skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DEL CANADA: La Pandemia Evidenzia La Necessità Di Leggi Rigorose Sulla Privacy

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DEL CANADA: La pandemia evidenzia la necessità di leggi rigorose sulla privacy

This post is also available in: English Español Français

La pandemia COVID-19 sta accelerando l’importanza delle tecnologie nella vita quotidiana, sottolineando l’importanza delle leggi che consentono l’innovazione proteggendo allo stesso tempo i diritti alla privacy.

L’autorità intervenendo a una conferenza virtuale organizzata dal gruppo Option consommateurs, il commissario ha chiesto modifiche a un disegno di legge di riforma della legge sulla privacy attualmente all’esame del Parlamento al fine di garantire che conduca a cambiamenti che proteggeranno la privacy in una società digitale.

Il governo ha stabilito importanti obiettivi per il disegno di legge, tra cui aumentare il controllo dei consumatori sui propri dati, consentire un’innovazione responsabile e stabilire rimedi rapidi ed efficaci, vale a dire la capacità di imporre sanzioni finanziarie significative.

L’autorità sostiene questi obiettivi, purtroppo, l’analisi delle disposizioni del disegno di legge porta l’autorità a concludere che non sarebbero stati raggiunti.

Consumatori e COVID-19

Osservazioni all’Opzione consommateurs virtual conference day

introduzione:

‘Ufficio del Commissario per la privacy del Canada ha intrattenuto uno stretto rapporto con i consommateurs di Option da oltre un decennio. Sei sempre stato in prima linea sui problemi di privacy emergenti e la tua organizzazione ha dato un contributo importante alla ricerca e alla sensibilizzazione in Quebec e in tutto il Canada.

Prestando particolare attenzione ai gruppi vulnerabili, Option consommateurs ha indubbiamente contribuito a proteggere meglio la privacy di molte persone.

Rischi e vantaggi della tecnologia durante una pandemia

La pandemia ha sollevato numerose questioni per la protezione delle informazioni personali.

Le tecnologie sono state molto utili per fermare la diffusione di COVID-19. Ci hanno permesso di continuare a svolgere le nostre attività essenziali in sicurezza. La pandemia ha notevolmente accelerato la rivoluzione digitale, che stava già procedendo rapidamente.

Detto questo, le tecnologie digitali pongono anche nuovi rischi per la privacy. Ad esempio, la telemedicina crea rischi per la riservatezza medico-paziente quando le piattaforme virtuali coinvolgono imprese commerciali.

Allo stesso modo, le piattaforme educative online possono raccogliere informazioni sensibili relative alle difficoltà di apprendimento e al comportamento degli studenti.

La digitalizzazione è anche vista come la chiave della nostra ripresa economica. Questa non è una cosa negativa, fintanto che istituiamo e adattiamo leggi per assicurarci che i nostri diritti siano protetti in questo ambiente.

Misure eccezionali durante una pandemia

La pandemia non solo ha accelerato l’uso della tecnologia, ma ha anche portato la società a prendere in considerazione misure che normalmente sarebbero considerate inaccettabili, a causa della loro violazione dei nostri diritti.

Mi riferisco, ad esempio, all’introduzione delle app di monitoraggio e alle discussioni più recenti sui passaporti dei vaccini.

Durante i periodi di crisi, dovremmo adottare un approccio flessibile e contestuale all’applicazione della legge, ma la legge deve essere applicata. La privacy non dovrebbe essere un ostacolo alla salute pubblica, ma la pandemia non dovrebbe nemmeno essere usata come scusa per rinunciare ai nostri diritti.

Abbiamo tradotto questo approccio in un quadro per la valutazione delle iniziative pandemiche sensibili alla privacy, che ha ispirato una dichiarazione congiunta rilasciata con i miei colleghi provinciali e territoriali.

Coerentemente con questo framework, abbiamo supportato l’implementazione dell’app COVID Alert per scopi di protezione della salute pubblica. Tuttavia, abbiamo riconosciuto il rischio che le aziende possano cercare di utilizzare i dati contenuti nell’app come prerequisito per determinati servizi. C’era quindi il rischio che l’app potesse essere utilizzata in modo improprio. Il Quebec è stata l’unica provincia ad eliminare questo rischio, grazie a un’ordinanza in consiglio adottata dal governo.

La nozione di passaporti per i vaccini merita un esame analogo. Il Quebec ha istituito un registro delle immunizzazioni nell’interesse della salute pubblica. La prova della vaccinazione dovrebbe essere utilizzata in altre circostanze, ad esempio quando si accede ai servizi? Secondo il nostro quadro e in conformità con i principi di privacy riconosciuti, ciò dovrebbe essere consentito solo se la misura soddisfa i criteri di necessità e proporzionalità e si basa su una solida scienza.

Al momento, sembra che la scienza non possa ancora fornire una risposta chiara sull’efficacia dei vaccini COVID nel ridurre la trasmissione della malattia a persone diverse dai destinatari del vaccino. A livello federale, il capo scienziato canadese dovrebbe pubblicare presto un rapporto sul merito scientifico dei passaporti per i vaccini e per quali scopi. Non vedo l’ora di leggere questo rapporto prima di fare ulteriori commenti.

Contesto

La tecnologia ei dati sono stati utili nella gestione della pandemia e giocheranno un ruolo importante mentre ci muoviamo verso la ripresa.

Sono convinto che possiamo proteggere la privacy incoraggiando anche l’innovazione tecnologica. Questi non sono valori contraddittori. Possono davvero coesistere. È davvero una questione di design: dei prodotti stessi e delle leggi che ne regolano l’utilizzo.

Una ripresa basata sull’innovazione sarà sostenibile solo se proteggerà con successo gli interessi ei diritti di tutti i cittadini. Le nostre leggi possono fornire questa protezione e dobbiamo assicurarci che lo facciano.

A tal fine, attualmente abbiamo due progetti di legge, in Quebec e in Canada, che cercano di modernizzare la legislazione che ha un disperato bisogno di un aggiornamento.

Riforma legislativa

A livello federale, il disegno di legge C-11 introdurrebbe il Consumer Privacy Protection Act per sostituire la legislazione esistente sulla privacy del settore privato.

Il governo ha stabilito importanti obiettivi per il disegno di legge, tra cui aumentare il controllo dei consumatori sui propri dati, consentire un’innovazione responsabile e stabilire rimedi rapidi ed efficaci, inclusa la possibilità di imporre sanzioni finanziarie significative. Sostengo questi obiettivi. Purtroppo, la mia analisi delle disposizioni del disegno di legge mi porta a concludere che non sarebbero state raggiunte.

Controllo

Prendiamo, ad esempio, la questione del controllo dei consumatori. Bill C-11 cerca di aumentarlo, in parte adottando alcuni aspetti delle nostre linee guida per ottenere il consenso. Ma tralascia un aspetto importante della nostra legislazione attuale, l’idea che un consenso significativo richieda che la persona che lo fornisce comprenda le conseguenze di ciò a cui sta acconsentendo.

Inoltre, le informative sulla privacy che fungono da base per il consenso potrebbero comunque utilizzare un linguaggio vago, se non oscuro, per descrivere le finalità per le quali le aziende intendono utilizzare i dati di una persona.

Sebbene la legislazione in altre giurisdizioni includa il requisito di identificare scopi “specificati, espliciti e legittimi”, ciò non compare nella legge C-11.

A mio parere, ciò comporterebbe un minor controllo sui consumatori rispetto alla normativa vigente.

Accesso a rimedi rapidi ed efficaci

Il disegno di legge cerca di far rispettare le sue disposizioni attraverso rimedi rapidi ed efficaci.

In molti paesi, ciò viene fatto concedendo alle autorità di regolamentazione il potere di emettere ordini di conformità e imporre sanzioni monetarie significative.

Le disposizioni in tal senso nella legge 64 sono eccellenti. Lo stesso non si può dire per quelli indicati nel disegno di legge federale.

In primo luogo, il disegno di legge C-11 elenca solo poche violazioni come soggette a sanzioni amministrative. Questo elenco non include gli obblighi relativi alla forma o alla validità del consenso, né le numerose eccezioni al consenso, che sono alla base della protezione delle informazioni personali.

Inoltre non include le violazioni al principio di responsabilità, che dovrebbe essere un importante contrappeso alla maggiore flessibilità data alle organizzazioni nel trattamento dei dati.

Il disegno di legge C-11 crea anche un ulteriore livello decisionale sotto forma del Tribunale per la protezione delle informazioni personali e dei dati, che sarebbe responsabile per l’imposizione di sanzioni pecuniarie e per i ricorsi contro le decisioni dell’Ufficio del Commissario per la privacy del Canada (l’ OPC ).

Riteniamo che questo tribunale, che non esiste in questa forma da nessun’altra parte, creerebbe ritardi inutili per i consumatori. I tribunali sono perfettamente in grado di controllare la legalità delle decisioni dell’OPC.

Peggio ancora, incoraggerebbe le aziende a scegliere la via del ricorso piuttosto che trovare un terreno comune con l’OPC quando stiamo per emettere una decisione sfavorevole.

Riteniamo che l’aggiunta di questo tribunale ritarderebbe solo l’accesso alla giustizia per i consumatori.

In base alla legge 64 in Quebec, non ci sarebbe alcun ritardo a causa di un nuovo livello di processo decisionale e nessun limite ai reati soggetti a sanzioni amministrative.

Innovazione responsabile

Siamo d’accordo con il governo che la legislazione dovrebbe aumentare la fiducia dei consumatori e massimizzare il potenziale della rivoluzione digitale per promuovere lo sviluppo socioeconomico. In effetti, abbiamo assistito ai vantaggi della tecnologia durante tutta la pandemia.

Una legge moderna dovrebbe incoraggiare l’innovazione responsabile consentendo alle aziende di utilizzare i dati per il bene comune. Ad esempio, il disegno di legge prevede nuove eccezioni al consenso, dando così maggiore flessibilità alle imprese.

Riteniamo che l’adozione di nuove eccezioni al consenso sia una linea di condotta ragionevole. Nella complessa economia digitale odierna, spesso non è né realistico né ragionevole chiedere alle persone di acconsentire a tutti i possibili usi dei propri dati. La dinamica della potenza è troppo irregolare.

Tuttavia, ci sono una serie di problemi con Bill C-11. In primo luogo, alcune delle nuove eccezioni al consenso sono troppo ampie o mal definite per promuovere l’innovazione responsabile. In secondo luogo, la nuova flessibilità data alle aziende non è accompagnata da una maggiore responsabilità. Infine, riteniamo che questa flessibilità debba essere esercitata nel quadro di una legge che riconosce la privacy come un diritto umano. Questo non è il caso della legge C-11.

Una fondazione basata sui diritti

Cominciamo con quest’ultimo numero. Qualsiasi iniziativa di riforma dovrebbe iniziare consacrando il diritto alla privacy come diritto umano, un requisito fondamentale per l’esercizio di altri diritti fondamentali. Questo perché abbiamo visto più volte come le tecnologie digitali sono state utilizzate per violare questi diritti.

Una legge basata sui diritti riconoscerebbe la natura intrinseca del diritto alla privacy e la istituirebbe in modo moderno e sostenibile.

Come minimo, la legge dovrebbe fornire standard oggettivi, adottati democraticamente nell’interesse pubblico, per assicurare ai consumatori che la loro partecipazione al mondo digitale non dipenderà più dal loro “consenso” alle pratiche imposte unilateralmente dal settore privato.

Questo è l’approccio che ho presentato nelle mie ultime due relazioni annuali al Parlamento.

Una serie di disposizioni nella legge 64 del Quebec sono coerenti con il nostro approccio. Ad esempio, il disegno di legge include disposizioni che affrontano la profilazione e proteggono il diritto alla reputazione. Inoltre sottopone i partiti politici al diritto del settore privato.

Eccezioni al consenso troppo ampie o mal definite

Il disegno di legge cerca di fornire una maggiore flessibilità alle organizzazioni attraverso nuove eccezioni al consenso. Tuttavia, alcune eccezioni sono troppo ampie o mal definite per promuovere un’innovazione responsabile.

Ad esempio, una nuova eccezione si basa esclusivamente sull’impraticabilità di ottenere il consenso. Un tale approccio renderebbe privo di significato il principio del consenso.

A nostro avviso, l’innovazione responsabile sarebbe servita molto meglio adottando un’eccezione al consenso basata su legittimi interessi commerciali, come parte di una legge basata sui diritti umani, come abbiamo raccomandato nel nostro recente rapporto sull’intelligenza artificiale. Stranamente, il disegno di legge non propone questa misura, che sarebbe favorevole alle organizzazioni.

Nuova flessibilità senza maggiore responsabilità

Una maggiore flessibilità nel modo in cui le organizzazioni utilizzano i dati dovrebbe essere accompagnata da una maggiore responsabilità. Anche l’industria ha da tempo riconosciuto questo principio.

Riteniamo che l’attuale principio di responsabilità sia indebolito nel disegno di legge federale. Non definisce il concetto di responsabilità in modo prescrittivo, come fa il Bill 64 in Quebec, stabilendo l’obbligo di adottare politiche e procedure che garantiscano il rispetto della legge. Invece, il disegno di legge federale definisce la responsabilità in modo descrittivo, come l’insieme di procedure che le aziende scelgono di mettere in atto. Questa è infatti una forma di autoregolamentazione.

In un mondo in cui le aziende hanno una maggiore flessibilità nell’utilizzo delle informazioni personali, riteniamo sia giusto che queste società siano soggette a controlli proattivi, per garantire che utilizzino questa flessibilità in modo responsabile e in conformità con la legge.

È il caso del Quebec, come in molte altre giurisdizioni, dove la Commission d’accès à l’information ha il potere di richiedere qualsiasi informazione o documento per verificare il rispetto della legge. Il disegno di legge federale non consentirebbe all’OPC di condurre tali controlli.

Conclusione

Gli ultimi anni ci hanno aperto gli occhi sugli importanti vantaggi e sui rischi preoccupanti che le nuove tecnologie rappresentano per i nostri valori e per i nostri diritti. Ciò è diventato ancora più evidente dall’inizio della pandemia.

Le questioni che dobbiamo affrontare sono complesse ma il percorso da seguire è chiaro. Come società, dobbiamo proiettare i nostri valori nelle leggi che regolano lo spazio digitale. I nostri cittadini non si aspettano niente di meno dalle loro istituzioni pubbliche. È a questa condizione che verrà ripristinata la fiducia nell’economia digitale, danneggiata da numerosi scandali.

Non è tutto perduto. Riteniamo che con importanti emendamenti, il disegno di legge potrebbe diventare un solido testo legislativo che protegge efficacemente la privacy dei canadesi.

Attendo con ansia un incontro con il ministro Champagne su questo argomento, che dimostra una sua apertura. Spero anche di lavorare con il Parlamento a tal fine.

I prossimi mesi saranno fondamentali per la protezione della privacy in Canada.

 

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEL CANADA – OPC

Back To Top