La libera circolazione dei dati nell’UE: in arrivo un nuovo regolamento complementare al GDPR?

L’esigenza di avere una normativa comune anche per quanto concerne i dati non personali è stata affrontata dalla Commissione europea, che il 13 settembre 2017 ha presentato una prima proposta di un regolamento europeo relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea.

L’inarrestabile crescita del mercato digitale richiede che le nuove tecnologie digitali, come il cloud computing, l’intelligenza artificiale e l’internet degli oggetti (“internet of things”), siano regolamentate a livello europeo. Tali tecnologie, infatti, sono strumenti sempre più diffusi che permettono lo scambio tra Stati membri di dati elettronici, sia che siano dati personali sia che siano dati non personali.

Come ormai noto, in ambito di dati personali (ovvero quelle informazioni che permettono di identificare una persona fisica), l’Unione Europea si è già dotata di un quadro giuridico comune: dapprima con le direttive 95/46/CE (la cosiddetta “direttiva madre”) e 2002/58/CE (conosciuta come “direttiva e-privacy”), e recentemente con il Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati, noto con la sigla “GDPR”), divenuto applicabile il 25 maggio 2018, che ha abrogato la direttiva 95/46/CE. Si ricordi, infine, la prossima adozione di un ulteriore regolamento (il cosiddetto “Regolamento e-privacy”) che dovrebbe sostituire la direttiva e-privacy, con l’obiettivo di garantire una maggiore tutela dei dati trattati nella fornitura e nella fruizione di servizi di comunicazione elettronica. 

L’esigenza di avere una normativa comune anche per quanto concerne i dati non personali è stata affrontata dalla Commissione europea, che il 13 settembre 2017 ha presentato una prima proposta di un regolamento europeo relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea[1].

L’obiettivo è quello di introdurre una nuova normativa complementare al GDPR volta a migliorare la mobilità dei dati non personali a livello transfrontaliero, al fine di instaurare un mercato interno dei servizi e delle attività di archiviazione e trattamento di dati che sia più integrato e competitivo. Ad oggi, infatti, permangono ancora delle differenze normative tra gli Stati Membri in tema di immagazzinamento e archiviazione (cd. hosting) ed elaborazione di dati che comportano un freno significativo alla realizzazione di un mercato unico digitale.

La libera circolazione dei dati, infatti, è ostacolata da obblighi di localizzazione o da obblighi di sicurezza imposti dal diritto nazionale dei singoli Stati Membri. Ciò significa, in altre parole, che gli Stati UE possono da un lato obbligare gli organismi pubblici e privati a mantenere lo stoccaggio e l’elaborazione dei dati entro i confini nazionali, o comunque in un determinato territorio, e dall’altro limitare il diritto di stabilimento dei fornitori di servizi di archiviazione.

Ecco che, in particolare, la proposta di regolamento si rivolge ad aziende, di grandi o piccole dimensioni, e pubbliche amministrazioni, con l’obiettivo di creare i presupposti per questi soggetti di gestire le informazioni anche al di fuori dei confini nazionali, favorendo così ulteriormente la circolazione dei dati elettronici. 

Alcuni aspetti centrali della proposta di regolamento:

• la previsione di un nuovo principio che si affianca alle quattro tradizionali libertà di circolazione, ovvero quello della libera circolazione transfrontaliera dei dati non personali nell’Unione Europea. Si tratta a tutti gli effetti di una  vera e propria novità a livello di diritto dell’Unione europea dal momento che introduce la quinta libertà di circolazione nel mercato unico europeo, secondo cui dovrà essere vietato qualsiasi obbligo di localizzazione dei dati, fatti salvi i casi in ciò possa essere giustificato da motivi di sicurezza pubblica;
• il profilo della sicurezza dei dati. In particolare, la nuova normativa mira a garantire che i requisti di sicurezza relativi all’archiviazione applicati nello Stato membro di residenza o di stabilimento delle persone fisiche o giuridiche i cui dati sono trattati trovino applicazione anche per l’archiviazione di tali dati in un altro Stato Membro, anche alla luce della direttiva UE 2016/1148 in tema di sicurezza delle reti e dei sistemi informativi (cosiddetta “direttiva NIS”);
• l’utilizzo di strumenti di autoregolamentazione, quali i Codici di condotta, per garantire maggiore trasparenza a favore degli utenti sulle caratteristiche tecniche del servizio e sulla  portabilità dei dati verso un altro fornitore. 

Recentemente, la commissione con competenze sul Mercato interno e protezione dei consumatori del Parlamento Europeo ha adottato una prima bozza del nuovo regolamento, che nei prossimi mesi sarà oggetto di negoziazione tra le istituzioni europee secondo l’iter della procedura legislativa ordinaria per giungere quindi al testo finale[2]. 

La crescita del mercato digitale europeo e le nuove sfide che ne derivano, rende auspicabile che tale normativa venga adottata in tempi rapidi. 

1. (COM(2017)0495 – C8 - 0312/2017 – 2017/0228 (COD)). Il testo in italiano disponibile al sito https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0495&from=IT.

2. Il testo del report della Commissione per il Mercato Interno e la protezione dei consumatori del 6 giugno 2018 è disponibile qui.