Nell’ultimo anno abbiamo sentito parlare costantemente e diffusamente di dati personali, della loro difesa e tutela, e di tutte le applicazioni normative che hanno fatto seguito all’emanazione del GDPR.
Ad un anno esatto di distanza dall’entrata in vigore del GDPR, il 28 maggio di quest’anno, è entrato in vigore il Regolamento (UE) 2018/1807, relativo alla libera circolazione dei dati non personali nell’Unione Europea. Nove articoli finalizzati ad abbattere le attuali barriere alla libera circolazione dei dati non personali in Europa; ma cosa sono i dati non personali?
I dati non personali
I dati non personali rappresentano la particolare categoria di dati costituita da informazioni elettroniche che non possono essere ricondotte ad una persona fisica identificata o identificabile (o anonime in quanto tali), utilizzate per l'analisi di big data, nell'agricoltura di precisione (pesticidi e acqua) o nella tecnologia IoT (considerando 9 del Regolamento).
Limiti alla circolazione dei dati non personali
L’elaborazione e l’archiviazione dei dati, nucleo cruciale del progresso tecnologico in atto e di tutte le innovazioni, nate e nascenti, ha incontrato non pochi ostacoli, tra cui:
- la "localizzazione dei dati" imposta dagli Stati membri
- espedienti legali di compagnie private finalizzati ad ostacolare il passaggio ad altro fornitore di servizi
Il Regolamento (UE) 2018/1807 ha inteso facilitare lo scambio transfrontaliero dei dati non personali con l'obiettivo di realizzare una economia digitale dei dati più fluida e veloce, pur non impedendo alle autorità competenti di richiedere o ottenerne l'accesso in conformità al Diritto dell'Unione Europea o nazionale.
Requisiti di localizzazione dei dati
Una questione primaria in tema di dati non personali introdotta dal Regolamento UE 2018/1807 è stata quella relativa ai "requisiti di localizzazione dei dati": obblighi imposti dagli Stati membri alle società di ospitare centri dati nel territorio nazionale di uno Stato membro, contestualmente all'obbligo di trattare i dati a livello nazionale. Tali imposizioni hanno ostacolato l'emergere di innovation hub, moltiplicando le infrastrutture IT in più Stati membri e comportando un notevole innalzamento dei costi relativi all'archiviazione dei dati.
Il Regolamento (UE) 2018/1807 vieta agli Stati membri l'imposizione di requisiti di localizzazione dei dati o di obblighi di elaborazione dei dati a livello nazionale, a meno di giustificati motivi di sicurezza pubblica, nel rispetto del principio di proporzionalità ai sensi del Diritto dell’Unione Europea: art. 4.1 del Regolamento.
Portabilità dei dati non personali
Per facilitare il cambio fornitore da parte degli utenti, e bypassare quello che viene definito "il blocco fornitori” (pratiche di vendor lock-in), il Regolamento (UE) 2018/1807 promuove lo sviluppo di codici di condotta di autoregolamentazione da parte delle aziende nell'Unione Europea, improntati ai principi di trasparenza ed interoperabilità; i suddetti codici dovranno tenere in debito conto gli standard aperti e contemplare, tra le altre cose:
- le migliori prassi volte ad agevolare il cambio di fornitore di servizi e la portabilità dei dati non personali
- obblighi di informazione minimi circa le condizioni, le procedure e gli oneri connessi al cambio di fornitore
- sistemi di certificazione che agevolino il "confronto di prodotti e servizi di trattamento dei dati"
Applicabilità del GDPR ai dati non personali
Qualora ci si imbatta in un set di dati “misto”, composto cioè da dati personali e non personali, che non siano gestibili separatamente, il Regolamento (UE) 2018/1807 chiarisce la prevalenza dell’applicabilità del GDPR sull’intero set di dati.
Conclusioni: verso la "data economy"
Un uso combinato del Regolamento UE 2016/679 e di quello 2018/1807 sta avviando il progresso della cosiddetta “data-economy”.
Entro il 30 maggio 2021, gli Stati membri dovranno abrogare ogni obbligo di localizzazione dei dati che non sia giustificato da motivi di sicurezza pubblica nel rispetto del principio della proporzionalità, poiché la portabilità dei dati senza vincoli è uno dei pilastri della concorrenza del mercato dei servizi di trattamento dei dati.
Inoltre, pur non legiferando in tema di cyber sicurezza, Il Regolamento (UE) 2018/1807 pone l’accento sulle responsabilità delle imprese in materia di prevenzione, sicurezza, archiviazione ed elaborazione dei dati in contesti transfrontalieri.
Raffaella Aghemo
Anima Legale prestata al mondo della comunicazione e del business, esercita in sede stragiudiziale in ambito di diritto d'autore e di privacy; scrive articoli ed editoriali di diritto nel web 4.0. Ama condividere notizie e curiosità, oltre che approfondimenti, attraverso la stesura di numerosi editoriali, pubblicati su riviste di settore online o sui profili personali.
