Anticipare i potenziali rischi per la privacy e prevedere tutele adeguate alla protezione dati nel nuovo quadro giuridico sulle statistiche europee. È l’invito rivolto ai legislatori dal Garante europeo per la protezione dati (EDPS) nel parere sulla proposta di regolamento relativo alle statistiche sulla popolazione e sulle abitazioni della Commissione Europea.
La proposta, sottoposta a consultazione pubblica fino al 19 marzo, modifica il regolamento 862/2007 (“Statistiche in materia di migrazione”) e abroga i regolamenti 763/2008, relativo ai censimenti della popolazione e delle abitazioni, che stabilisce norme comuni per la fornitura decennale di dati esaurienti sulla popolazione e sulle abitazioni, e 1260/2013, relativo alle statistiche demografiche europee.
Il nuovo quadro normativo riunirà tutti i dati demografici, migratori e censuari, attualmente raccolti dagli Stati membri separatamente, con diverse periodicità e diverse basi giuridiche, in modo da garantire che le statistiche sulla popolazione rimangano pertinenti, coerenti e comparabili di fronte ai cambiamenti sociali ed economici della società.
Nel suo parere, il Garante europeo accoglie con favore l’obiettivo della proposta di Regolamento, nella consapevolezza che statistiche di alta qualità possano sostenere l’elaborazione, l’attuazione e la valutazione delle politiche dell’Unione, comprese le politiche in materia di diritti fondamentali. Al tempo stesso, però, l’EDPS fornisce una serie di raccomandazioni per evitare un’eccessiva interferenza con il diritto alla privacy e alla protezione dei dati personali.
I dati personali – ricorda infatti il Garante – devono essere raccolti per finalità determinate, esplicite e legittime e, nel caso del trattamento per scopi statistici, devono in linea di principio essere resi anonimi (o in alternativa pseudonimi), a condizione che lo scopo statistico sia soddisfatto.
Tra le preoccupazioni espresse dall’EDPS, ci sono il riferimento alla raccolta di informazioni che potrebbero essere ottenute da qualsiasi fonte, comprese le “tracce digitali”, come l’Internet delle cose (IoT) e la fornitura di servizi digitali, nelle quali potrebbero ricadere anche categorie speciali di dati personali e altri dati sensibili. Troppo elevato è infatti il rischio di trarre conclusioni intime sulla vita dell’interessato sulla base di una raccolta di dati personali che non appare proporzionata alle finalità perseguite.
Il Garante europeo raccomanda quindi di aggiungere alla proposta una base giuridica adeguata e una panoramica chiara ed esauriente delle categorie di dati personali oggetto di trattamento.