30 Ottobre 2019

Il Regolamento UE n. 1807/2018 relativo alla libera circolazione, all’interno dell’UE, dei dati non personali

GABRIELE BORGHI

Immagine dell'articolo: <span>Il Regolamento UE n. 1807/2018 relativo alla libera circolazione, all’interno dell’UE, dei dati non personali</span>

Abstract

In data 28.5.2019 è entrato in vigore, all’interno dell’Unione Europea, il Regolamento UE n. 1807/2018 avente ad oggetto la libera circolazione dei dati non personali.

***

Il tema

Al fine di potenziare ulteriormente lo scambio transfrontaliero e l’economia dei dati, nel novembre 2018 il Parlamento Europeo ed il Consiglio hanno adottato il Regolamento UE n. 2018/1807 del 14.11.2018 relativo alla libera circolazione dei dati non personali all'interno dell’Unione Europea (denominato “Free Flow Data Regulation”, di seguito cd. “Regolamento FFD”), il quale è applicabile, all'interno dell’UE, a decorrere dal 28.5.2019.

Considerato che il principio della libera circolazione dei dati personali è stato sancito all’interno del Regolamento UE n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei relativi dati personali (cd. GDPR), ne consegue che ora, con l’entrata in vigore del Regolamento FFD, esiste un quadro globale per uno spazio comune europeo dei dati (personali e non) e per la libera circolazione di tutti i dati medesimi all'interno dell’UE).

                                                                   

Il Regolamento cd. FFD: dato non personale, dato cd. misto e la libera circolazione dei dati non personali (e rimozione degli obblighi di localizzazione dei dati)   

Come poc'anzi anticipato, il Regolamento FFD riguarda soltanto i dati non personali, ossia i “dati diversi dai dati personali definiti dall’art. 4 punto 1 del Regolamento UE n. 2016/679” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”): a tal riguardo, preme osservare che, giacché la definizione di “dato personale” sopra illustrata si riferisce esclusivamente alle persone fisiche, gli insiemi di dati che contengono i nomi ed i dati di contatto delle persone giuridiche sono, in linea di principio, dati non personali, fatti salvi alcuni casi specifici, ossia laddove il nome della persona giuridica corrisponde a quello della persona fisica che la possiede.

I dati non personali possono essere classificati in base alla loro origine come:

  1. In primo luogo, come dati che, in origine, non si riferivano a una persona fisica identificata o identificabile (es.: insieme di dati aggregati e anonimizzati usati per l’analisi dei mega dati) (cfr. Considerando n. 9 del Regolamento FFD);
  2. In secondo luogo, come dati che inizialmente erano dati personali, ma che poi sono stati resi anonimi: l'anonimizzazione dei dati personali è differente dalla pseudonimizzazione ex art. 4 n. 5 del GDPR in quanto i dati che sono stati resi anonimi, in modo adeguato, non possono essere attribuiti a una persona specifica, neppure ricorrendo a informazioni aggiuntive e sono, pertanto, dati non personali.

Illustrata, nel dettaglio, la differenziazione tra dati personali e dati non personali, occorre, ora, occuparsi della maggioranza dei dati utilizzati nella cd. digital economy, ovverosia i dati cd. misti, i quali sono costituiti da quell'insieme di dati composto sia da dati personali che da dati non personali (es. documento fiscale di un’impresa, che contiene il nome ed il numero di telefono dell’amministratore delegato): a tal proposito, il Regolamento FFD dispone testualmente che esso si applica “…alla parte dell’insieme contenente i dati non personali. Qualora i dati personali e non personali all'interno di un insieme di dati siano indissolubilmente legati, il presente regolamento lascia impregiudicata l’applicazione del Regolamento UE 2016/679.

Da ultimo, si pone l’attenzione sul fatto che il Regolamento FFD intende, altresì, garantire la libera circolazione dei dati non personali all'interno dell’Unione Europea (infatti, non si applica ai servizi di trattamenti di dati svolti al di fuori dell’Unione Europea e agli obblighi di localizzazione di dati relativi a tali trattamenti), fatte salve le esigente di pubblica sicurezza (cfr. art. 4 comma 1 del Regolamento FFD: “Gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità”): in buona sostanza, a partire dal 28.5.2019 non potrà essere imposto ai fornitori di servizi di trattamento dati alcun requisito che abbia l’effetto di rendere più difficoltoso il trattamento dei dati al di fuori di un determinato territorio o area geografica all'interno dell’Unione Europea, se non per far fronte a una minaccia reale e sufficientemente grave a uno degli interessi fondamentali dello Stato membro, ed in ogni caso nei limiti di quanto necessario a tale scopo.

In conclusione, così come indicato all'interno del Considerando n. 10 del Regolamento FFD, il GDPR, unitamente al Regolamento FFD, forniscono un insieme coerente di norme che disciplinano la libera circolazione di diverse tipologie di dati (il primo, i dati personali; il secondo, i dati non personali).

Altri Talks