Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO SCENARIO

Libera circolazione dei dati non personali: il Regolamento 2018/1807 ed il rapporto col GDPR

Dal 28 maggio scorso è divenuto applicabile il Regolamento UE 2018/1807 relativo alla libera circolazione dei dati non personali e alla loro libera trasferibilità. Ecco quali impatti avrà sulle aziende, il suo rapporto con il GDPR e i consigli per trarre beneficio dal libero mercato dei dati

05 Giu 2019
I

Giovanna Ianni

Avvocato, Partner Lexalia - Studio Legale e Tributario

V

Giulia Vacchi

Praticante Avvocato, Lexalia - Studio Legale e Tributario


Dal 28 maggio 2019, le disposizioni contenute nel Regolamento UE 2018/1807, relativo alla libera circolazione dei dati non personali, sono applicabili in tutti gli Stati membri dell’Unione Europea (di seguito, il “Regolamento 1807”).

A pochi giorni dal primo anniversario dell’applicazione del GDPR, dunque, un nuovo regolamento europeo è divenuto applicabile.

Il giorno immediatamente seguente, la Commissione Europea ha pubblicato il documento dal titolo “Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union”: linee guida il cui scopo è chiarire, anche attraverso esempi concreti, il rapporto tra il nuovo Regolamento ed il GDPR, quindi tra il trattamento di dati non personali ed il trattamento di dati personali (di seguito, le “Linee Guida”).

I dati non personali sono definiti in modo piuttosto semplificato come i “dati diversi dai dati personali” di cui all’art. 4, punto 1, del GDPR.

Un elenco non esaustivo contenuto nel Considerando 9 include gli insiemi di dati aggregati e anonimizzati utilizzati per l’analisi dei mega-dati, i dati sull’agricoltura che possono essere utili nel monitorare l’uso di pesticidi ed acqua, i dati relativi alla manutenzione effettuata sui macchinari e, in via generale, il “trattamento dei dati” deve essere inteso nella più ampia accezione possibile.

Trasferibilità dei dati non personali: tecnologia e diritto

Perché è importante parlare di una normativa che non ha un’efficacia immediatamente diretta sul pubblico e sugli utenti, ma che è prescrittiva nei confronti degli stati membri dell’Unione? Perché occuparsi di un argomento così normativamente tecnico, ma di estensione potenzialmente globale, che (indirettamente) impatta fortemente sui fornitori – persone fisiche o giuridiche stabilite all’interno dell’UE – di beni o servizi verso utenti residenti nell’Unione?

In tempi recenti sentiamo sempre più spesso parlare di big data, data analysis, algoritmi, machine learning, intelligenza artificiale, 5G, Industria 4.0. Ma che cosa vogliono dire? Che cosa implica l’acquisizione di grandi masse di dati e informazioni di qualsiasi natura e proveniente da ogni ambito industriale, commerciale, agricolo, scientifico, sanitario e da ogni angolo del mondo?

La risposta a queste domande parte ancora una volta dal fatto che la tecnologia si muove molto più in fretta dell’elaborazione delle leggi e dei principi che governano il nostro mondo, per loro natura, poco elastici e costretti dalle cosiddette regole del vivere civile.

Citando Henri L. Bergson, “l’occhio vede solo ciò che la mente è preparata a comprendere”. Siamo pronti a conoscere le implicazioni derivanti dal controllo di enormi quantità di dati e come ciò possa arrivare a cambiare persino le abitudini di vita di ciascun individuo?

Il rapido sviluppo della tecnologia informatica nel corso dell’ultimo ventennio ha significativamente modificato il modo di fare business (e dunque anche il modo di vivere).

Ogni ambito dell’economia è stato toccato dallo sviluppo tecnologico in termini di ricerca, raccolta e conservazione delle informazioni e ad oggi solo le società più innovative sono riuscite a trasformare grandi quantità di dati in profitto e a far sì che i dati non siano più una mera commodity, ma il vero motore della propria crescita economica.

Nel contesto di una “nuova” economia dei dati e di flusso transfrontaliero degli stessi, il Regolamento 1807 riconosce l’importanza dei più recenti sviluppi della tecnologia dell’informazione e della comunicazione: “L’economia si sta velocemente digitalizzando. Le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì sono la base stessa di tutti i sistemi economici e delle società innovativi e moderni. I dati elettronici sono al centro di tali sistemi e, quando sono analizzati o utilizzati in associazione a servizi e prodotti, possono generare un ingente valore. Allo stesso tempo, il rapido sviluppo dell’economia dei dati e di tecnologie emergenti come l’intelligenza artificiale, i prodotti e i servizi relativi all’Internet degli oggetti, i sistemi autonomi e la tecnologia 5G sollevano nuove questioni giuridiche relative all’accesso ai dati e al loro riutilizzo, alla responsabilità, all’etica e alla solidarietà” (cfr. Considerando 1 del Regolamento 1807).

L’obiettivo primario del Regolamento 1807 è dunque la costruzione del Digital Single Market, l’equivalente digitale del Mercato Unico Europeo, al fine di consentire la libera circolazione dei dati non personali.

In coordinamento con il Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”), da una parte e con la Direttiva UE 2016/1148 (la “Direttiva NIS”) riguardante la sicurezza delle reti e dei sistemi informativi, dall’altra, lo spazio comune europeo dei dati diventa realtà, garantendo altresì che i requisiti di sicurezza relativi all’archiviazione dei dati di persone fisiche e/o giuridiche vengano applicati uniformemente in tutti gli stati membri.

Gli ostacoli alla libera circolazione dei dati non personali

Il legislatore europeo ha individuato quattro principali ostacoli alla libera circolazione dei dati non personali:

  1. la mancanza di fiducia fra gli stati membri sussistendo diversi standard di sicurezza applicati ai rischi legati al trattamento di tali dati, il che comporta difficoltà nel trasferimento da un paese all’altro;
  2. la presenza di obblighi di localizzazione dei dati previsti dalle diverse legislazioni degli stati membri, intendendosi qualsiasi obbligo, divieto, condizione, limite o altro requisito che imponga di effettuare il trattamento di dati nel territorio di un determinato stato membro, o che ostacoli il trattamento in un diverso stato membro;
  3. le cosiddette pratiche di vendor lock-in nei settori privati, ovverosia restrizioni in ambito giuridico, contrattuale e tecnico che costituiscono un ostacolo per gli utenti al libero trasferimento dei dati da un fornitore di servizi ad un altro, o il ri-trasferimento verso i propri sistemi informatici, ad esempio al termine del contratto con il fornitore di servizi. Ciò comporta ulteriori vischiosità nei trasferimenti dei dati non personali e mancanza di concorrenza fra i diversi fornitori di servizi cloud operanti all’interno dell’UE;
  4. in generale, la mancanza di uniformità legislativa e di principi condivisi causano sfiducia, costi elevati e applicazione di misure di sicurezza non uniformi. “Un unico insieme di regole per tutti i partecipanti del mercato costituisce un elemento essenziale per il corretto funzionamento del mercato interno, affinché siano garantite la certezza del diritto e la parità di condizioni all’interno dell’Unione” (cfr. Considerando 7, Regolamento 1807).

Libera trasferibilità delle informazioni: diritto alla portabilità

Al fine di contrastare l’utilizzo di tali pratiche e di ricomprendere il trattamento dei dati non personali nel mercato interno e la libera trasferibilità dei medesimi, il Regolamento 1807 ha vietato gli obblighi di localizzazione dei dati, con la sola eccezione dei casi in cui ciò sia necessario per giustificati motivi di sicurezza pubblica, nel rispetto del principio di proporzionalità.

Per “pubblica sicurezza” deve intendersi la sicurezza interna ed esterna di uno stato membro, così come ogni questione riguardante l’incolumità pubblica che presupponga l’esistenza di una minaccia reale e sufficientemente grave ad uno degli interessi fondamentali della società (cfr. Considerando 19, Regolamento 1807).

Alla luce di tale divieto, viene previsto in capo agli stati membri l’obbligo di comunicare alla Commissione ogni progetto di atto normativo che introduca nuovi obblighi di localizzazione o che modifichi quelli già esistenti, rendendo pubblici gli obblighi di localizzazione vigenti nel loro territorio.

Viene a tal proposito previsto un periodo transitorio di 24 mesi dalla data di applicazione del Regolamento 1807, concedendo così agli Stati membri un termine per abrogare qualsiasi obbligo di localizzazione non conforme a quanto sopra esposto.

Come chiarito nelle Linee Guida, il Regolamento 1807 non contiene obblighi gravanti direttamente sulle imprese, le quali rimangono di conseguenza libere di stabilire contrattualmente dove effettuare il trattamento dei dati da loro gestiti.

Il Regolamento 1807 non pregiudica la possibilità per le competenti autorità di controllo di richiedere ed ottenere l’accesso ai dati trattati, ai fini dell’esercizio delle loro funzioni, sulla base della normativa europea e nazionale; né tale accesso può essere negato sulla base del fatto che i dati vengano trattati da un diverso stato membro.

Al contrario, è favorita la cooperazione fra le autorità competenti, in particolare nei casi in cui l’autorità riscontri difficoltà nell’ottenimento dei dati richiesti.

I soggetti a cui viene richiesto di fornire tali dati, siano essi persone fisiche o giuridiche, sono tenuti a consentire e garantire l’accesso elettronico effettivo ai dati, non essendo rilevante in quale stato membro il trattamento sia effettuato.

In caso di inadempimento, nei casi di denegato accesso ai dati richiesti – possono essere irrogate sanzioni – effettive, proporzionate e dissuasive – da parte degli stati membri.

Il concetto di libera trasferibilità richiama fortemente il concetto di portabilità ed il relativo diritto degli interessati di cui all’art. 20, GDPR.

La portabilità dei dati è, infatti, una tappa fondamentale nel cammino verso la libertà di circolazione dei dati non personali nel mercato interno, aumentando la concorrenza fra i diversi soggetti fornitori di servizi.

È però necessario che l’utente effettui scelte consapevoli e informate, dovendo poter “confrontare facilmente i singoli elementi dei servizi di trattamento di dati offerti nel mercato interno, anche sotto il profilo delle clausole e condizioni contrattuali di portabilità dei dati al termine del contratto”.

Lo sviluppo tecnologico europeo necessita di dati di qualità: solo così potrà davvero fare concorrenza a livello globale.

Le Linee Guida chiariscono il concetto di portabilità, precisando il riferimento al diritto dell’interessato ad ottenere dal titolare i propri dati, in un formato che sia strutturato, di uso comune e leggibile elettronicamente, in modo da poterli trasferire ad un diverso titolare; tutto ciò assicura all’interessato la libertà di poter optare, senza particolari adempimenti formali, fra diversi fornitori di servizi.

Con riferimento ai dati non personali, dunque, la portabilità si riferisce principalmente alle interazioni business-to-business, fra fornitori di servizi e utenti professionali. Solo così possono combattersi le pratiche di vendor lock-in.

Dati personali, dati non personali e dati composti

Con riferimento al rapporto fra il Regolamento 1807 ed il GDPR, le Linee Guida recentemente pubblicate specificano che i dati non personali possono essere catalogati secondo la loro provenienza e precisamente:

  • quelli che, ab origine, non si riferiscono ad un soggetto identificato o identificabile (ad esempio, dati relativi alle esigenze di manutenzione dei macchinari industriali);
  • quelli che, sebbene nati come dati personali, sono stati sottoposti ad anonimizzazione, pur essendo sempre necessario valutare di volta in volta se i dati siano stati adeguatamente anonimizzati e non sia più possibile risalire al soggetto cui appartengono: a titolo di esempio, le Linee Guida specificano che “se una relazione di controllo della qualità su una linea di produzione rende possibile associare i dati a specifici operai, i dati sarebbero considerati dati personali”, risultando quindi necessario effettuare il trattamento ai sensi del GDPR. Da sottolineare che essendo i dati personali riferiti alle persone fisiche, in linea di principio i dati relativi a persone giuridiche sono da considerarsi quali dati non personali (salve le dovute eccezioni). Ancora è da precisare che i dati oggetto di pseudonimizzazione devono essere trattati secondo le previsioni del GDPR (in quanto potrebbero comunque essere riconducibili direttamente o indirettamente ad un soggetto persona fisica); al contrario, i dati anonimizzati rientrano fra le categorie di dati soggette alla normativa prevista dal nuovo Regolamento, dal momento che in questi casi il processo di individuazione del soggetto cui appartengono tali dati è molto più difficoltoso, se non impossibile. Peraltro, la possibilità di ricondurre i dati anonimizzati all’interessato è da valutarsi non solo sulla base delle tecnologie esistenti al momento, ma altresì sulla base dello sviluppo tecnologico, di conseguenza sarà necessario effettuare la valutazione in modo periodico e prendendo in esame diversi fattori. Come chiarito dal Regolamento infatti, “se i progressi tecnologici consentono di trasformare dati anonimizzati in dati personali, tali dati sono trattati come dati personali e si applica di conseguenza il regolamento (UE) 2016/679.”

Il problema sorge nel momento in cui non risulta possibile scindere con certezza i dati personali da quelli non personali.

Quale disciplina applicare nel caso di insieme di dati composti? Il dubbio è risolto al comma 2 dell’art. 1, Regolamento 1807: lo stesso si applicherà solamente “alla parte dell’insieme contenente i dati non personali”.

Nel caso in cui le due tipologie di dati siano indissolubilmente legate tra loro, il Regolamento 1807 non pregiudica l’applicazione del GDPR.

Il concetto del legame indissolubile si riferisce a casi in cui la separazione dei dati non personali da quelli personali risulta impossibile, economicamente inefficiente per il titolare, non tecnicamente realizzabile dallo stesso o qualora dalla separazione possa derivare una compromissione del loro valore.

Per comprendere quindi quale normativa sia applicabile, sarà necessario procedere ad un’analisi caso per caso dei dati oggetto di trattamento. Insiemi di dati misti sono citati nelle Linee Guida, le quali elencano, a titolo di esempio, documenti fiscali delle società, quando contengono nome e dati di contatto dell’amministratore delegato; dati statistici anonimizzati ed utilizzati a fini di ricerca, trattati assieme a dati personali, quali le risposte dei singoli intervistati alle domande dell’indagine statistica; dati sanitari contenuti nelle cartelle cliniche elettroniche.

Sotto questo profilo, l’esercizio del diritto alla portabilità (su dati personali e non personali) può diventare un vero e proprio incubo: basti pensare al caso in cui si decida di cambiare fornitore di servizi cloud, trasferendo così tutti i dati dal precedente fornitore al nuovo.

Fra questi dati è possibile che vi siano anche dati personali, con la conseguenza che il fornitore dovrebbe rispettare sia gli obblighi contenuti nel GDPR sia le prescrizioni del Regolamento 1807.

Benefici dell’uniformità: l’esempio dell’agricoltura digitale

Rimuovere gli ostacoli relativi alla localizzazione dei dati risulta essere uno dei fattori più importanti per permettere all’economia dei dati di svilupparsi e di crescere, sfruttando appieno il proprio potenziale.

La rimozione delle barriere dovrebbe assicurare alle imprese una maggiore flessibilità nell’organizzazione della gestione dei trattamenti effettuati, espandendo al contempo le loro possibilità di scelta per quel che concerne i fornitori e offrendo indirettamente ai cittadini / consumatori i benefici indiretti di una più ampia competitività non soltanto in ambito europeo ma anche e soprattutto a livello globale.

Molti sono i settori che potranno trarre beneficio dal libero mercato dei dati: i più ovvi, forse, quelli della grande distribuzione e del settore finanziario.

Un esempio illuminante tra i tanti, di non immediata recettività, è rappresentato dall’agricoltura digitale: nel corso dell’ultimo decennio la spinta alla specializzazione dell’agricoltura – in termini di sostenibilità e circolarità dell’uso di tecnologie avanzate e di grandi quantità di dati – ha comportato una forte espansione tecnologica ed organizzativa, con ampie prospettive di crescita, non solo nell’ambito delle condizioni climatiche e biosanitarie, ma anche e soprattutto nell’utilizzo di applicazioni tecnologiche su tutta la filiera agroindustriale, dalla fase della coltivazione (precision agriculture) sino a quella del consumo (anche attraverso acquisti on line), passando attraverso le fasi di lavorazione industriale (automation e robotics), confezionamento (smart labelling), vendita e marketing (siti di e-commerce) e logistica.

Gli attori operanti nel settore agricolo potranno sempre più far uso di (e contare su) una grande quantità di dati, ad integrazione del patrimonio di conoscenza che fino a non molti anni fa era demandato alla “tradizione orale” (spesso familiare) ed all’esperienza quotidiana del contatto con la propria terra.

Anche l’azienda agricola è divenuta innovativa e in grado di utilizzare ed avvalersi di tecnologie avanzate per allargare il campo della conoscenza e del know-how necessario ad incrementare la propria redditività.

Quanto più ampia la possibilità del trasferimento delle informazioni e dei dati (non personali), attraverso l’utilizzo di applicazioni in cloud, algoritmi, sistemi di data analysis e di nuove tecnologie (sensori, sistemi di monitoraggio e controllo, IoT, strumenti di controllo dell’uso delle acqua, della luce, del calore, dell’alimentazione degli animali ecc.), tanto maggiore e più rapido sarà il superamento di barriere culturali ed il miglioramento delle condizioni ambientali e di utilizzo (e riciclo) delle risorse.

E d’altronde, la tecnologia ha e sempre più avrà un impatto non solo sul singolo agricoltore, ma anche soprattutto sulla determinazione delle politiche nazionali e locali di pianificazione del territorio, di gestione delle risorse, sul livello di competitività della produzione agricola, in termini qualitativi e di definizione dei costi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5