Dai dati personali ai dati non personali: il quadro regolamentare per un’economia dei dati europea
1. Premessa
2. Le linee guida al regolamento relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea
a. Interazione tra il GDPR e il Regolamento e relativo ambito di applicazione
b. Libera circolazione dei dati non personali e divieto di obblighi di localizzazione
c. Portabilità dei dati e cambio dei fornitori dei servizi cloud
3. Conclusione
1. Premessa
Il rilevante cambiamento verificatosi all’interno delle imprese per effetto dei processi di digitalizzazione, fondato – come riconosciuto dal Garante per le Micro-PMI del Ministero dello sviluppo economico - “sullo sfruttamento di sempre più cospicue quantità di dati e informazioni e sul sempre più pervasivo utilizzo delle tecnologie digitali per interconnettere e far operare le risorse (macchinari, persone, dati) operanti all’interno della fabbrica e più in generale nell’intera catena del valore”, ha indotto l’UE ad elaborare un complesso di norme aggiornato al mutato scenario e incentrato sull’esigenza di garantire la libera circolazione dei dati tra gli Stati membri, al precipuo scopo di favorire lo sviluppo dell’economia digitale.
In tale quadro, il legislatore UE, da un lato, ha provveduto a emanare il Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (“GDPR”) – divenuto applicabile come noto dal 28 Maggio 2018 - adeguando alla mutata realtà l’assetto regolamentare in tema di protezione dei dati personali e, dall’altro, ha provveduto - più recentemente - ad emanare il Regolamento (UE) 2018/1807 del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea (“Regolamento”).
Tale Regolamento, la cui applicazione decorre dal 28 Maggio 2019, completa il quadro regolamentare finalizzato a disciplinare il contesto economico attuale, fondato su sistemi basati sui “dati”, in cui “i dati elettronici sono al centro di tali sistemi”.
Successivamente al Regolamento, la Commissione UE con una propria comunicazione ha emanato le “Linee guida sul regolamento relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea”, con cui ha indicato una serie di casi pratici e di prassi operative all’interno delle imprese, evidenziando l’ampio raggio di utilizzo dei dati, le possibili interconnessioni esistenti tra dati personali e dati non personali e la relativa disciplina applicabile.
2. Le linee guida sul regolamento relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea:
a. Interazione tra il GDPR e il Regolamento e relativo ambito di applicazione
La prima constatazione che emerge nelle linee guida della Commissione riguarda la valenza del Regolamento, quale atto integrativo del GDPR, unitamente al quale gli Stati membri dell’UE dispongono di “un quadro globale per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”.
Già il GDPR, nei propri considerando, aveva rilevato che “la tecnologia attuale consente tanto alle imprese quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività”, e che la stessa “ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione…”, espressamente riconoscendo che “tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione… data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno”.
Questa specifica esigenza trova esplicita conferma anche nel Regolamento, in cui, al considerando 10, è precisato che “a norma del regolamento UE 2016/679 gli Stati membri non possono limitare o vietare la libera circolazione dei dati personali all’interno dell’Unione per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di dati personali” e che alla stessa stregua “il presente regolamento sancisce il medesimo principio di libera circolazione all’interno dell’Unione per i dati non personali… specificando che “il regolamento (UE) 2016/679 e il presente regolamento forniscono un insieme coerente di norme che disciplinano la libera circolazione di diversi tipi di dati”.
Certamente, come riconosciuto dallo stesso legislatore UE con il Regolamento, i dati non personali sono diffusamente utilizzati – in particolare nell’ambito dei processi produttivi e gestionali delle imprese – e possono consistere, ad esempio, in insiemi di dati aggregati ed anonimizzati usati per l’analisi dei big data, nei dati sull’agricoltura di precisione utilizzati al fine di contribuire a monitorare ed ottimizzare l’uso di pesticidi e di acqua o nei dati sulle esigenze di manutenzione delle macchine industriali.
Più precisamente, la Commissione nelle proprie linee guida specifica che i dati non personali possono essere classificati come (i) “dati che in origine non si riferivano ad una persona fisica identificata o identificabile, come i dati sulle condizioni metereologiche prodotti da sensori installati sulle turbine eoliche o i dati sulle esigenze di manutenzione delle macchine industriali”; e (ii) “dati che inizialmente erano personali ma che poi sono stati resi anonimi”, nel senso che tali dati anonimizzati non possono più essere attribuiti ad una persona fisica specifica, neppure ricorrendo a informazioni aggiuntive, non rendendosi in tal modo possibile alcuna re - identificazione.
Da questo punto di vista, particolare attenzione deve essere prestata all’interno delle imprese nelle operazioni di qualificazione e classificazione dei dati oggetto di trattamento, verificando se dati prima facie non personali possano essere associati in qualsiasi modo ad una persona, con la conseguente classificazione degli stessi come “dati personali”. Significativo, al riguardo, è l’esempio riportato nelle linee guida, relativamente ad una relazione di controllo della qualità su una linea di produzione: con riguardo a tale caso, la Commissione rileva che, qualora sia possibile associare i dati a specifici operai (ad esempio, coloro che stabiliscono i parametri di produzione), tali dati inevitabilmente dovrebbero essere considerati quali “dati personali”, con la conseguente applicazione della disciplina di cui al GDPR.
Oltre a quanto sopra, va, comunque, considerato che nella realtà operativa per lo più si assiste ad “insiemi di dati misti”, ovverossia ad insiemi di dati in cui coesistono “dati non personali” e “dati personali”: di fatto, come evidenziato dalla Commissione, gli “insiemi di dati misti” “rappresentano la maggior parte degli insiemi di dati utilizzati nell’economia dei dati e sono comuni a causa degli sviluppi tecnologici, come l’Internet delle cose, l’intelligenza artificiale e le tecnologie che consentono l’analisi dei big data”.
Utile e significativo l’esempio riportato nelle linee guida relativo ai CRM (Customer Relationship Management), servizi di gestione delle relazioni con i clienti, che comprendono tutte le informazioni necessarie per gestire i rapporti con i clienti, come ad esempio l’ indirizzo postale ed email, il numero di telefono, i prodotti e i servizi acquistati, le relazioni sulle vendite, compresi dati aggregati: come è possibile notare, tale servizio comprende sia dati personali che dati non personali, con la conseguente applicazione congiunta del GDPR e del Regolamento, rispettivamente per i dati personali e per i dati non personali, salvo che i dati personali e non personali non siano “indissolubilmente legati”, come previsto dal Regolamento: in tale specifico caso, infatti, la norma prescrive l’applicazione del GDPR, anche nei casi in cui i dati personali costituiscano solamente una piccola porzione dell’insieme dei dati.
Va, peraltro, rilevata la mancanza di indicazioni in entrambi i regolamenti volte a definire l’espressione “indissolubilmente legato”. A questo riguardo, la Commissione provvede a precisarne meglio il contenuto, evidenziando che tale condizione sussiste qualora sia praticamente impossibile per il titolare effettuare la separazione dei dati o economicamente inefficiente o tecnicamente non realizzabile: ad esempio, nel caso di un CRM, laddove, per effettuare la separazione, il titolare debba spendere altrettanto per acquistare software separati per i CRM relativi a dati personali e per i sistemi di rendicontazione delle vendite (dati non personali) basati sui dati CRM.
b. Libera circolazione dei dati non personali e divieto di obblighi di localizzazione
Oltre agli aspetti classificatori trattati nel precedente paragrafo, il punto centrale che caratterizza il Regolamento concerne l’oggetto dello stesso, esplicitato all’articolo 1, in cui è precisato che il Regolamento “mira a garantire la libera circolazione dei dati diversi dai dati personali all’interno dell’Unione stabilendo disposizioni relative agli obblighi di localizzazione dei dati, alla messa a disposizione dei dati alle autorità competenti e alla portabilità dei dati per gli utenti professionali”.
In sintesi, la principale preoccupazione del legislatore UE nel perseguire l’obiettivo della libera circolazione dei dati consiste nel limitare i cc.dd. “obblighi di localizzazione dei dati” (ad eccezione di quelli dovuti a motivi di sicurezza pubblica), definiti in maniera ampia nello stesso Regolamento come “qualsiasi obbligo, divieto, condizione, limite o altro requisito previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante da prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico, anche nell’ambito degli appalti pubblici, fatta salva la direttiva 2014/24/UE, che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro”.
È interessante considerare che, data l’ampiezza della definizione sopra riportata, la Commissione nelle proprie linee guida precisa che il divieto di obblighi di localizzazione riguarda sia misure dirette che indirette, ricomprendendo - ad esempio - tra le prime, disposizioni che prevedano l’obbligo di conservare i dati in una specifica posizione geografica (circostanza che potrebbe verificarsi mediante la localizzazione dei server in un determinato Stato membro) o l’obbligo di conformarsi a requisiti tecnici nazionali (si pensi all’ utilizzo di specifici formati nazionali) e, tra le seconde, altre misure con la potenzialità di ostacolare il trattamento dei dati in altri Stati membri, tra cui l’obbligo di utilizzare dispositivi tecnologici certificati od omologati in un determinato Stato membro o altri requisiti che in sostanza producono “l’effetto di rendere più difficile trattare dati al di fuori di un determinato territorio o area geografica all’interno dell’Unione”.
c. Portabilità dei dati e cambio dei fornitori dei servizi cloud
Tra gli ostacoli alla libera circolazione dei dati, il Regolamento individua anche restrizioni di natura giuridica, contrattuale e tecnica che “ostacolano o impediscono agli utenti di servizi di trattamento di dati di trasferire i propri dati da un fornitore ad un altro o di ritrasferirli verso i propri sistemi informatici”, normalmente ascrivibili alle cc.dd. pratiche di “vendor lock-in”.
Per la Commissione, queste pratiche si verificano ad esempio “quando gli utenti non possono cambiare il fornitore di servizi perché i loro dati sono “bloccati” nel sistema del fornitore, ad esempio a causa di uno specifico formato dei dati o di accordi contrattuali e non possono essere trasferiti al di fuori del suo sistema informatico”.
Per le ragioni sopra individuate, il Regolamento all’articolo 6 si occupa della c.d. “portabilità dei dati”, incoraggiandone la disciplina mediante autoregolamentazione, in forma di codici di condotta, che prevedano in particolare “le migliori prassi per agevolare il cambio di fornitore di servizi e la portabilità dei dati in un formato strutturato, di uso comune e leggibile elettronicamente, anche in formati standard aperti ove necessario o richiesto dal fornitore di servizi che riceve i dati” e “gli obblighi d’informazione minimi per garantire che gli utenti professionali ricevano informazioni sufficientemente dettagliate, chiare e trasparenti prima della conclusione di un contratto di trattamento di dati, per quanto riguarda le procedure e i requisiti tecnici, i tempi e gli oneri applicati nel caso in cui un utente professionale intenda cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici”. È altresì previsto che i codici di condotta contemplino “gli approcci in materia di sistemi di certificazione che agevolano il confronto di prodotti e servizi di trattamento dei dati per gli utenti professionali...” e le “tabelle di marcia in materia di comunicazione, con un approccio multidisciplinare volto a sensibilizzare a proposito dei codici di condotta”.
Come è possibile notare, nel Regolamento la portabilità dei dati è rivolta ad utenti professionali, ovverossia – sulla base della definizione riportata all’articolo 3 - a persone fisiche o giuridiche compreso un’autorità pubblica e un organismo di diritto pubblico che utilizza o richiede servizi di trattamento di dati per fini connessi alla sua attività commerciale, industriale, artigianale, professionale o a una sua funzione.
Il requisito soggettivo sopra indicato evidenzia come con il Regolamento la portabilità dei dati inerisca a relazioni business – to – business tra un utente professionale ed un fornitore di servizi, quale ad esempio il fornitore di servizi cloud.
Inoltre, a quest’ultimo riguardo, merita attenzione quanto riportato nelle linee guida con riguardo al coinvolgimento di gruppi di lavoro dei portatori di interesse cloud (comprendenti esperti ed utenti professionali cloud, tra cui le PMI) e, in particolare, di sottogruppi di lavoro, a cui è affidata l’elaborazione di codici di autoregolamentazione sulla portabilità dei dati e sul cambio di fornitore di servizi cloud (gruppo di lavoro SWIPO) nonché lo sviluppo della certificazione di sicurezza dei servizi cloud (gruppo di lavoro CSPCERT).
Va, altresì, considerato che, in taluni casi, i dati oggetto di trattamento potrebbero configurarsi quali insiemi di dati misti e, pertanto, in tali casi, si determinerebbe la concorrente applicabilità sia del GDPR che del Regolamento.
Alcuni esempi contenuti nella linee guida appaiono particolarmente significativi ed utili per le imprese: la Commissione specifica che nell’eventualità di cambio, da parte di un’ impresa, del fornitore di servizi cloud, qualora tale fornitore abbia aderito ad un codice di condotta conformemente al Regolamento, la portabilità dovrà essere attuata per i dati non personali in base alle previsioni del codice di condotta e per i dati personali in base alle prescrizioni contenute nel GDPR; analogamente, nell’eventualità di cambio del fornitore dei servizi di gestione delle relazioni con i clienti (CRM), i trasferimenti dei dati dovranno conformarsi sia al GDPR (per i dati personali) sia al Regolamento (per i dati non personali).
3. Conclusioni
Il Regolamento completa il quadro regolamentare con riguardo ai sistemi economici che pongono al centro i dati elettronici e costituisce un utile strumento volto a conferire certezza agli operatori relativamente ad operazioni di trattamento che hanno ad oggetto dati diversi dai dati personali; inoltre, dato il frequente ricorso ad insiemi di dati, le prescrizioni del Regolamento si congiungono a quelle del GDPR: conclusivamente - come rilevato dalla stessa Commissione UE - il Regolamento e il GDPR “gettano le fondamenta per la libera circolazione di tutti i dati nell’Unione europea e per un’ economia dei dati altamente competitiva”.
