Le imprese situate sul territorio dell’Unione europea basano oggi gran parte delle loro attività su “flussi di dati”, i quali in forza del rapido progresso tecnologico e della digitalizzazione, risultano indispensabili per la regolamentazione contrattuale e per l’individuazione di nuove opportunità economiche in diversi settori.
La politica comunitaria del Digital Single Market sta infatti favorendo la libera circolazione dei dati sia personali che non personali allo scopo di favorire e sviluppare la cosiddetta “economia dei dati”( per maggiori informazioni si veda il sito UE Costruire una economia dei dati).
Questo processo trova i suoi cardini in due importanti regolamenti:
- regolamento (UE) 2016/679 relativo ai dati personali
- regolamento (UE) 2018/1807 relativo ai dati non personali
Il primo di questi, noto anche come GDPR (“General Data Protection Regulation”) fornisce una definizione intenzionalmente ampia di “dato personale”, specificando che si tratta di «qualsiasi informazione riguardante una persona fisica identificata o identificabile».
Il regolamento relativo ai dati non personali invece, ricava la definizione degli stessi tramite un ragionamento a contrariis rispetto alla definizione di dati personali, indicando che per “dati non personali” si debbano intendere «i dati diversi dai dati personali (…)». Si tratta in particolare di dati che in origine non si riferiscono a una persona fisica identificata/identificabile, oppure di dati che inizialmente sorgevano come personali e successivamente sono stati resi anonimi. Per evidenziare tale differenza si può richiamare la COM (2019) 250 final intitolata “Guidance on the Regulation on a framework for the free flow of non personal data in the European Union” nella quale si afferma che «poiché la definizione di dati personali si riferisce alle “persone fisiche”, gli insiemi di dati che contengono i nomi e i dati di contatto delle persone giuridiche sono in linea di principio dati non personali». Ciò non toglie che nel trattare il dato della persona giudica, si finisca quasi sempre con il trattare anche i dati delle persone fisiche che operano per la persona giuridica.
Spesso accade, quindi, che dati personali e non personali siano raccolti in un insieme di dati misti (es. i dati sanitari). Preme poi precisare che ove sia possibile una separazione potranno essere applicate le normative di riferimento per ciascun insieme di dati (personali e non personali), laddove invece, l’insieme di dati misti contenga dati che tra loro risultino “indissolubilmente legati”, l’art. 2, par. 2 del regolamento (UE) 2018/1807 prevede che si applichi il GDPR all’intero set di dati misti, anche nei casi in cui i dati personali ne rappresentino solo una minima parte.
Ma che rapporto sussiste tra i due regolamenti?
In seguito, affronteremo tre temi che reputiamo cardine, analizzando brevemente i punti di contatto o le principali differenze tra il regolamento sui dati personali e quello sui dati non personali.
La libera circolazione dei dati
Certamente, il dato comune tra i due regolamenti è la costante promozione del principio di libera circolazione dei dati all’interno del territorio dell’Unione europea, il quale però vede l’apposizione di limiti differenti:
- il regolamento sui dati non personali si basa sul principio del libero flusso transfrontaliero di dati personali e quindi sul divieto per gli Stati di imporre “obblighi di localizzazione” dei dati «(…) a meno che non siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità». Inoltre, le norme del regolamento non si applicheranno qualora le attività di trattamento dei dati siano condotte al di fuori del territorio dell’UE.
- il regolamento sui dati personali dispone invece che la libera circolazione dei dati all’interno del territorio dell’Unione non possa essere limitata né vietata «per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali», e che le norme relative al trasferimento dei dati si applicheranno anche nelle interazioni verso paesi terzi ma impone importanti restrizioni al trasferimento dei dati personali verso Stati fuori dal territorio dell’UE o che non garantiscano un livello adeguato di protezione dei dati.
La portabilità dei dati
Entrambi i regolamenti disciplinano la portabilità dei dati mirando a facilitarne il loro trasferimento, e ciò al fine di evitare pratiche di “vendor lock-in”, che si verificano quando gli utenti non possono cambiare il fornitore di servizi perché i dati risultano bloccati nel sistema del fornitore.
Il diritto alla portabilità dei dati assume connotazioni differenti a seconda che si tratti di:
- dati personali, nei quali la portabilità si riferisce al rapporto tra l’interessato e il titolare del trattamento, quindi in un rapport “business-to-consumer”;
- dati non personali, nei quali invece la portabilità dei dati riguarda le interazioni “business-to-business” intercorrenti tra un utente professionale e un fornitore di servizi.
I codici di autoregolamentazione
L’Unione europea attraverso i regolamenti sui dati personali e non personali incoraggia la redazione e la successiva adozione di codici di condotta e sistemi di certificazione nei diversi settori economici. I codici possono essere elaborati da associazioni di categoria, organizzazioni rappresentative o da responsabili del trattamento, sebbene nel settore relativo i dati personali, necessitino di un processo di approvazione da parte del Garante Privacy ai sensi degli artt. 40 e 41 del GDPR.
Tra i codici di condotta nell’ambito dei dati non personali è possibile menzionare quelli elaborati dal gruppo di lavoro SWIPO, come i codici IaaS o SaaS (la cui adesione è totalmente volontaria).
Per quanto riguarda invece i dati personali, ad oggi sussistono tre codici approvati dal Garante Privacy: “Per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, quello “Per il trattamento dei dati personali effettuato a fini di informazione commerciale”, e quello di recente approvazione “Per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica” proposto dalla Regione Veneto.
