parte delle imprese; 5. evidenzia il ruolo fondamentale che la Commissione, il Comitato europeo per la protezione dei dati e altre autorità di controllo indipendenti dovrebbero svolgere negli anni e decenni a venire al fine di promuovere la certezza giuridica per quanto riguarda le norme concrete a tutela dei diritti fondamentali e delle garanzie connessi all'uso del trattamento e dell'analisi dei dati; 6. ritiene che le tecniche di anonimizzazione dovrebbero comprendere misure tecniche e obblighi contrattuali che garantiscano la non reidentificazione; invita le imprese a riesaminare periodicamente tali rischi alla luce delle nuove tecnologie e di documentare l'adeguatezza delle misure adottate, consentendo alle autorità di controllo indipendenti di monitorare le pratiche e formulare raccomandazioni; 7. esorta le imprese e altri responsabili del trattamento dei dati ad avvalersi degli strumenti previsti dal regolamento generale sulla protezione dei dati, quali i codici di condotta e i sistemi di certificazione, per garantire una maggiore certezza quanto ai loro obblighi specifici a norma del diritto dell'Unione e rendere le loro pratiche e attività conformi alle norme giuridiche e alle garanzie dell'UE adeguate; Sicurezza 8. riconosce che la perdita e il furto di dati, le infezioni da malware, l'accesso non autorizzato ai dati e la sorveglianza illegale sono alcuni dei rischi più urgenti legati alle odierne attività di trattamento dei dati, come le tecniche relative ai Big Data; ritiene che PR\1107302IT.docx 5/7 PE592.279v01-00 IT per contrastare tali minacce sia necessaria una vera cooperazione concertata tra il settore privato, i governi, le autorità di contrasto e le autorità di controllo indipendenti; Non discriminazione 9. invita l'Unione e gli Stati membri a individuare e ridurre al minimo la discriminazione e la parzialità algoritmiche nonché a sviluppare un solido quadro etico comune per il trattamento dei dati personali e l'automazione dei processi decisionali; I Big Data a fini di contrasto Privacy e protezione dei dati 10. incoraggia tutti i soggetti responsabili delle attività di contrasto a ricorrere al trattamento e all'analisi dei dati per garantire un adeguato intervento umano in tutte le varie fasi del trattamento e dell'analisi dei dati, in particolare quando le decisioni possono comportare rischi elevati per le persone; 11. sottolinea, in particolare, l'importanza di effettuare valutazioni d'impatto preliminari che tengano conto delle preoccupazioni di ordine etico al fine di valutare l'inclusività, la precisione e la qualità dei dati nonché di garantire che le persone interessate dalle decisioni e/o i soggetti coinvolti nei processi decisionali siano in grado di contestare l'analisi, i modelli e le correlazioni e di evitare effetti nocivi su determinati gruppi di persone; Sicurezza 12. sottolinea l'assoluta necessità di proteggere le banche dati relative alle attività di contrasto da furti e perdite di dati, da infezioni da malware e dall'accesso non autorizzato ai dati da parte di persone non autorizzate; ritiene che per rispondere a tali preoccupazioni sia necessaria una vera cooperazione concertata tra le autorità di contrasto e le autorità di controllo indipendenti; Non discriminazione 13. avverte che, a causa dell'intrusività delle decisioni e delle misure adottate dalle autorità di contrasto nella vita e nei diritti dei cittadini, è necessaria la massima cautela onde evitare discriminazioni illegittime e attacchi nei confronti di alcuni gruppi della popolazione, in particolare i gruppi emarginati e le minoranze etniche e razziali; 14. invita le autorità di contrasto degli Stati membri che ricorrono all'analisi dei dati a mantenere i più elevati standard etici nell'analisi dei dati e a garantire l'intervento umano e la rendicontabilità nelle varie fasi del processo decisionale, non solo per valutare la rappresentatività, la precisione e la qualità dei dati, ma anche per valutare l'adeguatezza di ogni decisione da adottare sulla base di tali informazioni; ° ° PE592.279v01-00 IT ° 6/7 PR\1107302IT.docx 15. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione. PR\1107302IT.docx 7/7 PE592.279v01-00 IT