I dati non personali costituiscono, unitamente ai dati personali, uno strumento rilevante per lo sviluppo dell’economia digitale all’interno del Digital Single Market (Mercato Unico Digitale).
Sebbene infatti la definizione di “dati non personali” sia ricavata tramite un ragionamento a contrariis rispetto a quella di “dati personali”, si tratta comunque di importanti mezzi attraverso i quali favorire il libero flusso dei dati all’interno di un’economia sempre più caratterizzata dalla digitalizzazione.
Al fine di identificare i dati non personali, essi possono essere qualificati in base alla loro origine:
- dati anonimi ex-ante: ossia dati che in origine non si riferiscono ad una persona fisica identificata o identificabile;
- dati anonimi ex-post: ovvero dati che inizialmente erano personali e che successivamente sono stati resi non personali attraverso un processo di anonimizzazione.
L’intelligenza artificiale, l’analisi dei megadati, i dati generati nel quadro di processi aziendali ed i dati sull’agricoltura di precisione, costituiscono solo alcuni esempi di fonti di dati non personali.
Negli ultimi anni, grazie allo sviluppo tecnologico, le aziende e le pubbliche amministrazioni non hanno più avuto solo contatti con il mondo dei dati personali, ma bensì hanno iniziato ad interfacciarsi anche con la raccolta e l’utilizzo dei dati non personali, necessitando di conseguenza una regolamentazione della materia.
L’Unione europea ha risposto a questa esigenza attraverso l’elaborazione del Regolamento (UE) 2018/1807 “relativo al quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea”.
Tale Regolamento, la cui applicazione decorre già dal 28 maggio 2019, risulta essenziale e presenta due principali obiettivi: da un lato, garantire che i dati non personali possano essere trattati liberamente su tutto il territorio dell’UE, dall’altro lato, vietare le restrizioni alla circolazione dei dati non personali sui luoghi in cui i dati possono essere archiviati o elaborati.
All’interno del Regolamento relativo ai dati non personali, possono essere altresì facilmente individuati tre capisaldi:
1. Il principio della libera circolazione dei dati all’interno dell’Unione europea
L’art. 4 del Regolamento sancisce il divieto degli obblighi di localizzazione dei dati, a meno che non siano giustificati da motivi di pubblica sicurezza e il tutto nel pieno rispetto del principio di proporzionalità.
L’articolo in esame fissa poi la “deadline” al 30 maggio 2021 per lo svolgimento delle seguenti attività:
- da un lato, gli Stati membri dovranno abrogare qualsiasi obbligo di localizzazione dei dati vigente stabilito dalle leggi nazionali, dai regolamenti o da disposizioni amministrative non conformi al principio generale della libera circolazione dei dati;
- dall’altro lato, si invitano gli Stati membri che ritengono sussistenti misure contenenti obblighi di localizzazione dei dati, a comunicare tali misure alla Commissione europea al fine di giustificare l’eventuale richiesta di mantenimento in vigore, purché ciò avvenga nel rispetto del principio di proporzionalità o per motivi di pubblica sicurezza.
2. Il principio della disponibilità dei dati per le autorità competenti
L’art. 5 del Regolamento prevede il generico principio di “messa a disposizione di dati alle autorità competenti”, le quali potranno esercitare il diritto di accesso ai dati indipendentemente dal luogo di archiviazione o elaborazione degli stessi all’interno dell’Unione europea.
Gli stati membri possono inoltre imporre sanzioni laddove sia violato il rispetto di un obbligo di fornire dati conformemente al diritto nazionale e dell’UE.
3. La realizzazione di codici di condotta
La Commissione europea, attraverso l’art. 6 incoraggia e facilita la redazione di codici di autoregolamentazione, e ciò al fine di favorire:
- l’agevolazione del cambio di fornitore di servizi e la portabilità dei dati in formato strutturato;
- gli obblighi di informazione minimi, necessari prima della conclusione di un contratto di trattamento dati;
- gli approcci in materia di sistemi di certificazione, in materia di gestione della qualità, della sicurezza delle informazioni, della continuità operativa e della gestione ambientale;
- tabelle di marcia in materia di comunicazione, volte a sensibilizzare i portatori di interessi relativamente ai codici di condotta.
Il tema dei codici di autoregolamentazione verrà poi affrontato più approfonditamente nel prossimo articolo.
Quali sono le prospettive future in materia di dati non personali?
È lo stesso Regolamento sui dati non personali che all’art. 8 fissa il termine ultimo del 29 novembre 2022 entro il quale la Commissione europea dovrà presentare al Parlamento, al Consiglio e al Comitato economico e sociale europeo una relazione sulla corretta attuazione del Regolamento, e in particolare sulle seguenti questioni:
- l’applicazione del Regolamento agli insiemi di dati c.d. misti, ossia composti da dati personali e non personali;
- l’attuazione da parte degli Stati membri del principio di libero flusso dei dati;
- l’elaborazione e l’effettiva attuazione dei codici di autoregolamentazione da parte degli Stati membri.
Non ci resta dunque che attendere per verificare se gli sviluppi del mercato, l’economia dei dati e le crescenti esigenze di trattazione dei dati a livello contrattuale potranno effettivamente indurre la Commissione europea ad apportare modifiche al Regolamento (UE) 2018/1807.