Il 28 novembre scorso è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento 2018/1807 recante disposizioni in materia di circolazione dei dati non personali nel territorio degli Stati membri UE; entrato in vigore il 18 dicembre, esso diverrà direttamente applicabile solo il prossimo 18 maggio 2019. Questo regolamento rappresenta un ulteriore tassello verso la creazione di uno spazio comune europeo dei dati, personali e non personali, da aggiungersi a quello già posto lo scorso 25 maggio con il Regolamento UE/679/2016 in materia di privacy e protezione dei dati personali (meglio noto come G.D.P.R., General Data Protection Regulation). A questo regolamento si fa riferimento non per cancellare notizie da Google, ma per rimuovere dati aziendali e, in generale, cancellare dati non personali da Internet.
L’obiettivo del Regolamento è infatti quello di creare un mercato unico digitale, attraverso una data economy che faciliti lo sviluppo dell’intelligenza artificiale e del cloud computing; allo stesso tempo, il Legislatore europeo ha voluto altresì assicurare che la disciplina dettata in materia di archiviazione dei dati di persone fisiche e/o giuridiche (ivi compresi, soprattutto, i requisiti di sicurezza necessari) fosse uniforme e concorde tra tutti gli Stati membri europei.
Perchè si è reso necessario un nuovo Regolamento? Quali sono gli ostacoli alla libera circolazione dei dati non personali? La principale restrizione ad un flusso libero dei dati non personali all’interno del territorio dell’U.E. è rappresentato dalla sussistenza, ad oggi, di importanti differenze normative tra l’archiviazione e l’elaborazione dei dati tra gli Stati membri; la non omogeneità regolamentare ha fino ad oggi impedito di liberare gli scambi dei dati non personali, così di fatto impedendo la creazione di un vero ed effettivo mercato unico digitale.
I principali strumenti introdotti dal nuovo Regolamento mirano quindi al raggiungimento di ampi margini di garanzia della libera circolazione dei dati, attraverso la predisposizione di obblighi di localizzazione dei dati, la messa a disposizione dei dati alle autorità competenti e la portabilità dei dati per gli utenti professionali.
Ma quali sono i dati non personali?
Per la definizione dei dati in questione il Regolamento 2018/1807 richiama innanzitutto le disposizioni contenute nel Regolamento “gemello” sui dati personali.
Secondo quanto previsto dall’art. 3, p. 1, devono considerarsi non personali i dati “diversi dai dati personali” di cui all’art.4, p. 1, G.D.P.R.; stante la lacunosità di tale definizione, occorre richiamare altresì il Considerando 9 del medesimo Regolamento, a norma del quale “L’espansione dell’Internet degli oggetti, l’intelligenza artificiale e l’apprendimento automatico rappresentano fonti importanti di dati non personali, ad esempio a seguito del loro utilizzo in processi automatizzati di produzione industriale. Fra gli esempi specifici di dati non personali figurano gli insiemi di dati aggregati e anonimizzati usati per l’analisi dei megadati, i dati sull’agricoltura di precisione che possono contribuire a monitorare e ottimizzare l’uso di pesticidi e acqua, o i dati sulle esigenze di manutenzione delle macchine industriali. Se i progressi tecnologici consentono di trasformare dati anonimizzati in dati personali, tali dati sono trattati come dati personali e si applica di conseguenza il regolamento (UE) 2016/679”.
Inoltre, secondo quanto previsto dal Considerando 17, il Regolamento “dovrebbe intendere i trattamenti di dati nell’accezione più ampia possibile, indipendentemente dal tipo di sistema della tecnologia dell’informazione utilizzato e sia che tali operazioni siano effettuate nei locali dell’utente o siano esternalizzate ad un fornitore di servizi. Esso dovrebbe contemplare il trattamento di dati a diversi livelli di intensità, dall’archiviazione (Infrastructure-as-a-Service – IaaS) al trattamento di dati su piattaforme (Platform-as-a-Service – PaaS) o in applicazioni (Software-as-a-Service – SaaS)”.
Pertanto, alla luce di tutto quanto detto il Regolamento 2018/1807 diverrà la base giuridica per il trattamento dei dati elettronici diversi da quelli personali che sono forniti come servizio ad utenti residenti o stabiliti nell’UE (a prescindere dal fatto che il fornitore di servizi sia o non sia stabilito nell’UE) o che sia svolto da una persona fisica e/o giuridica, residente o stabilito nell’UE, per il perseguimento di esigenze proprie.
Appare subito chiaro come tale normativa escluda il trattamento dei dati effettuato al di fuori del territorio dell’Unione Europea, così di fatto limitando territorialmente il suo ambito operativo. La sua operatività territoriale rappresenta un’importante differenza con quanto previsto in materia di dati personali: infatti, le norme contenute nel G.D.P.R. sono al contrario applicabili ad ogni trattamento effettuato “nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
A prescindere da tale distinzione, merita un accenno la previsione di una disciplina specifica per i cosiddetti “dati misti”, ovvero di quelli costituiti sia da dati personali che non personali; qualora il trattamento abbia ad oggetto tali dati, il nuovo Regolamento 2018/1807 si applicherà solo a quelli non personali, altrimenti, qualora i dati non personali e personali siano indissolubilmente legati, resterà impregiudicata l’applicazione del G.D.P.R.
GDPR AZIENDE: CLICCA QUI PER LEGGERE IL NUOVO REGOLAMENTO UE
