Piano d’azione dei Garanti Privacy approvato al G7 Giappone 2023
Noi, i Garanti per la protezione dei dati e della privacy (Data Protection and Privacy Authorities, DPA) del G7, approviamo il seguente piano d’azione basato sui tre pilastri stabiliti dal Comunicato 2023, ovvero (I) fiducia nel libero flusso dei dati (Data Free Flow with Trust, DFFT), (II) tecnologie emergenti e (III) cooperazione esecutiva. A tal fine, ci impegniamo a:
Pilastro I – Fiducia nel libero flusso dei dati (DFFT)
Promuovere la fiducia nel libero flusso dei dati
- Continuare a prestare attenzione e a sostenere gli attuali sforzi per lo sviluppo del concetto di DFFT, così come è stato fatto in diversi forum internazionali, tra cui il Gruppo di lavoro del G7, la Global Privacy Assembly (GPA) e l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE), anche attraverso l’annuncio della creazione di un nuovo accordo di partenariato (Institutional Arrangement for Partnership, IAP), e sottolineare quanto la fiducia sia una componente fondamentale per il libero flusso dei dati su scala globale.
- Raggiungere una visione condivisa circa la nozione e le componenti chiave della DFFT in materia di dati personali e definire obiettivi comuni per garantire un elevato livello di protezione dei dati e della privacy.
Strumenti di trasferimento
- Basarsi sulle conclusioni della Tavola rotonda dei Garanti Privacy del G7 tenutasi a Bonn nel 2022, nella quale si è riconosciuto che gli strumenti di trasferimento dei dati svolgono un ruolo importante ai fini della DFFT.
- Continuare ad adoperarsi per trovare elementi di convergenza che favoriscano la futura interoperabilità di tali strumenti di trasferimento, ove possibile, e identificare casi d’uso specifici per il loro utilizzo interoperabile, al fine di raggiungere elevati livelli di protezione dei dati e facilitare il libero flusso dei dati.
- Fornire contributi e sostegno all’attività portata avanti dal Global Frameworks and Standards Working Group della Global Privacy Assembly (GPA), attraverso la partecipazione attiva in qualità di Garanti Privacy del G7.
- Condividere la conoscenza in materia di strumenti di trasferimento sicuro e affidabile, in particolare attraverso il confronto tra le regole globali sulla privacy transfrontaliera (Global Cross-Border Privacy Rules, CBPR) e i requisiti di certificazione dell’UE, nonché attraverso il confronto tra i modelli di clausole contrattuali esistenti.Tale lavoro permetterà di valutare il livello di interoperabilità e convergenza tra i diversi meccanismi di certificazione e gli altri strumenti per i trasferimenti, e di individuarne i punti in comune e le possibili differenze, nonché le aree di ulteriore miglioramento.
- Individuare opportunità per iniziative a più lungo termine per il Gruppo di lavoro DFFT, tra cui l’approfondimento delle discussioni su come le autorità di protezione dei dati possano svolgere un ruolo attivo nello sviluppo dell’IAP.
Accesso ai dati da parte delle amministrazioni pubbliche
- Raccomandare la risoluzione adottata dalla GPA nel 2021 in materia di accesso ai dati da parte delle amministrazioni pubbliche, di privacy e di Stato di diritto.
- Incoraggiare l’OCSE a portare avanti il lavoro sull’accesso ai dati da parte delle amministrazioni pubbliche basato sulla fiducia, anche prendendo in considerazione ulteriori iniziative per promuovere e sviluppare approcci a sostegno della sua Dichiarazione sull’accesso delle amministrazioni pubbliche ai dati personali detenuti da enti privati (Declaration on Government Access to Personal Data held by Private Sector Entities), adottata in occasione della riunione ministeriale dell’OCSE di dicembre 2022.
- Vista la sua natura universale, incoraggiare i paesi non appartenenti all’OCSE a fare riferimento alla Dichiarazione OCSE e a tenerne conto nei propri processi decisionali.
Pilastro II – Tecnologie emergenti
- Cercare di promuovere lo sviluppo e l’utilizzo delle tecnologie emergenti in modo da rafforzare la fiducia e rispettare la privacy.
Documento di riferimento terminologico
- Facilitare la collaborazione e il confronto in materia di de-identificazione, anonimizzazione, pseudonimizzazione e tecnologie di miglioramento della privacy (Privacy Enhancing Technologies, PET), promuovendo una comprensione comune dei termini e dei concetti chiave in uso nelle diverse giurisdizioni del G7.
- Elaborare un documento di riferimento terminologico che delinei concetti e caratteristiche chiave in materia di de-identificazione, anonimizzazione, pseudonimizzazione e PET impiegati dai Garanti Privacy del G7 per agevolare la collaborazione e il confronto.Tale documento dovrà indicare le modalità di definizione dei termini e spiegare le caratteristiche comuni tra le varie giurisdizioni, sottolineando le differenze principali tra queste ultime. Fornirà inoltre le definizioni e gli usi internazionali dei termini (ad esempio, le norme ISO dell’Organizzazione Internazionale per la Standardizzazione) e conterrà rimandi alle fonti di informazione, alle linee guida e alle definizioni di termini chiave nelle giurisdizioni del G7.
Caso studio sull’utilizzo delle tecnologie PET
- Incoraggiare l’adozione e lo sviluppo delle tecnologie PET elaborando un caso d’uso che dimostri come una specifica tecnologia PET (dati sintetici) possa essere utilizzata per ridurre i rischi per la privacy, apportando al contempo un beneficio pubblico.
- Fornire spunti normativi a questo mercato emergente e incoraggiare l’uso di tali tecnologie, dimostrando, attraverso il caso d’uso, come i dati sintetici possano essere utilizzati per la condivisione di dati sanitari, al fine di ottenere un metodo che sia sicuro e rispettoso della privacy per ricavare informazioni da dati sensibili.Il caso d’uso cercherà di illustrare come la creazione di insiemi di dati sintetici sulle prescrizioni mediche a livello locale possa fornire informazioni utili a un livello geografico più ampio senza che sia necessario condividere informazioni sensibili sulle singole prescrizioni mediche, offrendo inoltre indicazioni su come tale processo possa avvenire, su quali misure tecniche e organizzative siano necessarie e su quali siano le considerazioni relative alla privacy.
- Condividere le conoscenze e il lavoro già svolto in questo settore e individuare le opportunità di coinvolgere esperti in materia e altre parti interessate.
- Valutare come procedere con le altre tecnologie PET nell’ambito del presente Gruppo di lavoro, senza escludere l’uso di casi di studio una volta completata l’analisi di una tipologia di PET (dati sintetici).
Sostegno alla risoluzione della GPA sui principi per l’uso della tecnologia di riconoscimento facciale
- Accogliere con favore la Risoluzione sui principi e le aspettative per l’uso appropriato delle informazioni personali nell’ambito della tecnologia di riconoscimento facciale (FRT) (Resolution on Principles and Expectations for the Appropriate Use of Personal Information in Facial Recognition Technology) adottata dalla GPA nel 2022 e volta a stabilire una serie di principi condivisi per l’uso della FRT da parte di organizzazioni pubbliche e private in tutto il mondo.
- Promuovere tali principi e aspettative presso le parti interessate di tutto il mondo: citando e inserendo collegamenti ipertestuali al testo del documento contenente i principi e le aspettative, ove pertinente e appropriato, all’interno della documentazione relativa all’IA e agli argomenti correlati alla FRT prodotta dai membri del Gruppo di lavoro sulle tecnologie emergenti; incoraggiando il sostegno ai principi e alle aspettative, se e dove appropriato, tra i gruppi delle parti interessate esterne; sostenendo l’adozione di misure di salvaguardia coerenti con i principi e le aspettative, se e dove opportuno, nelle giurisdizioni dei membri.
Collaborazione per la tutela dei dati personali nel contesto dell’IA generativa
- Collaborare alla protezione dei dati personali in un contesto di IA generativa da un punto di vista etico, legale, sociale e tecnico.
- Contribuire alle discussioni sull’IA generativa tenute in altri consessi internazionali e sottolineare la necessità di prestare molta attenzione alla protezione dei dati e alla privacy.
- Valutare il modo migliore per tutelare la privacy in relazione all’IA generativa.