Libera circolazione dei dati nell’UE. La Commissione pubblica gli Orientamenti sull’interazione tra dati personali e non personali

La libera circolazione dei dati costituisce un elemento chiave del mercato unico digitale ed è fondamentale per sviluppare l’economia dei dati. Come indicato nella Comunicazione della Commissione del 2017 “Costruire un’economia dei dati europea”¹, il valore del mercato dei dati nell’Unione è stato stimato nel 2016 a quasi 60 miliardi di euro, con una crescita del 9,5% rispetto al 2015. Tale valore potrebbe ammontare a più di 106 miliardi di euro nel 2020².

Al fine di migliorare la mobilità dei dati non personali a livello transfrontaliero, che è limitata in molti Stati Membri da restrizioni sulla localizzazione, far sì che i poteri delle autorità competenti di chiedere e ottenere l’accesso ai dati ai fini dei controlli regolamentari, ispezioni e audit, rimangano invariati, e facilitare la portabilità dei dati³ senza generare distorsioni del mercato, l’Unione ha adottato, a fine 2018, il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione Europea⁴.

Il Regolamento 2018/1807 mira a garantire la libera circolazione dei dati diversi dai dati personali all'interno dell'Unione e si applica ai trattamenti dei dati non personali⁵ forniti come servizio agli utenti che vivono nell’Unione, o effettuati da una persona fisica o giuridica residente o stabilita nell'Unione. Il Regolamento: (a) vieta gli obblighi di localizzazione dei dati, ossia quelle misure legislative e amministrative che impongono che il trattamento debba svolgersi in uno specifico territorio dell’Unione, salvo che per motivi di sicurezza pubblica; (b) istituisce un meccanismo di cooperazione per garantire che le autorità competenti continuino a poter esercitare tutti i poteri spettanti per quanto riguarda l'accesso ai dati trattati in un altro Stato Membro; (c) prevede incentivi per l'industria, con il sostegno della Commissione, al fine di sviluppare codici di autoregolamentazione sul cambio di fornitore di servizi e la portabilità dei dati.

Il Regolamento potenzia ulteriormente lo scambio transfrontaliero dei dati e promuove l'economia dei dati, integrando il Regolamento generale sulla protezione dei dati personali (GDPR), entrato in vigore il 25 maggio 2018⁶. Quest’ultimo Regolamento, tra l’altro, precisa quali informazioni costituiscono un dato personale, stabilisce le basi giuridiche dei trattamenti e definisce i relativi diritti e obblighi. All’interno del quadro ordinamentale fornito dai due Regolamenti, i dati circolano liberamente tra gli Stati Membri.

Sul rapporto tra i due Regolamenti, il 29 maggio 2019 la Commissione ha pubblicato gli Orientamenti sull'interazione della libera circolazione dei dati non personali con le norme dell'Unione sulla protezione dei dati ⁷.

Gli Orientamenti riguardano in particolare gli insiemi di dati composti sia da dati personali che da dati non personali. Più particolarmente, essi si focalizzano: (a) sui concetti di dati personali e dati non personali; (b) sui principi della libera circolazione dei dati e del divieto degli obblighi di localizzazione ai sensi di entrambi i Regolamenti; (c) sulla nozione di portabilità dei dati non personali secondo il Regolamento 2018/1807. Esse riguardano anche i modelli di autoregolamentazione delineati nei due Regolamenti.

a. Dati personali e dati non personali

L’articolo 4, punto 1), del GDPR, definisce i dati personali come “... qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale...”. Qualora i dati non siano dati personali ai sensi del GDPR, essi costituiscono dati non personali ai fini del Regolamento 2018/1807.

Gli Orientamenti specificano che i dati non personali possono essere classificati in base alla loro origine come: (a) dati che già originariamente non si riferivano a una persona fisica identificata o identificabile (quali, ad, esempio, i dati sulle condizioni meteorologiche prodotti da sensori installati sulle turbine eoliche o i dati sulle esigenze di manutenzione delle macchine industriali); e (b) dati che inizialmente erano dati personali, ma che sono stati poi anonimizzati⁸. Infatti, i dati personali che sono stati resi anonimi in modo adeguato e non possono essere più attribuiti a una persona individuata, neppure ricorrendo ad informazioni aggiuntive, divengono dati non personali⁹. La valutazione se i dati siano stati adeguatamente resi anonimi dipende dalle condizioni specifiche del singolo caso. Per stabilire se un soggetto sia identificabile, si devono verificare tutti i mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da un altro soggetto per identificare, direttamente o indirettamente, una persona. Se i dati non personali possono essere associati in qualsiasi modo ad una persona, facendo sì che essa divenga direttamente o indirettamente identificabile, questi devono essere considerati dati personali.

La definizione di dati personali riguarda le persone fisiche e, pertanto, in linea di principio gli insiemi di dati che contengono i nomi e i dati di contatto delle persone giuridiche sono dati non personali. In alcuni casi essi possono tuttavia costituire dati personali, come nel caso in cui il nome della persona giuridica corrisponde a quello della persona fisica che ne è possessore o se le informazioni si riferiscono a una persona fisica identificata o identificabile.

Nella maggior parte delle situazioni della vita reale, un insieme di dati è generalmente composto sia da dati personali che da dati non personali (insiemi di dati misti). Insiemi di dati misti sono, ad esempio, quelli relativi ai documenti fiscali di un’impresa, che contengono il nome e il numero di telefono dell'amministratore delegato, o dagli insiemi di dati di una banca, che contengono informazioni sui clienti e dettagli delle transazioni, come i servizi di pagamento (carte di credito e di debito), le applicazioni di partner relationship management (PRM), i contratti di prestito, e documenti che includono dati misti relativi sia a persone fisiche che giuridiche.

L’articolo 2 del Regolamento 2018/1807 sulla libera circolazione dei dati non personali statuisce che “... Nel caso di un insieme di dati composto sia da dati personali che da dati non personali, il presente regolamento si applica alla parte dell'insieme contenente i dati non personali. Qualora i dati personali e non personali all'interno di un insieme di dati siano indissolubilmente legati, il presente regolamento lascia impregiudicata l'applicazione del regolamento (UE) 2016/679...”. La Commissione ha specificato che il Regolamento sulla libera circolazione dei dati non personali si applica alla parte dell'insieme contenente i dati non personali, mentre il GDPR si applica alla parte dell’insieme contenente i dati personali. Qualora tali parti siano “indissolubilmente legate”, i diritti e gli obblighi in materia di protezione dei dati derivanti dal GDPR si applicano all'insieme di dati misti, anche quando i dati personali ne rappresentano soltanto una piccola parte. Il concetto di "indissolubilmente legato" non è definito da nessuno dei due Regolamenti. Secondo la Commissione, ai fini pratici, esso può denotare una situazione in cui un insieme contiene sia dati personali che dati non personali e separarli sarebbe impossibile od è ritenuto dal titolare del trattamento economicamente inefficiente o non tecnicamente realizzabile¹⁰.

b. Libera circolazione dei dati e divieto degli obblighi di localizzazione

Il Regolamento 2018/1807 sulla libera circolazione dei dati non personali vieta gli obblighi di localizzazione "... a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità..."¹¹. Ai sensi dell’articolo 3, paragrafo 5, del Regolamento, gli obblighi di localizzazione consistono in “... qualsiasi obbligo, divieto, condizione, limite o altro requisito, previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante dalle prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico, anche nell'ambito degli appalti pubblici, fatta salva la direttiva 2014/24/UE, che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro...".

Gli Orientamenti specificano la nozione di sicurezza pubblica, indicando che questa riguarda la sicurezza sia interna, sia esterna di uno Stato Membro, ivi incluse l’agevolazione delle indagini e l'accertamento e il perseguimento dei reati. La sicurezza pubblica presuppone l'esistenza di una minaccia reale e sufficientemente grave ad uno degli interessi fondamentali della società¹², quali il funzionamento delle istituzioni e dei servizi pubblici essenziali, l'incolumità della popolazione, il rischio di perturbazioni gravi dei rapporti internazionali o della coesistenza pacifica dei popoli, o ancora il pregiudizio agli interessi militari. Qualsiasi obbligo di localizzazione dei dati giustificato per motivi di sicurezza pubblica deve essere altresì proporzionato¹³.

Il GDPR, invece, stabilisce che "... la libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali..."¹⁴. Se uno Stato Membro impone obblighi di localizzazione dei dati personali per ragioni diverse dalla protezione delle persone fisiche, essi dovranno essere valutati sulla base delle disposizioni relative alle libertà fondamentali e delle deroghe previste nel Trattato sul Funzionamento dell'Unione Europea (TFUE).

Il Regolamento sulla libera circolazione dei dati non personali non si applica ai servizi di trattamento di dati svolti al di fuori dell'Unione e agli obblighi di localizzazione di dati relativi a tali trattamenti¹⁵. Tuttavia, in presenza di un insieme di dati che contenga anche dati personali, è necessario rispettare le disposizione del GDPR e, in particolare, le norme relative al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali.

c. Portabilità dei dati secondo il Regolamento sulla libera circolazione dei dati non personali

Una delle finalità principali del Regolamento 2018/1807 sulla libera circolazione dei dati non personali è quella di evitare le c.d. pratiche di "vendor lock-in", che costituiscono ostacoli alla circolazione dei dati tra sistemi informatici. Più particolarmente, tali pratiche si verificano quando gli utenti non possono cambiare il fornitore di servizi, perché i loro dati sono "bloccati" nel sistema del fornitore, ad esempio a causa di uno specifico formato o di accordi contrattuali, e non possono essere trasferiti al di fuori del suo sistema informatico. La portabilità dei dati senza impedimenti è infatti uno degli elementi fondamentali che consente agli utenti di scegliere liberamente tra i fornitori dei servizi e garantisce quindi la concorrenza effettiva nei mercati.

Ai sensi dell’articolo 6 del Regolamento, la Commissione “... incoraggia e facilita l'elaborazione di codici di condotta di autoregolamentazione a livello dell'Unione («codici di condotta»), al fine di contribuire a un'economia dei dati competitiva basata sui principi della trasparenza e dell'interoperabilità...”. Nello sviluppo dei codici di condotta, è necessario tenere in considerazione: (a) le migliori prassi per agevolare il cambio di fornitore dei servizi e la portabilità dei dati in un formato strutturato, di uso comune e leggibile elettronicamente, anche in formati standard aperti ove necessario o richiesto dal fornitore di servizi che riceve i dati; (b) gli obblighi d'informazione minimi per garantire che gli utenti professionali ricevano informazioni sufficientemente dettagliate, chiare e trasparenti prima della conclusione di un contratto di trattamento di dati, per quanto riguarda le procedure e i requisiti tecnici, i tempi e gli oneri applicati qualora un utente professionale intenda cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici; (c) i sistemi di certificazione che agevolano il confronto di prodotti e servizi per gli utenti professionali; (d) eventuali strategie di comunicazione volte alla promozione dei codici di condotta. Secondo la Commissione, tali codici di condotta dovrebbero essere integrati da clausole contrattuali tipo, che consentano una sufficiente specificità tecnica e giuridica nell'attuazione e nell'applicazione pratiche.

Gli Orientamenti della Commissione specificano che la portabilità dei dati prevista dal Regolamento 2018/1807 riguarda le interazioni business-to-business tra un utente professionale e un fornitore di servizi. Il diritto alla portabilità previsto dall’articolo 20 del GDPR¹⁶, invece, concerne il rapporto tra l'interessato e il titolare del trattamento ed il diritto dell'interessato di ricevere i dati personali che ha fornito al titolare in un formato strutturato, di uso comune e leggibile elettronicamente e di ritrasmettere tali dati ad un altro titolare del trattamento o alle proprie capacità di stoccaggio senza impedimenti da parte del titolare del trattamento a cui li ha forniti. Nonostante tale differenza, vi sono circostanze in cui la portabilità dei dati rientrerebbe nel campo di applicazione sia del Regolamento sulla libera circolazione dei dati non personali sia del Regolamento generale sulla protezione dei dati per quanto riguarda gli insiemi di dati misti¹⁷.

Conclusioni

Il nuovo Regolamento sulla libera circolazione dei dati non personali contribuisce a comporre un contesto giuridico ed economico organico in tema di trattamento dei dati. Integrando il quadro costituito dal GDPR, le nuove norme rappresentano un importante passo avanti verso uno spazio comune europeo dei dati, fondamentale nella strategia per il mercato unico digitale.

La nuova normativa è destinata ad aumentare la certezza del diritto e la fiducia delle imprese e dovrebbe rendere più facile per le PMI e le start-up sviluppare nuovi servizi innovativi, sfruttare le migliori offerte disponibili sul mercato interno ed espandere le proprie attività a livello transfrontaliero. Vietando le restrizioni di localizzazione e le pratiche di “vendor lock-in”, le imprese saranno libere di sfruttare pienamente i servizi di cloud, di scegliere i luoghi più efficaci di residenza delle risorse informatiche sotto il profilo dei costi, di cambiare fornitore di servizi o di ritrasferire i propri dati sui propri sistemi informatici. Con il principio del libero flusso dei dati non personali, le imprese potranno altresì evitare la duplicazione dei dati in più luoghi ed i relativi costi, ed entrare in nuovi mercati con maggiore sicurezza ed efficacia.

Register now for your free, tailored, daily legal newsfeed service.

Libera circolazione dei dati nell’UE. La Commissione pubblica gli Orientamenti sull’interazione tra dati personali e non personali

Filed under

Laws

Popular articles from this firm

Pratiche anticoncorrenziali in merito alla piattaforma Teams. La Commissione avvia un’indagine nei confronti della Microsoft *

La Corte di Giustizia sia pronuncia sul trasporto di container vuoti prima del carico o dopo lo scarico di merci nell’ambito di un trasporto combinato *

Road transport. The new vehicle general safety Regulation starts applying *

The Court of Justice rules on the transport of empty containers before loading or after unloading of goods in the context of combined transport *

Accordi di licenza e distribuzione. La Commissione invia una Comunicazione degli addebiti a Pierre Cardin *

Related practical resources PRO

Related research hubs