Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale.

L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta.

Regolamento FFD e linee guida

Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire:

  • alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati;
  • all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini;
  • ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione del Mercato Unico Digitale.

In questo contesto, il 29 maggio 2019, mediante Comunicazione della Commissione al Parlamento europeo e al Consiglio dell’Unione europea è stata pubblicata la “Guidance on the Regulation on a framework for the free-flow of non-personal data in the European Union”, una raccolta di orientamenti informativi sulla libera circolazione dei dati non personali (le “Linee Guida”).

Tali Linee Guida sono fornite dalla Commissione europea esclusivamente a titolo informativo, non costituendo una decisione ovvero un’opinione della Commissione stessa e trovano la loro fonte nell’obbligo previsto dall’articolo 8 del Regolamento FFD, ai sensi del quale “la Commissione pubblica orientamenti informativi sull’interazione tra il presente regolamento e il GDPR, in particolare per quanto concerne gli insiemi di dati composti sia da dati personali che da dati non personali”.

Nell’esaminare brevemente le Linee Guida, che si prefiggono come scopo di aiutare gli utenti, specialmente le piccole e medie imprese, a comprendere meglio l’interazione tra il GDPR e il Regolamento FFD, ci si soffermerà in questa sede:

  • sulla nozione di dati non personali;
  • sul principio della libera circolazione dei dati e del divieto di qualsiasi obbligo di localizzazione degli stessi;
  • sul concetto di portabilità dei dati non personali secondo il Regolamento FFD e sulle differenze rispetto allo stesso concetto previsto dal GDPR con riferimento ai dati personali, nonché sui codici di condotta previsti dal Regolamento FFD.

Dati personali, dati non personali, dati misti

L’articolo 3 del Regolamento FFD individua i dati non personali nei “dati diversi dai dati personali definiti all’articolo 4, punto 1, del GDPR”.

Se per dato personale ai sensi del GDPR si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)” saranno a contrario dati non personali ai sensi del Regolamento FFD, i dati che non riguardino una persona fisica identificata o identificabile, in quanto:

  • già in origine non si riferivano a una persona fisica identificata o identificabile;
  • in seguito a un processo di anonimizzazione, non consentono più l’identificazione dell’interessato.

Diverso, invece, è il caso dei dati che subiscono un processo di pseudonimizzazione: gli stessi sono considerati dati personali quando, pur nascondendo l’identità di un soggetto, costituiscono informazioni su una persona identificabile e, utilizzando informazioni aggiuntive, sono in concreto attribuibili ad un soggetto.

Costituiscono esempi di dati non personali, come si legge nelle Linee Guida, “i dati del trading ad alta frequenza nel settore finanziario o i dati sull’agricoltura di precisione” nonché, in qualità di dati anonimi, “i dati che sono aggregati fino a che i singoli eventi non siano più identificabili”.

Solo i dati che non possono in alcun modo essere, direttamente o indirettamente, associati a una persona fisica costituiscono dunque dati non personali.

I dati associati a una persona giuridica sono, invece, in linea di principio, dati non personali – a meno che dagli stessi non si possano trarre informazioni in grado di identificare nello specifico una persona fisica.

A questo proposito, appare opportuno osservare che la distinzione tra dati personali e non personali rischia in molti casi di non essere così netta, in quanto nei flussi di dati che compongono la data economy, le aggregazioni di dati sono generalmente composte sia da dati personali che da dati non personali – si pensi, ad esempio, ai dati raccolti nell’ambito di soluzioni IoT (Internet of Things).

Si tratta dei così detti “insiemi di dati misti”, con riferimento ai quali, il Regolamento FFD esprime il principio per cui “qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati, il regolamento lascia impregiudicata l’applicazione del GDPR”.

Come delineata dalle Linee Guida, la disciplina applicabile agli insiemi di dati misti, appare dunque così articolata:

  • il Regolamento FFD troverà applicazione per la parte di dati non personali;
  • la disposizione sulla libera circolazione dei dati prevista dal GDPR si applicherà alla parte di dati personali;
  • nel caso in cui dati personali e non personali risultino indissolubilmente legati, perché impossibile o ritenuta dal titolare del trattamento economicamente inefficiente o non tecnicamente realizzabile la loro separazione, i diritti e gli obblighi in materia di protezione dei dati derivanti dal GDPR si applicheranno all’intero insieme di dati misti.

Si noti che, in caso di insiemi di dati misti, né il GDPR né il Regolamento FFD impongono alle imprese di separare gli insiemi di dati per cui le stesse sono titolari o responsabili del trattamento: operazioni di questo tipo potrebbero risultare problematiche, poco pratiche e diminuire sensibilmente il valore dei dati, nonché l’interesse al loro trattamento.

Circolazione dei dati e divieto dell’obbligo di localizzazione

Il Regolamento FFD introduce il divieto per gli Stati membri di prevedere obblighi di localizzazione dei dati (quale ad esempio l’imporre il trattamento dei dati nel territorio di un determinato Stato membro ovvero ostacolare il trattamento dei dati in un diverso Stato membro), a meno che ciò non sia giustificato da motivi di sicurezza pubblica e in ogni caso nel rispetto del principio di proporzionalità.

Con tale previsione, il legislatore europeo ha voluto osteggiare qualsiasi misura, diretta o indiretta – e comunque non giustificata da esigenze di sicurezza interne o esterne a uno Stato membro – che limiti la circolazione dei dati all’interno dell’Unione europea, ancorché prevista da disposizioni legislative, regolamentari o amministrative ovvero risultante dalla prassi.

A partire dal 28 maggio 2019, dunque, non potrà essere imposto ai fornitori di servizi di trattamento di dati, alcun requisito che abbia l’effetto di rendere più difficoltoso il trattamento dei dati al di fuori di un determinato territorio o area geografica all’interno dell’Unione europea, se non per far fronte a una minaccia reale e sufficientemente grave a uno degli interessi fondamentali dello Stato membro, e in ogni caso nei limiti di quanto necessario a tale scopo.

La norma si propone di rendere effettivo il diritto alla libera circolazione dei dati non personali a livello transfrontaliero e di contrastare la diffusa percezione che il mantenimento dei servizi all’interno del proprio Stato membro ne aumenti la protezione.

A tal proposito, specifiche facoltà di accesso ai dati e meccanismi di cooperazione sono previste per le Autorità di vigilanza degli Stati membri.

Ne deriva che all’interno dell’Unione europea non potrà essere negato, se non per ragioni di ordine pubblico, l’accesso ai dati da parte di autorità di altri Stati membri, nell’esercizio del loro potere di vigilanza.

Come illustrano le Linee Guida, il Regolamento FFD prevede altresì che entro 24 mesi dalla data di entrata in vigore, gli Stati membri saranno tenuti a rendere pubblico qualsiasi obbligo di localizzazione dei dati applicabile nel loro territorio, su un portale unico nazionale on line di informazione.

Il Regolamento FFD mira ad impedire agli Stati membri dell’Unione europea di applicare leggi che, in modo ingiustificato, obblighino a detenere i dati unicamente all’interno del territorio nazionale.

Come è stato osservato dal Vicepresidente e Commissario responsabile per il Mercato unico digitale, Andrus Ansip: “Da qui al 2025 l’economia dei dati contribuirà probabilmente per il 5,4 % del PIL dell’UE a 27, pari a 544 miliardi di €. Ma se i dati non potranno circolare liberamente, questo potenziale enorme sarà limitato. Eliminando le restrizioni forzate alla localizzazione dei dati, diamo a un numero maggiore di persone e di imprese la possibilità di trarre il massimo beneficio dai dati e dalle opportunità ad essi correlate”.

Portabilità dei dati e contrasto a pratiche di “vendor lock-in”

Nell’industria digitale, il diffondersi di pratiche di “vendor lock-in”, ovverosia di restrizioni nel settore privato individuate, ai sensi del Considerando (5) del Regolamento FFD, in quegli “aspetti giuridici, contrattuali e tecnici, che ostacolano o impediscono agli utenti di servizi di trattamento di dati di trasferire i propri dati da un fornitore di servizi a un altro o di ritrasferirli verso i propri sistemi informativi”, ha determinato una mancanza di concorrenza tra fornitori di servizi all’interno dell’Unione europea nonché gravi carenze in termini di circolazione dei dati.

La portabilità dei dati senza impedimenti, anche se in presenza dei necessari presidi di sicurezza e protezione, dovrebbe, al contrario essere uno degli elementi fondamentali per il corretto funzionamento del mercato interno.

Le Linee Guida evidenziano come il concetto di portabilità dei dati sia presente in entrambi i regolamenti con accezione parzialmente diversa: mentre nel GDPR lo stesso tutela il diritto dell’interessato a ricevere i dati personali che lo stesso ha fornito al titolare del trattamento in un formato strutturato, di uso comune e leggibile elettronicamente nonché a trasmettere tali dati a un altro titolare del trattamento o ai propri servizi di stoccaggio, nel Regolamento FFD la portabilità dei dati riguarda invece le interazioni business to business (B2B) tra un utente professionale e un fornitore di servizi.

Con riferimento alla portabilità dei dati non personali, nell’accezione da ultimo vista, l’articolo 6 del Regolamento FFD non prevede il diritto degli utenti professionali di trasferire i dati, ma introduce un approccio di autoregolamentazione, prevedendo che la Commissione europea incoraggi e faciliti l’elaborazione di codici di condotta a livello europeo, contenenti:

  • le migliori prassi per assicurare la portabilità dei dati in un formato strutturato, di uso comune e leggibile elettronicamente;
  • obblighi di informazione minimi, per quanto riguarda il caso in cui un utente professionale intenda cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici;
  • approcci in materia di sistemi di certificazione, che agevolino il confronto di prodotti e servizi di trattamento dei dati per gli utenti professionali;
  • tabelle di marcia in materia di comunicazione, per sensibilizzare l’utilizzo dei codici di condotta.

La Commissione auspica che i diversi codici di condotta siano integrati da clausole contrattuali tipo, in grado di consentire una sufficiente specificità tecnica e giuridica nell’attuazione e nell’applicazione pratiche dei codici di condotta a tutela, in particolare, delle piccole e medie imprese.

Come illustrano le Linee Guida, l’obiettivo del regolamento FFD di una libera circolazione dei dati non personali all’interno dell’UE deve essere perseguito anche tramite lo strumento dell’autoregolamentazione: a questo proposito, vari gruppi di portatori di interessi sono già al lavoro per elaborare codici di condotta per il trasferimento dei dati e il cambio di fornitori di servizi nelle relazioni tra imprese, come pure sulla protezione dei dati nel quadro del GDPR.

Conclusioni

Le Linee Guida si rivolgono a imprese private, soprattutto piccole e medie imprese, organizzazioni e altre entità che durante lo svolgimento delle proprie attività svolgono operazioni di trattamento di dati, che comprendono la produzione, la raccolta, l’archiviazione, la trasmissione o altre operazioni e coinvolgono, allo stesso tempo, dati personali e dati non personali.
Se pur a carattere non vincolante, le Linee Guida costituiscono un interessante strumento interpretativo e di raffronto dei concetti e dei principi contenuti, rispettivamente, nel GDPR e nel Regolamento FFD, al fine di meglio comprendere il fenomeno dell’economia dei dati e le opportunità che derivano da un maggiore scambio transfrontaliero degli stessi: uno sforzo necessario in un’economia ove i flussi di dati sono oramai al centro dei processi aziendali nelle imprese di qualsiasi dimensione.

(A cura degli Avvocati Carlo Impalà e Marta Licini di Morri Rossetti Associati)

L’articolo è disponibile anche su Cybersecurity360, per maggiori informazioni clicca qui