Tre cose che ogni azienda deve sapere sulla circolazione e la localizzazione dei dati

Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union, Bruxelles, 29.5.2019 COM(2019) 250 final

La disciplina del mercato unico digitale si è completata nel novembre scorso con il Regolamento sulla libera circolazione dei dati non personali n° 2018/1807 che disciplina le modalità di libera circolazione dei dati NON personali. Naturalmente il Regolamento va letto unitamente al Regolamento Ue 2016/679 (GDPR): assieme le due normative compongono un quadro globale per libera circolazione di tutti i dati all’interno dell’Unione Europea.

Quali sono le cose che un’azienda deve sapere per orientarsi tra la normativa?

La Commissione Europea ha pubblicato delle interessanti Linee Guida per orientarsi nell’applicazione della normativa del mercato unico digitale, da cui si sono estrapolate tre regole. 

1. Quando devo applicare il Regolamento sulla libera circolazione dei dati non personali (regolamento “Free flow data” FFD)?

Capire quando si applica il GDPR e quando il Regolamento FFD è il primo passaggio fondamentale.

Il Regolamento FFD si applica ai dati diversi dai dati personali previsti dal GDPR.

I dati non personali possono essere classificati in base alla loro origine come:

• in primo luogo, dati che in origine non si riferivano a una persona fisica identificata o identificabile: esempio sensori installati su macchine automatiche, o i dati sulle esigenze di manutenzione delle macchine industriali;
• in secondo luogo, dati che inizialmente erano dati personali, ma che poi sono stati resi anonimi.

La valutazione se i dati siano stati adeguatamente resi anonimi dipende dalle condizioni specifiche ed uniche di ogni singolo caso.

Per stabilire se un soggetto è identificabile, si devono osservare tutti i mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da un altro individuo per identificare, direttamente o indirettamente, una persona.

2. Cosa devo fare in presenza di “dati misti”?

Nella maggior parte delle situazioni reali, è molto più probabile che un insieme di dati sia composto da dati personali e non personali. In questo caso si parla spesso di "insieme di dati misti". Gli insiemi di dati misti rappresentano la maggioranza degli insiemi di dati impiegati nell'economia dei dati e sono comunemente raccolti grazie a sviluppi tecnologici come l'Internet degli oggetti (ossia dispositivi con connessione digitale), l'intelligenza artificiale e le tecnologie che consentono l'analisi dei big data.

I documenti fiscali di un'impresa, che indicano il nome e il numero di telefono dell'amministratore delegato della società, sono esempi di insiemi di dati misti. Possono anche consistere in insiemi di problemi e soluzioni informatiche di un'impresa sulla base di segnalazioni individuali di incidenti, o in dati statistici anonimizzati di un istituto di ricerca e nei relativi dati grezzi inizialmente raccolti, quali le risposte dei singoli partecipanti alle indagini statistiche.

Il Regolamento FFN in tale caso prevede che: "Nel caso di un insieme di dati composto sia da dati personali che da dati non personali, il presente regolamento si applica alla parte dell'insieme contenente i dati non personali. Qualora i dati personali e non personali all'interno di un insieme di dati siano indissolubilmente legati, il presente regolamento lascia impregiudicata l'applicazione del regolamento (UE) 2016/679."

Ciò significa che, in caso di un insieme di dati composto sia da dati personali che da dati non personali:

• il regolamento sulla libera circolazione dei dati non personali si applica alla parte dell'insieme contenente i dati non personali;
• la disposizione sulla libera circolazione dei dati del regolamento generale sulla protezione dei dati 26 si applica alla parte dell'insieme contenente i dati personali;
• se le parti di dati personali e di dati non personali sono "indissolubilmente legate", i diritti e gli obblighi in materia di protezione dei dati derivanti dal regolamento generale sulla protezione dei dati si applicano pienamente all'insieme di dati misti, anche quando i dati personali rappresentano soltanto una piccola parte dell'insieme di dati.

3. Cosa c’è da sapere per la circolazione dei dati? Cosa sono gli obblighi di localizzazione?

Il regolamento FFD non prevede inoltre obblighi per le imprese: gli aspetti pratici del trattamento dei dati non personali sono una scelta di pertinenza delle singole imprese.

Il regolamento FFD non limita la libertà contrattuale delle imprese e consente loro di scegliere il luogo per il trattamento dei loro dati. In particolare sapere quali sono gli obblighi sulla localizzazione dei dati può essere utile.

Specificamente sono obblighi di localizzazione: "qualsiasi obbligo, divieto, condizione, limite o altro requisito, previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante dalle prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico, anche nell'ambito degli appalti pubblici, fatta salva la direttiva 2014/24/UE, che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro" .

• Libera circolazione dei dati non personali: il regolamento FFD non personali prevede che "gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità".

Gli obblighi di localizzazione dei dati diretti possono, ad esempio, consistere nell'obbligo di conservare i dati in una specifica posizione geografica (ad es. i server devono essere situati in uno specifico Stato membro) o nell'obbligo di conformarsi a requisiti tecnici nazionali unici (ad es. i dati devono utilizzare specifici formati nazionali). Gli obblighi di localizzazione dei dati indiretti, che ostacolerebbero il trattamento dei dati non personali in qualsiasi altro Stato membro, possono presentarsi in forme diverse. Essi possono includere l'obbligo di utilizzare dispositivi tecnologici che siano certificati o omologati in un determinato Stato membro o altri requisiti che producono l'effetto di rendere più difficile trattare dati al di fuori di un determinato territorio o area geografica all'interno dell'Unione.

Quindi, gli Stati membri sono tenuti a rendere pubblico qualsiasi obbligo di localizzazione dei dati applicabile nel loro territorio su di un portale unico nazionale on line d'informazione (siti web nazionali). Essi devono tenerlo aggiornato oppure fornire informazioni aggiornate a un punto informativo centrale istituito da un altro atto dell'UE. Per comodità delle imprese e per garantire loro un facile accesso alle informazioni pertinenti in tutta l'UE, la Commissione pubblicherà collegamenti a questi punti d'informazione sul portale "La tua Europa".

• Libera circolazione dei dati personali: Il regolamento generale sulla protezione dei dati stabilisce che "la libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali".

Se uno Stato membro impone obblighi di localizzazione dei dati personali per ragioni diverse dalla protezione dei dati personali, questi dovranno essere valutati sulla base delle disposizioni relative alle libertà fondamentali e delle deroghe consentite a tali libertà previste nel trattato sul funzionamento dell'Unione europea 46, 47 e nel diritto dell'UE pertinente, come la direttiva sui servizi e la direttiva sul commercio elettronico.

Il regolamento generale sulla protezione dei dati riconosce che gli Stati membri possono imporre condizioni, incluse limitazioni, sul trattamento dei dati genetici, biometrici o sanitari. Tuttavia, come stabilito nel considerando 53, tali limitazioni nazionali non dovrebbero ostacolare la libera circolazione dei dati personali all'interno dell'UE, quando queste condizioni si applicano al trattamento transfrontaliero di tali dati. Quanto detto è conforme all'articolo 16 del trattato sul funzionamento dell'Unione europea, che costituisce la base giuridica per l'adozione di norme relative al diritto di tutela dei dati personali e alla libera circolazione di tali dati.