REGOLAMENTO SULLA LIBERA CIRCOLAZIONE DEI DATI NON PERSONALI: LINEE GUIDA

Per potenziare ulteriormente lo scambio transfrontaliero dei dati e promuovere l’economia dei dati, a novembre 2018 il Parlamento europeo e il Consiglio hanno adottato il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla Libera circolazione dei dati non personali nell’Unione europea.

Il regolamento si applica a decorrere dal 28 maggio 2019.

Il Comitato Europeo per la Protezione dei Dati ha pubblicato le sue Linee Guida del 29.05.2019 sui codici di condotta e gli organismi di controllo ai sensi del Regolamento generale sulla protezione dei dati e del Regolamento sulla libera circolazione dei dati non personali. Queste linee guida comprendono informazioni sull’elaborazione dei codici di condotta e sui criteri per la loro approvazione e altre informazioni utili.

Il principio della libera circolazione dei dati personali è già sancito nel regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (il “regolamento generale sulla protezione dei dati”). Ora esiste un quadro globale per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea.

Il regolamento sulla libera circolazione dei dati non personali garantisce la certezza del diritto alle imprese per quanto concerne il trattamento dei loro dati in qualsiasi luogo dell’UE. Grazie ai due regolamenti, i dati possono circolare liberamente tra gli Stati membri, consentendo agli utenti dei servizi di trattamento di dati di utilizzare i dati raccolti nei diversi mercati dell’UE per migliorare la loro produttività e competitività.

Aspetti significativi regolamento libera circolazione dei dati non personali

Il regolamento sulla libera circolazione dei dati non personali è caratterizzato da tre aspetti significativi:

 

  1. vieta, di regola, agli Stati membri di imporre obblighi sui luoghi in cui i dati dovrebbero essere localizzati; eccezioni a questa regola possono essere giustificate solo per motivi di sicurezza pubblica nel rispetto del principio di proporzionalità;
  2. istituisce un meccanismo di cooperazione per garantire che le autorità competenti continuino a poter esercitare tutti i diritti di cui godono per quanto riguarda l’accesso ai dati trattati in un altro Stato membro;
  3. prevede incentivi per l’industria, con il sostegno della Commissione, nell’intento di sviluppare codici di autoregolamentazione sul cambio di fornitore di servizi e la portabilità dei dati.

 

Interazione tra questo regolamento e il regolamento generale sulla protezione dei dati

 

Le presenti linee guida hanno lo scopo di orientare il lettore sull’interazione tra il regolamento sulla libera circolazione dei dati non personali e il regolamento generale sulla protezione dei dati, “in particolare per quanto concerne gli insiemi di dati composti sia da dati personali che da dati non personali”.

 

In particolare ci occuperemo di:

 

  1. concetti di dati personali e dati non personali;
  2. principi della libera circolazione dei dati e del divieto di qualsiasi obbligo di localizzazione dei dati ai sensi di entrambi i regolamenti;
  • nozione di portabilità dei dati secondo il regolamento sulla libera circolazione dei dati non personali;
  1. requisiti di autoregolamentazione stabiliti nei due regolamenti.

 

 

L’interazione tra il regolamento sulla libera circolazione dei dati non personali e il regolamento generale sulla protezione dei dati – gli insiemi di dati misti

 

Nella maggior parte delle situazioni della vita reale, un insieme di dati è generalmente composto sia da dati personali che da dati non personali. Per designare questo caso si utilizza il termine “insieme di dati misti”.

 

Il regolamento sulla libera circolazione dei dati non personali intende garantire la libera circolazione dei dati diversi dai dati personali. Il regolamento utilizza in tutto il testo il termine “dati”, il quale dovrebbe essere inteso come “dati diversi dai dati personali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679”. Tali dati, che sono anche indicati in questo documento come “dati non personali“, sono definiti in contrapposizione (a contrario) ai dati personali, come stabilito nel regolamento generale sulla protezione dei dati.

Dati personali

 

Il regolamento generale sulla protezione dei dati specifica che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. L’ampia definizione di dati personali è intenzionale.

 

È pratica comune, in settori come ad esempio la ricerca, ricorrere a pseudonimi per i dati personali al fine da nascondere l’identità di un soggetto. La pseudonimizzazione consiste nel trattamento dei dati personali in modo tale che non sia più possibile attribuirli a un interessato specifico senza l’utilizzo di informazioni aggiuntive. Queste informazioni aggiuntive sono conservate separatamente e protette da misure tecniche o organizzative (ad es. cifratura). Tuttavia, i dati pseudonimizzati, sono comunque considerati informazioni su una persona identificabile, se possono essere attribuiti a questo soggetto utilizzando informazioni aggiuntive. Secondo il regolamento generale sulla protezione dei dati, tali dati sono considerati dati personali.

 

Dati non personali

 

Laddove i dati non siano “dati personali”, secondo quanto stabilito dal regolamento generale sulla protezione dei dati, essi costituiscono dati non personali. I dati non personali possono essere classificati in base alla loro origine come:

 

  1. dati che in origine non si riferivano a una persona fisica identificata o identificabile, come i dati sulle condizioni meteorologiche prodotti da sensori installati sulle turbine eoliche o i dati sulle esigenze di manutenzione delle macchine industriali;
  2. dati che inizialmente erano dati personali, ma che poi sono stati resi anonimi. L'”anonimizzazione” dei dati personali è diversa dalla pseudonimizzazione di cui sopra, in quanto i dati che sono stati resi anonimi in modo adeguato non possono essere attribuiti a una persona specifica, neppure ricorrendo a informazioni aggiuntive e sono pertanto dati non personali.

 

La valutazione se i dati siano stati adeguatamente resi anonimi dipende dalle condizioni specifiche ed uniche di ogni singolo caso.

 

Esempi di dati non personali

 

  1. I dati che sono aggregati fino a che i singoli eventi (quali i viaggi all’estero di una persona o i tipi di spostamenti che potrebbero costituire dati personali) non siano più identificabili possono essere considerati dati anonimi. I dati anonimi sono, ad esempio, utilizzati nelle statistiche o nelle relazioni sulle vendite (ad esempio per valutare la popolarità di un prodotto e delle sue caratteristiche).
  2. I dati del trading ad alta frequenza nel settore finanziario o i dati sull’agricoltura di precisione che aiutano a monitorare e a ottimizzare l’uso di pesticidi, nutrienti e acqua.

 

Tuttavia, se i dati non personali possono essere associati in qualsiasi modo a una persona, facendo sì che essa sia direttamente o indirettamente identificabile, questi devono essere considerati dati personali.

 

Ad esempio, se una relazione di controllo della qualità su una linea di produzione rende possibile associare i dati a specifici operai (ad es. coloro che stabiliscono i parametri di produzione), i dati sarebbero considerati dati personali e si deve applicare il regolamento generale sulla protezione dei dati.

 

Poiché la definizione di dati personali si riferisce alle “persone fisiche“, gli insiemi di dati che contengono i nomi e i dati di contatto delle persone giuridiche sono in linea di principio dati non personali. Tuttavia, in alcuni casi specifici, possono costituire dati personali. Questo si verifica se, ad esempio, il nome della persona giuridica corrisponde a quello della persona fisica che lo possiede o se le informazioni si riferiscono a una persona fisica identificata o identificabile.

 

Insiemi di dati misti

 

Il regolamento sulla libera circolazione dei dati non personali e il regolamento generale sulla protezione dei dati affrontano il tema della libera circolazione dei dati nell’UE da due diversi punti di vista.

 

Il primo impone un divieto generale degli obblighi di localizzazione dei dati, per i dati non personali. L’articolo 4, paragrafo 1, del regolamento vieta gli obblighi di localizzazione dei dati, a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità.

 

Il secondo assicura un alto livello di protezione dei dati personali e garantisce la libera circolazione dei dati personali. Ai sensi dell’articolo 1, paragrafo 3, del regolamento, la libera circolazione dei dati personali “non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.

 

Insieme, i due regolamenti dispongono la libera circolazione di “tutti” i dati nell’UE.

 

I dati misti sono sia dati personali che dati non personali. I dati misti rappresentano la maggior parte degli insiemi di dati utilizzati nell’economia dei dati e sono comuni a causa degli sviluppi tecnologici, come l’Internet delle cose (ad es. oggetti che si connettono digitalmente), l’intelligenza artificiale e le tecnologie che consentono l’analisi dei megadati.

 

Esempi di insiemi di dati misti

 

  1. un documento fiscale di un’impresa, che contiene il nome e il numero di telefono dell’amministratore delegato;
  2. insiemi di dati di una banca, in particolare quelli che contengono informazioni sui clienti e dettagli delle transazioni, come servizi di pagamento (carte di credito e di debito), applicazioni di partner relationship management (PRM) e contratti di prestito, documenti che includono dati misti relativi sia a persone fisiche che giuridiche;
  3. dati statistici resi anonimi di un istituto di ricerca e dati non trattati inizialmente raccolti, come le risposte dei singoli intervistati alle domande di un’indagine statistica;
  4. una banca dati di conoscenze di un’impresa riguardante i problemi IT e le loro soluzioni basate sulle singole relazioni degli incidenti informatici;
  5. dati relativi all’Internet delle cose, dove alcuni dati consentono di fare ipotesi sulle persone identificabili (ad es. presenza a un particolare indirizzo e modelli di utilizzo);
  6. analisi dei dati del registro operativo delle attrezzature di produzione nell’industria manifatturiera.

 

In riferimento agli insiemi di dati misti, il regolamento sulla libera circolazione dei dati non personali dispone che:

 

“Nel caso di un insieme di dati composto sia da dati personali che da dati non personali, il presente regolamento si applica alla parte dell’insieme contenente i dati non personali. Qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati, il presente regolamento lascia impregiudicata l’applicazione del regolamento (UE) 2016/679.”

 

Trattamento dei dati sanitari

 

I dati sanitari possono rientrare in un insieme di dati misti. Tra gli esempi figurano le cartelle cliniche elettroniche, le sperimentazioni cliniche o gli insieme di dati raccolti dalle varie applicazioni mobili per la salute e il benessere (come le applicazioni per misurare il proprio stato di salute, per ricordarci di prendere le medicine o per rilevare i progressi nella forma fisica).

 

La divisione esatta tra dati personali e dati non personali in questi insiemi di dati sta diventando sempre più indistinta con gli sviluppi tecnologici. Pertanto, il loro trattamento deve essere conforme al regolamento generale sulla protezione dei dati, in particolare (dal momento che i dati sanitari rappresentano una categoria particolare di dati secondo il regolamento) all’articolo 9 che stabilisce un divieto generale di trattamento di categorie particolari di dati e le eccezioni a questo divieto.

 

I dati negli insiemi di dati misti contenenti dati sanitari possono essere una preziosa fonte d’informazione, ad es. per ulteriori ricerche mediche, per misurare gli effetti collaterali di un medicinale prescritto, per ottenere statistiche sulle malattie o per sviluppare nuovi servizi o trattamenti sanitari. Tuttavia, occorre ottemperare al regolamento generale sulla protezione dei dati quando si effettua il trattamento iniziale nonché ulteriori trattamenti dei dati. Pertanto, un qualsiasi trattamento simile di dati sanitari deve avere una base giuridica valida e una motivazione adeguata, essere sicuro e fornire garanzie sufficienti.

 

Libera circolazione dei dati e rimozione degli obblighi di localizzazione dei dati

 

In questo paragrafo il regolamento si occupa degli obblighi di localizzazione dei dati secondo il regolamento sulla libera circolazione dei dati non personali e del principio della libera circolazione nel regolamento generale sulla protezione dei dati. Gli obblighi si riferiscono agli Stati Membri, ma è importante anche per le imprese, così da avere un quadro più preciso.

 

Libera circolazione dei dati non personali

 

Il regolamento sulla libera circolazione dei dati non personali prevede che “gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità”.

 

Gli obblighi di localizzazione dei dati sono definiti come “qualsiasi obbligo, divieto, condizione, limite o altro requisito, previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante dalle prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico, anche nell’ambito degli appalti pubblici, fatta salva la direttiva 2014/24/UE, che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro” .

 

Emerge quindi che le misure che limitano la libera circolazione dei dati nell’UE possono assumere varie forme. Esse possono essere previste da disposizioni legislative, regolamentari o amministrative o anche risultare da prassi amministrative. Inoltre, il divieto di qualsiasi obbligo di localizzazione dei dati riguarda le misure sia dirette che indirette che possano limitare la libera circolazione dei dati non personali.

 

Gli obblighi di localizzazione dei dati diretti possono, ad esempio, consistere nell’obbligo di conservare i dati in una specifica posizione geografica (ad es. i server devono essere situati in uno specifico Stato membro) o nell’obbligo di conformarsi a requisiti tecnici nazionali unici (ad es. i dati devono utilizzare specifici formati nazionali).

 

Gli obblighi di localizzazione dei dati indiretti, che ostacolerebbero il trattamento dei dati non personali in qualsiasi altro Stato membro, possono presentarsi in forme diverse. Essi possono includere l’obbligo di utilizzare dispositivi tecnologici che siano certificati o omologati in un determinato Stato membro o altri requisiti che producono l’effetto di rendere più difficile trattare dati al di fuori di un determinato territorio o area geografica all’interno dell’Unione.

 

 

Per valutare se una determinata misura rappresenti un obbligo di localizzazione dei dati indiretto si deve tenere conto delle circostanze specifiche di ogni caso.

Il regolamento sulla libera circolazione dei dati non personali fa riferimento al concetto di pubblica sicurezza. La pubblica sicurezza riguarda la sicurezza sia interna che esterna di uno Stato membro, come pure le questioni di incolumità pubblica, in particolare al fine di agevolare le indagini, l’accertamento e il perseguimento di reati. Presuppone l’esistenza di una minaccia reale e sufficientemente grave a uno degli interessi fondamentali della società. Ad esempio al funzionamento delle istituzioni e dei servizi pubblici essenziali, all’incolumità della popolazione, il rischio di perturbazioni gravi dei rapporti internazionali o della coesistenza pacifica dei popoli, o il pregiudizio agli interessi militari. Qualsiasi obbligo di localizzazione dei dati giustificato per motivi di sicurezza pubblica deve essere proporzionato.

 

Il regolamento sulla libera circolazione dei dati non personali non impone alcun obbligo alle imprese né limita la loro libertà contrattuale nel decidere dove i loro dati devono essere trattati.

Gli Stati membri sono tenuti a rendere pubblico qualsiasi obbligo di localizzazione dei dati applicabile nel loro territorio su un portale unico nazionale on line d’informazione (siti web nazionali). Essi devono tenerlo aggiornato oppure fornire informazioni aggiornate a un punto informativo centrale istituito da un altro atto dell’UE. Per comodità delle imprese e per garantire loro un facile accesso alle informazioni pertinenti in tutta l’UE, la Commissione pubblicherà collegamenti a questi punti d’informazione sul portale “La tua Europa”.

 

La portabilità dei dati e il cambio di fornitori di servizi cloud

 

Una delle finalità principali del regolamento sulla libera circolazione dei dati non personali è di evitare le pratiche di “vendor lock-in”. Queste pratiche si verificano quando gli utenti non possono cambiare il fornitore di servizi, perché i loro dati sono “bloccati” nel sistema del fornitore, ad esempio a causa di uno specifico formato dei dati o di accordi contrattuali, e non possono essere trasferiti al di fuori del suo sistema informatico. La portabilità dei dati senza impedimenti è uno degli elementi fondamentali che consente agli utenti di scegliere liberamente tra i fornitori di servizi di trattamento di dati e garantisce quindi la concorrenza effettiva nei mercati.

La portabilità dei dati tra le imprese sta acquisendo un’importanza crescente in numerose industrie digitali, tra cui i servizi cloud.

 

Secondo l’articolo 6 del regolamento sulla libera circolazione dei dati non personali, la Commissione incoraggia e facilita l’elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione (“codici di condotta”), al fine di contribuire a un’economia dei dati competitiva.

 

La nozione di portabilità e l’interazione con il regolamento generale sulla protezione dei dati

 

Entrambi i regolamenti fanno riferimento alla portabilità dei dati e hanno lo scopo di agevolare il loro trasferimento da un ambiente IT a un altro, ad es. verso un altro sistema del fornitore o verso sistemi in loco. Ciò impedisce le pratiche di “vendor lock-in” e promuove la concorrenza tra i fornitori di servizi. Tuttavia, i regolamenti hanno un diverso approccio alla portabilità per quanto concerne il legame tra i gruppi d’interesse a cui si rivolgono e la natura giuridica delle disposizioni.

 

Il diritto alla portabilità dei dati personali ai sensi dell’articolo 20 del regolamento generale sulla protezione dei dati si concentra sul rapporto tra l’interessato e il titolare del trattamento. Esso riguarda il diritto dell’interessato di ricevere i dati personali che ha fornito al titolare del trattamento in un formato strutturato, di uso comune e leggibile elettronicamente e di trasmettere tali dati a un altro titolare del trattamento o alle proprie capacità di stoccaggio senza impedimenti da parte del titolare del trattamento cui li ha forniti. Generalmente, gli interessati in questo rapporto sono i fruitori di vari servizi online che desiderano cambiare il fornitore di questi servizi.

 

L’articolo 6 del regolamento sulla libera circolazione dei dati non personali non prevede il diritto degli utenti professionali di trasferire i dati, ma introduce un approccio di autoregolamentazione con codici volontari di condotta per il settore. Al contempo, esso è rivolto ai casi in cui un utente professionale ha esternalizzato il trattamento dei suoi dati a terzi che offrono un servizio di trattamento di dati. Conformemente all’articolo 3, punto 8, del regolamento sulla libera circolazione dei dati non personali, un “utente professionale” può comprendere “una persona fisica o giuridica, compreso un’autorità pubblica e un organismo di diritto pubblico, che utilizza o richiede servizi di trattamento di dati per fini connessi alla sua attività commerciale, industriale, artigianale, professionale o a una sua funzione”.

 

In pratica, la portabilità dei dati ai sensi dell’articolo 6 del regolamento sulla libera circolazione dei dati non personali riguarda le interazioni business-to-business tra un utente professionale (il quale, nei casi che includono il trattamento dei dati personali, può qualificarsi come “titolare del trattamento” in conformità al regolamento generale sulla protezione dei dati) e un fornitore di servizi (analogamente, da considerarsi in alcuni casi il “responsabile del trattamento”).

 

Esempio

 

Un’impresa che usa un servizio cloud decide di cambiare il fornitore di tale servizio e di trasferire tutti i dati a un nuovo fornitore. Il cambio del fornitore e la portabilità dei dati sono disciplinati dal contratto tra il cliente e il fornitore di servizi cloud. Se il precedente fornitore di servizi cloud aderisce al codice di condotta sviluppato nel quadro del regolamento sulla libera circolazione dei dati non personali, la portabilità dei dati deve avvenire nel rispetto degli obblighi ivi previsti.

Se tra gli insiemi di dati da trasferire vi sono anche dati personali, la portabilità deve osservare tutte le disposizioni pertinenti del regolamento generale sulla protezione dei dati, in particolare garantire che il nuovo fornitore di servizi cloud rispetti gli obblighi applicabili, quali la sicurezza.

 

Codici di condotta e sistemi di certificazione in materia di protezione dei dati personali

 

Per dimostrare la conformità con gli obblighi previsti dal regolamento generale sulla protezione dei dati (cfr. articolo 24, paragrafo 3, e articolo 28, paragrafo 5) possono essere utilizzati codici di condotta e sistemi di certificazione.

 

In conformità all’articolo 40, paragrafo 1, e all’articolo 42, paragrafo 1, del regolamento generale sulla protezione dei dati, gli Stati membri, le autorità di controllo, il comitato europeo per la protezione dei dati e la Commissione dovrebbero incoraggiare il settore a sviluppare codici di condotta e stabilire meccanismi di certificazione in materia di protezione dei dati.

Le associazioni o altre organizzazioni rappresentanti categorie specifiche di titolari del trattamento o di responsabili del trattamento possono elaborare codici di condotta per il settore in questione. Un progetto del codice deve essere presentato alla rispettiva autorità di controllo competente per essere approvato. Se il progetto riguarda attività di trattamento in diversi Stati membri, l’autorità di controllo deve sottoporlo al comitato europeo per la protezione dei dati prima di approvarlo.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

This site uses Akismet to reduce spam. Learn how your comment data is processed.