Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: In questo contesto, il 29 maggio 2019, mediante Comunicazione della Commissione al Parlamento europeo e al Consiglio dell’Unione europea è stata pubblicata la “Guidance on the Regulation on a framework for the free-flow of non-personal data in the European Union”, una raccolta di orientamenti informativi sulla libera circolazione dei dati non personali (le “Linee Guida”). Tali Linee Guida sono fornite dalla Commissione europea esclusivamente a titolo informativo, non costituendo una decisione ovvero un’opinione della Commissione stessa e trovano la loro fonte nell’obbligo previsto dall’articolo 8 del Regolamento FFD, ai sensi del quale “la Commissione pubblica orientamenti informativi sull’interazione tra il presente regolamento e il GDPR, in particolare per quanto concerne gli insiemi di dati composti sia da dati personali che da dati non personali”. Nell’esaminare brevemente le Linee Guida, che si prefiggono come scopo di aiutare gli utenti, specialmente le piccole e medie imprese, a comprendere meglio l’interazione tra il GDPR e il Regolamento FFD, ci si soffermerà in questa sede: Dati personali, dati non personali, dati misti L’articolo 3 del Regolamento FFD individua i dati non personali nei “dati diversi dai dati personali definiti all’articolo 4, punto 1, del GDPR”. Se per dato personale ai sensi del GDPR si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)” saranno a contrario dati non personali ai sensi del Regolamento FFD, i dati che non riguardino una persona fisica identificata o identificabile, in quanto: Diverso, invece, è il caso dei dati che subiscono un processo di pseudonimizzazione: gli stessi sono considerati dati personali quando, pur nascondendo l’identità di un soggetto, costituiscono informazioni su una persona identificabile e, utilizzando informazioni aggiuntive, sono in concreto attribuibili ad un soggetto. Costituiscono esempi di dati non personali, come si legge nelle Linee Guida, “i dati del trading ad alta frequenza nel settore finanziario o i dati sull’agricoltura di precisione” nonché, in qualità di dati anonimi, “i dati che sono aggregati fino a che i singoli eventi non siano più identificabili”. Solo i dati che non possono in alcun modo essere, direttamente o indirettamente, associati a una persona fisica costituiscono dunque dati non personali. I dati associati a una persona giuridica sono, invece, in linea di principio, dati non personali – a meno che dagli stessi non si possano trarre informazioni in grado di identificare nello specifico una persona fisica. A questo proposito, appare opportuno osservare che la distinzione tra dati personali e non personali rischia in molti casi di non essere così netta, in quanto nei flussi di dati che compongono la data economy, le aggregazioni di dati sono generalmente composte sia da dati personali che da dati non personali – si pensi, ad esempio, ai dati raccolti nell’ambito di soluzioni IoT (Internet of Things). Si tratta dei così detti “insiemi di dati misti”, con riferimento ai quali, il Regolamento FFD esprime il principio per cui “qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati, il regolamento lascia impregiudicata l’applicazione del GDPR”. Come delineata dalle Linee Guida, la disciplina applicabile agli insiemi di dati misti, appare dunque così articolata: Si noti che, in caso di insiemi di dati misti, né il GDPR né il Regolamento FFD impongono alle imprese di separare gli insiemi di dati per cui le stesse sono titolari o responsabili del trattamento: operazioni di questo tipo potrebbero risultare problematiche, poco pratiche e diminuire sensibilmente il valore dei dati, nonché l’interesse al loro trattamento. Circolazione dei dati e divieto dell'obbligo di localizzazione Il Regolamento FFD introduce il divieto per gli Stati membri di prevedere obblighi di localizzazione dei dati (quale ad esempio l’imporre il trattamento dei dati nel territorio di un determinato Stato membro ovvero ostacolare il trattamento dei dati in un diverso Stato membro), a meno che ciò non sia giustificato da motivi di sicurezza pubblica e in ogni caso nel rispetto del principio di proporzionalità. Con tale previsione, il legislatore europeo ha voluto osteggiare qualsiasi misura, diretta o indiretta – e comunque non giustificata da esigenze di sicurezza interne o esterne a uno Stato membro – che limiti la circolazione dei dati all’interno dell’Unione europea, ancorché prevista da disposizioni legislative, regolamentari o amministrative ovvero risultante dalla prassi. A partire dal 28 maggio 2019, dunque, non potrà essere imposto ai fornitori di servizi di trattamento di dati, alcun requisito che abbia l’effetto di rendere più difficoltoso il trattamento dei dati al di fuori di un determinato territorio o area geografica all’interno dell’Unione europea, se non per far fronte a una minaccia reale e sufficientemente grave a uno degli interessi fondamentali dello Stato membro, e in ogni caso nei limiti di quanto necessario a tale scopo. La norma si propone di rendere effettivo il diritto alla libera circolazione dei dati non personali a livello transfrontaliero e di contrastare la diffusa percezione che il mantenimento dei servizi all’interno del proprio Stato membro ne aumenti la protezione. A tal proposito, specifiche facoltà di accesso ai dati e meccanismi di cooperazione sono previste per le Autorità di vigilanza degli Stati membri. Ne deriva che all’interno dell’Unione europea non potrà essere negato, se non per ragioni di ordine pubblico, l’accesso ai dati da parte di autorità di altri Stati membri, nell’esercizio del loro potere di vigilanza. Come illustrano le Linee Guida, il Regolamento FFD prevede altresì che entro 24 mesi dalla data di entrata in vigore, gli Stati membri saranno tenuti a rendere pubblico qualsiasi obbligo di localizzazione dei dati applicabile nel loro territorio, su un portale unico nazionale on line di informazione. Il Regolamento FFD mira ad impedire agli Stati membri dell’Unione europea di applicare leggi che, in modo ingiustificato, obblighino a detenere i dati unicamente all’interno del territorio nazionale. Come è stato osservato dal Vicepresidente e Commissario responsabile per il Mercato unico digitale, Andrus Ansip: “Da qui al 2025 l’economia dei dati contribuirà probabilmente per il 5,4 % del PIL dell’UE a 27, pari a 544 miliardi di €. Ma se i dati non potranno circolare liberamente, questo potenziale enorme sarà limitato. Eliminando le restrizioni forzate alla localizzazione dei dati, diamo a un numero maggiore di persone e di imprese la possibilità di trarre il massimo beneficio dai dati e dalle opportunità ad essi correlate”. Portabilità dei dati e contrasto a pratiche di "vendor lock-in" Nell’industria digitale, il diffondersi di pratiche di “vendor lock-in”, ovverosia di restrizioni nel settore privato individuate, ai sensi del Considerando (5) del Regolamento FFD, in quegli “aspetti giuridici, contrattuali e tecnici, che ostacolano o impediscono agli utenti di servizi di trattamento di dati di trasferire i propri dati da un fornitore di servizi a un altro o di ritrasferirli verso i propri sistemi informativi”, ha determinato una mancanza di concorrenza tra fornitori di servizi all’interno dell’Unione europea nonché gravi carenze in termini di circolazione dei dati. La portabilità dei dati senza impedimenti, anche se in presenza dei necessari presidi di sicurezza e protezione, dovrebbe, al contrario essere uno degli elementi fondamentali per il corretto funzionamento del mercato interno. Le Linee Guida evidenziano come il concetto di portabilità dei dati sia presente in entrambi i regolamenti con accezione parzialmente diversa: mentre nel GDPR lo stesso tutela il diritto dell’interessato a ricevere i dati personali che lo stesso ha fornito al titolare del trattamento in un formato strutturato, di uso comune e leggibile elettronicamente nonché a trasmettere tali dati a un altro titolare del trattamento o ai propri servizi di stoccaggio, nel Regolamento FFD la portabilità dei dati riguarda invece le interazioni business to business (B2B) tra un utente professionale e un fornitore di servizi. Con riferimento alla portabilità dei dati non personali, nell’accezione da ultimo vista, l’articolo 6 del Regolamento FFD non prevede il diritto degli utenti professionali di trasferire i dati, ma introduce un approccio di autoregolamentazione, prevedendo che la Commissione europea incoraggi e faciliti l’elaborazione di codici di condotta a livello europeo, contenenti: La Commissione auspica che i diversi codici di condotta siano integrati da clausole contrattuali tipo, in grado di consentire una sufficiente specificità tecnica e giuridica nell’attuazione e nell’applicazione pratiche dei codici di condotta a tutela, in particolare, delle piccole e medie imprese. Come illustrano le Linee Guida, l’obiettivo del regolamento FFD di una libera circolazione dei dati non personali all’interno dell’UE deve essere perseguito anche tramite lo strumento dell’autoregolamentazione: a questo proposito, vari gruppi di portatori di interessi sono già al lavoro per elaborare codici di condotta per il trasferimento dei dati e il cambio di fornitori di servizi nelle relazioni tra imprese, come pure sulla protezione dei dati nel quadro del GDPR. Conclusioni Le Linee Guida si rivolgono a imprese private, soprattutto piccole e medie imprese, organizzazioni e altre entità che durante lo svolgimento delle proprie attività svolgono operazioni di trattamento di dati, che comprendono la produzione, la raccolta, l’archiviazione, la trasmissione o altre operazioni e coinvolgono, allo stesso tempo, dati personali e dati non personali. (A cura degli Avvocati Carlo Impalà e Marta Licini di Morri Rossetti Associati) L'articolo è disponibile anche su Cybersecurity360, per maggiori informazioni clicca qui
Se pur a carattere non vincolante, le Linee Guida costituiscono un interessante strumento interpretativo e di raffronto dei concetti e dei principi contenuti, rispettivamente, nel GDPR e nel Regolamento FFD, al fine di meglio comprendere il fenomeno dell’economia dei dati e le opportunità che derivano da un maggiore scambio transfrontaliero degli stessi: uno sforzo necessario in un’economia ove i flussi di dati sono oramai al centro dei processi aziendali nelle imprese di qualsiasi dimensione.
