Il Regolamento europeo sul libero flusso dei dati non personali: verso la data economy europea

Il Regolamento europeo sul libero flusso dei dati non personali: verso la data economy europea

In data 28 novembre 2018 è stato pubblicato in Gazzetta Ufficiale il testo del Regolamento UE 2018/1807[1] del Parlamento Europeo e del Consiglio relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione Europea (il “Regolamento”), che entrerà in vigore il 18 dicembre 2018 e sarà pienamente applicabile dal 18 maggio 2019.

Giunge così finalmente a termine il lungo iter iniziato con la proposta della Commissione Europea del 19 settembre 2017[2] su un regolamento sul libero flusso dei dati non personali con lo scopo di abbattere le barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini, preservando al contempo, il diritto delle autorità competenti di accedere ai dati per i controlli previsti ai fini di legge.

Infatti, secondo quanto statuito dal Considerando 1: “L’economia si sta velocemente digitalizzando. Le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì sono la base stessa di tutti i sistemi economici e delle società innovativi e moderni. I dati elettronici sono al centro di tali sistemi e, quando sono analizzati o utilizzati in associazione a servizi e prodotti, possono generare un ingente valore. Allo stesso tempo, il rapido sviluppo dell’economia dei dati e di tecnologie emergenti come l’intelligenza artificiale, i prodotti e i servizi relativi all’Internet degli oggetti, i sistemi autonomi e la tecnologia 5G sollevano nuove questioni giuridiche relative all’accesso ai dati e al loro riutilizzo, alla responsabilità, all’etica e alla solidarietà. Si dovrebbe considerare l’opportunità di lavorare in materia di responsabilità, segnatamente attraverso l’impiego di codici di autoregolamentazione e altre migliori prassi (…)”.

Insieme al Regolamento UE 2016/679[3] in materia di protezione dei dati personali (il “GDPR”), si crea uno spazio comune europeo dei dati, aggiungendo così un ulteriore tassello alla strategia per il mercato unico digitale e alla data economy che faciliti lo sviluppo dell’intelligenza artificiale e del cloud computing.

Inoltre il Regolamento mira ad assicurare che i requisiti di sicurezza[4] relativi all’archiviazione dei dati di persone fisiche e/o giuridiche in uno Stato membro siano uniformi e vengano applicati allo stesso modo in un altro Stato membro, anche in ragione della Direttiva UE 2016/1148 (la “Direttiva NIS”) riguardante la sicurezza delle reti e dei sistemi informativi, con cui il Regolamento dovrà coordinarsi.[5]

Quali sono gli ostacoli e le restrizioni al libero flusso dei dati non personali?

Attualmente vi sono delle differenze normative in merito all’archiviazione e all’elaborazione dei dati tra gli Stati membri che frenano irrimediabilmente il pieno sviluppo del mercato unico digitale e conseguentemente il libero flusso dei dati non personali.

In particolare si tratta di:

• pratiche di vendor lock-in in base alle quali il cliente non può cambiare fornitore se non a costi più elevati;
• obblighi di localizzazione dei dati ai fini di trattamento di dati in una determinata area geografica o territorio;
• restrizioni nel settore pubblico e privato (giuridiche, contrattuali, tecniche), tra cui, ad esempio, norme in materia di segreto professionale nel settore sanitario che impongono l’archiviazione o l’elaborazione dei dati a livello locale.

Gli aspetti centrali del Regolamento

Il Regolamento mira a garantire la libera circolazione dei dati diversi dai dati personali all’interno dell’UE tramite delle disposizioni in materia di:

• obblighi di localizzazione dei dati;
• messa a disposizione dei dati alle autorità competenti;
• portabilità dei dati per gli utenti professionali[6].

Ma quali dati rientrano nella categoria dei dati diversi dai dati personali?

Ai sensi dell’art. 3, punto 1, sono definiti come quei dati diversi dai dati personali definiti all’art.4, punto 1, del GDPR ma il Considerando 9 fornisce ulteriori dettagli statuendo che “L’espansione dell’Internet degli oggetti, l’intelligenza artificiale e l’apprendimento automatico rappresentano fonti importanti di dati non personali, ad esempio a seguito del loro utilizzo in processi automatizzati di produzione industriale. Fra gli esempi specifici di dati non personali figurano gli insiemi di dati aggregati e anonimizzati usati per l’analisi dei megadati, i dati sull’agricoltura di precisione che possono contribuire a monitorare e ottimizzare l’uso di pesticidi e acqua, o i dati sulle esigenze di manutenzione delle macchine industriali. Se i progressi tecnologici consentono di trasformare dati anonimizzati in dati personali, tali dati sono trattati come dati personali e si applica di conseguenza il regolamento (UE) 2016/679”.

Inoltre secondo quanto previsto dal Considerando 17, il Regolamento “dovrebbe intendere i trattamenti di dati nell’accezione più ampia possibile, indipendentemente dal tipo di sistema della tecnologia dell’informazione utilizzato e sia che tali operazioni siano effettuate nei locali dell’utente o siano esternalizzate ad un fornitore di servizi. Esso dovrebbe contemplare il trattamento di dati a diversi livelli di intensità, dall’archiviazione (Infrastructure-as-a-Service – IaaS) al trattamento di dati su piattaforme (Platform-as-a-Service – PaaS) o in applicazioni (Software-as-a-Service – SaaS)”.

Pertanto, il Regolamento si applica alle attività di trattamento riguardanti dati elettronici diversi dai dati personali nell’UE che:

• sono forniti come servizio ad utenti residenti o stabiliti nell’UE, a prescindere dal fatto che il fornitore di servizi sia o non sia stabilito nell’UE, o
• svolte da una persona fisica o giuridica residente o stabilito nell’UE per le proprie esigenze.

Risulta quindi chiaro che il regolamento non include i flussi di dati con paesi extra UE garantendo la sola mobilità dei dati intra UE.

Rilevante la disposizione relativa ai dati misti in base alla quale in presenza di dati costituiti sia da dati personali che non personali, il presente regolamento si applicherà solo ai dati non personali. Qualora i dati non personali e personali siano indissolubilmente legati, resta impregiudicata l’applicazione del GDPR.

Le disposizioni principali riguardano altresì:

• il principio della libera circolazione dei dati non personali all’interno dell’UE: ai sensi dell’art. 4 sono infatti vietati gli obblighi di localizzazione dei dati ad eccezione di quelli fondati su motivi di pubblica sicurezza[7] comunque rispettosi del principio di proporzionalità. Alla luce di ciò, gli Stati membri non solo devono comunicare immediatamente qualsiasi progetto di atto che introduca un nuovo obbligo di localizzazione di dati o modifichi un vigente obbligo, ma entro il 30 maggio 2021 dovranno abrogare qualsiasi obbligo di localizzazione dei dati che non sia conforme a quanto stabilito sopra. Sempre entro lo stesso termine, ove uno Stato membro ritenga un’attuale misura riguardante un obbligo di localizzazione conforme a quanto stabilito sopra, provvede a comunicarla alla Commissione, motivandone il mantenimento in vigore.
• messa a disposizione dei dati alle autorità competenti: secondo quanto previsto dall’art. 5, rimane ferma la facoltà delle autorità competenti di chiedere ed ottenere l’accesso ai dati ai fini dell’esercizio delle loro funzioni ufficiali, motivo per cui, l’accesso ai dati da parte delle autorità competenti non può essere rifiutato per il fatto che i dati sono trattati in un altro Stato membro. Ove un’autorità competente non ottenga tale accesso e non esista un meccanismo di cooperazione può rivolgersi ad un’autorità competente in un altro Stato membro secondo la procedura di assistenza prevista dall’art. 7[8]. In caso di mancato rispetto dell’obbligo di fornire i dati gli Stati membri possono imporre sanzioni effettive, proporzionate e dissuasive.
• la predisposizione di codici di condotta per favorire la portabilità dei dati[9]: la Commissione incoraggia e facilita l’utilizzo di strumenti di autoregolamentazione e provvederà affinché vengano elaborati con la consultazione e la cooperazione di tutti i portatori di interesse, tra cui le associazioni di PMI e Start-up, gli utenti e i fornitori di servizi cloud, ex art. 6.

I codici di condotta devono tener conto:

        i) delle migliori prassi per agevolare il cambio di fornitore di servizi e la portabilità dei dati in un formato                    strutturato, di uso comune e leggibile;

       ii) degli obblighi d’informazione minimi in modo che gli utenti professionali ricevano informazioni                                 sufficientemente dettagliate, chiare e trasparenti, precedentemente alla conclusione di un contratto di                  trattamento dei dati, in merito a procedure e requisiti tecnici utilizzati, tempi e oneri applicati qualora                     l’utente desideri cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici;

      iii) degli approcci in materia di sistemi di certificazione che facilitino il confronto di prodotti e servizi di                         trattamento dei dati per gli utenti professionali, ivi inclusi la gestione della sicurezza delle informazioni e              la          gestione della continuità operativa, tenendo conto delle norme consolidate in tale ambito,                               nazionali          e internazionali;

      iv) delle tabelle di marcia in materia di comunicazione.

Il Considerando 31 fornisce ulteriori chiarimenti su quali elementi si debba concentrare la Commissione nell’elaborazione dei codici di condotta statuendo che: “per essere efficaci e facilitare il cambio tra fornitori di servizi e la portabilità dei dati, tali codici di condotta dovrebbero essere esaustivi e riguardare almeno gli aspetti fondamentali che sono importanti durante il processo di portabilità dei dati, quali le procedure per e il luogo in cui è effettuato il backup dei dati, i formati e i supporti dei dati disponibili, la configurazione informatica e la larghezza minima di banda della rete richieste, il tempo necessario per avviare la procedura di trasferimento dei dati e il periodo in cui i dati saranno disponibili per il trasferimento, nonché le garanzie di accesso ai dati in caso di fallimento del fornitore di servizi. I codici di condotta dovrebbero altresì chiarire che le pratiche di «vendor lock-in» non sono pratiche commerciali accettabili, prevedere tecnologie che incrementino la fiducia ed essere periodicamente aggiornati per restare al passo con gli sviluppi tecnologici”.

I codici di condotta dovranno essere sviluppati in via definitiva entro il 29 novembre 2019 e dovranno essere attuati entro il 29 maggio 2020.

Conclusioni

Quali sono le prossime tappe?

    i) entro il 29 maggio 2019, la Commissione Europea pubblicherà degli orientamenti informativi                                      sull’interazione tra il presente regolamento e il GDPR;

   ii) entro il 29 novembre 2022, la Commissione Europea presenterà al Parlamento Europeo, al Consiglio e al                Comitato economico e sociale europeo, una relazione in cui valuta l’attuazione del regolamento, con                       particolare riguardo a:

• agli insiemi di dati composti sia dati personali che dati non personali e tenendo in considerazione gli sviluppi del mercato e dei progressi tecnologici suscettibili di ampliare le possibilità di “de-anonimizzazione” dei dati;
• l’applicazione da parte degli Stati membri dell’art. 4, paragrafo 1, riguardante gli obblighi di localizzazione;
• l’elaborazione e l’effettiva attuazione dei codici di condotta e la messa a disposizione delle informazioni da parte dei fornitori di servizi. 

[1] Consultabile sul sito al seguente link: https://www.iusinitinere.it/risorse/regolamento-sulla-libera-circolazione-dei-dati-non-personali-ue-2018-1807

[2] Un quadro per il libero flusso dei dati personali in Europa, Domande e Risposte, 19 settembre 2017 disponibile al seguente link file:///C:/Users/User/Downloads/MEMO-17-3191_IT.pdf

[3]Disponibile al seguente link https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=IT

[4] Il Considerando 36 richiama la Direttiva NIS la quale “prevede misure giuridiche per rafforzare il livello generale della sicurezza informatica dell’Unione. I servizi di trattamento di dati costituiscono uno dei servizi digitali contemplati da tale direttiva. In base a tale direttiva, gli Stati membri sono tenuti a provvedere affinché i fornitori di servizi digitali identifichino e adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano. Tali misure sono intese a garantire un livello di sicurezza adeguato al rischio esistente e dovrebbero tenere conto della sicurezza dei sistemi e degli impianti, del trattamento degli incidenti, della gestione della continuità operativa, del monitoraggio, degli audit e test e della conformità con le norme internazionali. Questi elementi devono essere ulteriormente specificati dalla Commissione mediante atti di esecuzione in base a tale direttiva”.

[5]Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione  disponibile al seguente link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT

[6] Ai sensi dell’art. 3 un utente professionale è “una persona fisica o giuridica, compreso un’autorità pubblica, un organismo di diritto pubblico, che utilizza o richiede servizi di trattamento di dati per fini connessi alla sua attività commerciale, industriale, artigianale, professionale o a una sua funzione”.

[7] Il Considerando 19 specifica cosa s’intende per motivi di pubblica sicurezza che soddisfino il requisito di proporzionalità: “La nozione di «pubblica sicurezza» ai sensi dell’articolo 52 TFUE, nell’interpretazione datane dalla Corte di giustizia, riguarda la sicurezza sia interna che esterna di uno Stato membro, come pure le questioni di incolumità pubblica, in particolare al fine di agevolare le indagini, l’accertamento e il perseguimento di reati. Presuppone l’esistenza di una minaccia reale e sufficientemente grave a uno degli interessi fondamentali della società, quale il pregiudizio al funzionamento delle istituzioni e dei servizi pubblici essenziali nonché all’incolumità della popolazione, come il rischio di perturbazioni gravi dei rapporti internazionali o della coesistenza pacifica dei popoli, o ancora il pregiudizio agli interessi militari. Conformemente al principio di proporzionalità, gli obblighi di localizzazione dei dati giustificati da motivi imperativi di pubblica sicurezza dovrebbero essere adatti al raggiungimento dell’obiettivo perseguito e limitarsi a quanto è necessario per conseguire tale obiettivo”.

[8] L’art 7. prevede che ciascun Stato membro designi un punto di contatto unico che funga da collegamento con i punti di contatto degli altri Stati membri e la Commissione in merito all’applicazione del Regolamento. Qualora l’autorità competente chieda l’assistenza di uno Stato membro per ottenere l’accesso ai dati, può inviare una richiesta debitamente motivata al punto di contatto dello Stato membro medesimo. Sarà poi il punto di contatto unico ad individuare l’autorità competente del proprio Stato membro e a trasmetterle la richiesta ricevuta.

[9] Ai sensi del Considerando 29, “La portabilità dei dati senza impedimenti è uno degli elementi fondamentali che agevolano la scelta degli utenti e stimolano la concorrenza effettiva nei mercati dei servizi di trattamento di dati”.