Avv. Giovanni Vidal - Consulente Privacy.it

Pubblicato in data 28-12-2018

Il 28 novembre 2018 è stato pubblicato nella Gazzetta ufficiale dell’Unione europea il Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea (consulta qui il testo in italiano).

Il Regolamento (UE) 2018/1807 (qui di seguito il “Regolamento”), che si compone di 9 articoli e di 39 considerando, si propone di eliminare le barriere che attualmente impediscono la libera circolazione transfrontaliera all’interno della UE dei dati non personali, vale a dire i dati che non riguardano persone fisiche identificate o identificabili.

Le nuove disposizioni contenute nel Regolamento integrano quelle che prevedono la libera circolazione e la portabilità dei dati personali all’interno della UE contenute nel Regolamento (UE) 2016/679 (il “GDPR”), ed assieme a queste ultime, nell’intenzione del legislatore europeo, contribuiscono alla creazione di quello “spazio comune europeo dei dati” auspicato più volte dalla stessa Commissione europea (si vedano, tra le altre, la Comunicazione della Commissione europea del 2 luglio 2014 “Verso una florida economia basata sui dati”, nonché le Comunicazioni del 25 aprile 2018 e del 15 maggio 2018), essenziale per lo sviluppo del mercato unico digitale e dell’economia dei dati all’interno dell’Unione.

1. Gli ostacoli alla libera circolazione dei dati non personali

Il Regolamento, in particolare i considerando (2), (3), (4), (5) e (6), individua principalmente due categorie di ostacoli alla libera circolazione dei dati non personali, ed in particolare:

  • gli obblighi in materia di localizzazione dei dati posti in essere dalle autorità dei singoli Stati membri; e
  • le pratiche di vendor lock-in nel settore privato.

Tali ostacoli impediscono alle imprese di cogliere appieno le opportunità economiche, sociali e commerciali, impedendo altresì alle stesse di essere libere, o spingendole a non sentirsi libere, di sfruttare pienamente i servizi di cloud, di scegliere i luoghi più efficienti dal punto di vista dei costi dove installare le proprie risorse informatiche, di cambiare fornitore di servizi oppure di trasferire i propri dati sui propri sistemi informatici.

1.1 Obblighi di localizzazione dei dati in un determinato territorio

Vi sono norme contenute nelle legislazioni degli Stati membri che impongono (a) obblighi di localizzazione dei dati a fini di trattamento in un determinato territorio, o (b) requisiti specifichi che rendono più difficile trattare dati al di fuori di un determinato territorio.

Tali norme, e le restrizioni che ne derivano, in certi casi possono essere giustificate e proporzionate, come nel caso di sicurezza pubblica.

In altri casi, tuttavia, essi si fondano spesso sull’erroneo pregiudizio che i servizi localizzati siano necessariamente più sicuri di quelli transfrontalieri, cosa che non è.

La Commissione ha quindi individuato numerose restrizioni relative ai luoghi di archiviazione o di elaborazione dei dati, che interessano la mobilità dei dati, in diversi settori, ad esempio:

  • le autorità di vigilanza che raccomandano ai fornitori di servizi finanziari di archiviare i dati a livello locale;
  • le norme in materia di segreto professionale (come ad esempio nel caso del settore sanitario) che prevedono l’archiviazione o l’elaborazione dei dati a livello locale;
  • le norme generali che impongono l’archiviazione locale delle informazioni generate dal settore pubblico, indipendentemente dalla sensibilità delle stesse;
  • le norme che impongono di utilizzare dispositivi tecnologici che siano omologati o certificati in un determinato stato membro (cfr. considerando (4) del Regolamento).
1.2 Le pratiche di vendor lock-in

Come evidenziato nei considerando (5) e (6) del Regolamento, nel settore privato vi sono degli aspetti tecnici, giuridici e contrattuali che intralciano o impediscono agli utenti di servizi di trattamento dei dati di trasferire i propri dati da un fornitore di servizi ad un altro o di ritrasferirli presso i propri sistemi informativi.

La combinazione di tali ostacoli ha causato la mancanza di concorrenza fra i fornitori dei sevizi cloud all’interno dell’Unione, diversi problemi di lock-in e gravi carenze in termini di mobilità dei dati.

2. Le ragioni per eliminare gli ostacoli alla mobilità dei dati

Come ha avuto modo di sottolineare la stessa Commissione (leggi qui), “l’innovazione guidata dai dati è un motore essenziale per la crescita e l’occupazione, in grado di accrescere la competitività europea sul mercato globale”, e permetterebbe all’economia europea dei dati, alle giuste condizioni quadro, di raddoppiare entro il 2020.

In particolare, l’abolizione degli ostacoli alla mobilità dei dati è considerata il fattore più importante per permettere all’economia dei dati di sfruttare pienamente le proprie potenzialità e di crescere sino a 739 miliardi di Euro nel 2020, passando dal 1,99% del PIL nel 2016 al 4% del PIL nel 2020 (si legga al riguardo IDC 2017, European Data Market Study, Final Report).

Quindi, per ottenere il massimo beneficio dall’economia dei dati, è assolutamente necessario che i dati possano attraversare le frontiere ed essere utilizzati oltre i confini nazionali. Inoltre, l’eliminazione delle attuali barriere consentirebbe di ridurre i costi dei servizi di dati, di offrire alle imprese europee maggiore flessibilità nell’organizzazione della gestione e dell’analisi dei dati, e di ampliare la scelta di fornitori e il ricorso ai loro servizi, il che potrebbe portare ad un aumento del PIL fino a 8 miliardi di euro all’anno.

3. L’oggetto del Regolamento

L’art. 1 (“Oggetto”) del Regolamento chiarisce che il fine dello stesso è quello di garantire la libera circolazione dei dati diversi dai dati personali all’interno della UE, stabilendo disposizioni:

  • in materia di obblighi di localizzazione dei dati, vietando le norme nazionali che impongono obblighi di localizzazione, se non per ragioni di pubblica sicurezza e nei limiti del principio di proporzionalità (cfr. art. 4);
  • che garantiscono alle autorità competenti l’accesso ai dati archiviati o elaborati in un altro Stato membro (cfr. art. 5);
  • in materia di portabilità dei dati per gli utenti professionali, incoraggiando l’elaborazione di codici di condotta di autoregolamentazione (cfr. art. 6).

    4. Ambito di applicazione del Regolamento

L’art. 2, paragrafo 1, del Regolamento prevede che esso si applica alle attività di trattamento di dati elettronici diversi dai dati personali nell’Unione, che sono:

  • fornite come servizio ad utenti (persona fisiche o giuridiche, comprese pubbliche autorità e organismi di diritto pubblico) residenti o stabiliti nell’Unione, indipendentemente dal fatto che il fornitore del servizio sia o meno stabilito nell’Unione; o
  • effettuate da una persona fisica o giuridica residente o stabilita nell’Unione.

Nel caso di un insieme di dati composto sia da dati personali sia da dati non personali, il Regolamento si applica solo alla parte dell’insieme che contiene i dati non personali, mentre nel caso in cui i dati personali e non personali in un determinato insieme fossero indissolubilmente legati, il Regolamento lascia impregiudicata l’applicazione del GDPR.

Il considerando (9) del Regolamento precisa che l’espansione dell’Internet of things, l’intelligenza artificiale e l’apprendimento automatico sono fonti importanti di dati non personali, come nel caso di del loro utilizzo in processi automatizzati di produzione industriale.

Lo stesso considerando (9) fornisce alcuni esempi specifici di dati non personali: gli insiemi di dati aggregati e anonimizzati usati per l’analisi dei megadati, i dati sull’agricoltura di precisione che possono monitorare e ottimizzare l’uso di acqua e pesticidi ed i dati sulle esigenze di manutenzione di impianti industriali.

Il considerando (9) precisa inoltre che, qualora i progressi tecnologici consentissero di trasformare dati anonimizzati in dati personali, essi sono da trattare come dati personali, con la conseguente applicazione del GDPR.

L’art. 2, paragrafo 3, del Regolamento precisa che lo stesso non si applica alle attività che non rientrano nell’ambito di applicazione del diritto dell’Unione. Su questo punto, il considerando (12) ci ricorda che, ai sensi dell’art. 4 del Trattato sull’Unione europea, la sicurezza nazionale è di esclusiva competenza di ciascuno Stato membro.

Così come le imprese ed i consumatori, anche le autorità pubbliche e gli organismi di diritto pubblico possono trarre beneficio da una maggiore libertà di scelta dei fornitori dei servizi basati sui dati, da prezzi più competitivi e da maggiore efficienza nella prestazione di servizi ai cittadini: per tale ragione anche le autorità e gli organismi di diritto pubblico sono i destinatari del Regolamento, rientrando nella definizione di “utenti” ai sensi del Regolamento (si veda art. 3, n. 7)).

Il paragrafo 3 dell’art. 2 del Regolamento specifica altresì che il Regolamento fa salve le disposizioni legislative, regolamentari e amministrative relative all’organizzazione interna degli Stati membri, che assegnano tra autorità pubbliche e organismi di diritto pubblico poteri e responsabilità in materia di trattamento dei dati, senza remunerazione contrattuale di soggetti privati, nonché le disposizioni legislative, regolamentari e amministrative, degli Stati membri che prevedono l’esercizio di tali poteri e responsabilità.

Sul punto, nel considerando (14) è chiarito che anche se le autorità pubbliche sono incoraggiate a considerare i vantaggi economici e di altro tipo dell’esternalizzazione a fornitori esterni di servizi, potrebbero comunque avere delle ragioni legittime per scegliere l’autofornitura di servizi o l’internalizzazione: pertanto, il Regolamento non obbliga in alcun modo gli Stati membri a subappaltare o esternalizzare la fornitura di servizi che essi intendono fornire direttamente o organizzare c on mezzi diversi dagli appalti pubblici.

5. Libera circolazione dei dati all’interno dell’Unione

L’art. 4, paragrafo 1, del Regolamento costituisce la norma cardine dell’intero Regolamento, in quanto stabilisce che gli obblighi di localizzazione dei dati (diversi dai dati personali) sono vietati, con le precisazioni di cui ai punti 5.1 e 5.2 che seguono.

L’art. 3, n. 5), definisce obbligo di localizzazione dei dati “qualsiasi obbligo, divieto, condizione, limite o altro requisito, previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante dalle prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico, anche nell’ambito degli appalti pubblici, fatta salva la direttiva 2014/24/UE, che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro”.

5.1 Le eccezioni al divieto: la sicurezza pubblica e la proporzionalità

Lo stesso art. 4, paragrafo 1, del Regolamento, prevede che gli obblighi di localizzazione sono vietati, a meno che giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità ai sensi del diritto dell’Unione.

Con riferimento alla nozione di pubblica sicurezza, il considerando (19) chiarisce che essa va interpretata ai sensi dell’art. 52 del TFUE (Trattato sul Funzionamento dell’Unione Europea), come interpretata dalla Corte di giustizia, e riguarda la sicurezza sia interna che esterna di uno Stato membro, nonché le questioni di incolumità pubblica, in particolare per agevolare le indagini, l’accertamento ed il perseguimento dei reati.

Inoltre, il concetto di sicurezza pubblica presuppone l’esistenza di una minaccia reale e sufficientemente grave a uno degli interessi fondamentali della società (ad esempio, il funzionamento delle istituzioni e dei servizi pubblici essenziali, l’incolumità della popolazione, il rischio della coesistenza pacifica dei popoli, il pregiudizio ad interessi militari).

Alla luce, poi, del principio di proporzionalità, gli obblighi di localizzazione giustificati da motivi di sicurezza pubblica dovrebbero essere idonei al raggiungimento dell’obbiettivo perseguito e limitarsi a quanto necessario per conseguire l’obbiettivo.

Al fine di permettere la verifica dell’effettivo rispetto dell’art. 4 del Regolamento, il paragrafo 2 dello stesso prevede che gli Stati membri devono comunicare immediatamente alla Commissione qualsiasi progetto di atto che introduca un nuovo obbligo di localizzazione di dati o apporti modifiche a un vigente obbligo di localizzazione dei dati.

5.2 Il periodo transitorio

Per potere eliminare le barriere costituite dalle disposizioni che prevedono obblighi di localizzazione dei dati, il Regolamento prevede un periodo transitorio di 24 mesi dalla data di applicazione dello stesso (il Regolamento entra in vigore venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione europea e si applica da sei mesi dopo la sua pubblicazione), nel corso del quale gli Stati membri dovranno procedere al riesame delle diposizioni vigenti che prevedono obblighi di localizzazione, comunicando alla Commissione tutti gli obblighi di localizzazione che i ritengono conformi al Regolamento, fornendo le relative giustificazioni.

Sul punto, l’art. 4, paragrafo 3, del Regolamento prevede che entro il 30 maggio 2021 gli Stati membri devono abrogare ogni obbligo di localizzazione dei dati che non sia giustificato da motivi di sicurezza pubblica nel rispetto del principio della proporzionalità.

Entro la stessa data, qualora uno Stato membro ritenesse che una vigente disposizione contente un obbligo di localizzazione dei dati sia giustificata da motivi di sicurezza pubblica nel rispetto del principio della proporzionalità – e possa quindi rimanere in vigore – deve darne comunicazione alla Commissione, giustificandone il mantenimento in vigore.

Entro 6 mesi dal ricevimento della comunicazione che precede, la Commissione dovrà quindi presentare osservazioni allo Stato membro interessato, con la raccomandazione, se necessario, di modificare o abrogare la disposizione in questione.

I paragrafi 4 e 5 dell’art. 4 del Regolamento prevedono poi che gli Stati membri devono fornire informazioni dettagliate sugli obblighi di localizzazione applicabili al loro territorio attraverso un portale unico nazionale on line oppure, in alternativa, fornire tali informazioni ad un punto informativo centrale istituito da un altro atto dell’Unione. Gli Stati membri devono quini comunicare l’indirizzo del loro portale web alla Commissione, la quale a sua volta deve pubblicare sul proprio portale web tali indirizzi.

6. Messa a disposizione di dati alle autorità competenti

Come sottolineato anche dal considerando (24) del Regolamento, gli obblighi di localizzazione sono spesso imposti a causa della mancanza di fiducia nelle operazioni transfrontaliere dei dati: vi sarebbe una sorta di presunzione di indisponibilità dei dati alle autorità competenti degli Stati membri per l’esercizio delle loro funzioni.

Questa mancanza di fiducia – si veda sempre il considerando (24) – non può essere superata solamente attraverso la nullità delle clausole contrattuali che vietano l’accesso legittimo ai dati da parte di autorità competenti per l’esercizio delle loro funzioni: è necessario che le autorità competenti possano chiedere ed ottenere l’accesso ai dati e che tale accesso non possa essere rifiutato per il fatto che i dati sono trattati in un altro Stato membro.

Questo tema è disciplinato dall’art. 5 del Regolamento, il quale prevede, al paragrafo 1, che (a) il Regolamento non pregiudica la facoltà delle autorità competenti di chiedere e ottenere l’accesso a dati ai fini dell’esercizio delle loro funzioni ufficiali conformemente al diritto dell’Unione o nazionale, e (b) l’accesso ai dati non può essere rifiutato per il fatto che i dati sono trattati in un altro Stato membro.

Su questo tema, il considerando (25) precisa che le persone fisiche o giuridiche tenute a fornire dati alle autorità competenti possono adempiere fornendo e garantendo alle autorità l’accesso elettronico effettivo e tempestivo ai dati, indipendentemente dallo Stato membro nel cui territorio i dati sono trattati: tale accesso può essere garantito da clausole e condizioni contrattuali stipulate tra la persona fisica o giuridica soggetta all’obbligo di garantire l’accesso ed il fornitore di servizi.

Nel caso in cui, dopo aver richiesto l’accesso ai dati di un utente, l’autorità competente non ottenesse tale accesso, l’art. 5, paragrafo 2, del Regolamento prevede che tale autorità – se non esiste un meccanismo specifico di cooperazione, come avviene ad esempio nel settore della cooperazione di polizia – può chiedere l’assistenza di un’autorità competente in un altro Stato membro, secondo la procedura prevista dall’art. 7 del Regolamento.

L’art. 7 del Regolamento prevede che ciascuno Stato membro designa un punto di contatto unico, con la funzione di collegamento con i punti di contatto degli altri Stati membri e la Commissione in merito all’applicazione del Regolamento.

Nel caso in cui l’autorità di uno Stato membro chieda, a norma dell’art.5, paragrafo 2, l’assistenza di un altro Stato membro per ottenere l’accesso ai dati, essa inoltra una richiesta debitamente giustificata al punto di contatto di quest’ultimo Stato membro, unitamente ad una descrizione dei motivi e delle basi giuridiche per accedere ai dati. Tale punto di contatto individua l’autorità competente del proprio Stato membro e le trasmette la richiesta.

Tale autorità che riceve la richiesta è tenuta, a sua volta, a fornire una risposta in cui comunica i dati richiesti o informa l’autorità richiedente che non ritiene siano soddisfatte le condizioni per chiedere assistenza a norma del Regolamento.

Il paragrafo 4 dell’art. 5 del Regolamento prevede poi che gli Stati membri possono imporre agli utenti che impediscono alle autorità competenti di accedere ai propri dati sanzioni, che devono essere effettive, proporzionate e dissuasive.

Lo stesso paragrafo 4 prevede, inoltre, che nel caso in cui un utente abusi del proprio diritto, uno Stato membro può imporre a tale utente misure provvisorie rigorosamente proporzionate, se giustificato dall’urgenza di accedere ai dati e tenendo conto degli interessi delle parti interessate.

Nel caso in cui una misura provvisoria prevedesse la rilocalizzazione dei dati per un periodo superiore ai 180 giorni, dovrà esserne informata la Commissione, che dovrà valutare la compatibilità di tale misura con il diritto dell’Unione.

6. Portabilità dei dati

Come sopra accennato, la portabilità dei dati senza vincoli è uno dei pilastri che agevolerebbe la scelta degli utenti, stimolando la concorrenza effettiva nei mercati dei servizi di trattamento dei dati.

Mentre i consumatori singoli traggono già vantaggio dal diritto dell’Unione, essa – come evidenziato dal considerando (29) – non concede le stesse facilitazioni agli utenti che intendono cambiare fornitore nell’ambito della loro attività imprenditoriale o professionale.

Al fine di aumentare i vantaggi concorrenziali, è quindi opportuno che gli utenti professionali siano in grado di compiere scelte informate, confrontando in modo semplice i singoli elementi dei servizi di trattamento dati, anche sotto il profilo delle clausole e delle condizioni contrattuali relative alla portabilità dei dati al termine del contratto.

Per raggiungere tale scopo, la Commissione, ai sensi dell’art. 6 del Regolamento, incoraggia e facilita l’elaborazione di codici di condotta di autoregolamentazione, che dovrebbero contribuire ad un’economia dei dati competitiva basata sui principi della trasparenza e dell’interoperabilità, e che contemplino, tra altro:

  • la migliore prassi per agevolare il cambio di fornitore e la portabilità dei dati in un formato strutturato, di uso comune e leggibile elettronicamente (usando sostanzialmente lo stesso wording dell’art. 20 del GDPR in materia di diritto alla portabilità dei dati personali);
  • gli obblighi di informazione minimi per garantire che i fornitori diano, prima della sottoscrizione di un contratto di trattamento dei dati, informazioni sufficientemente dettagliate, chiare e trasparenti agli utenti professionali in merito alle procedure, ai requisiti tecnici, ai tempi ed ai costi applicabili in caso di cambio di fornitore o in caso in cui l’utente professionale intenda ritrasferire i dati nei propri sistemi informatici. A titolo esemplificativo, il considerando (31) chiarisce che i codici di condotta, per essere efficaci, dovrebbero riguardare almeno gli aspetti fondamentali da valutare in tema di portabilità, tra cui i processi e il luogo dei back up dei dati, i formati dei dati e i supporti disponibili, la configurazione informatica richiesta e la larghezza di banda minima della rete, il tempo necessario per avviare il processo di trasferimento e il periodo in cui i dati saranno disponibili per il trasferimento, nonché le garanzie di accesso ai dati in caso di fallimento del fornitore.

La Commissione farà in modo che i codici di condotta siano elaborati in stretta cooperazione tra i portatori di interesse, comprese le associazioni di PMI e start up, gli utenti e i fornitori dei servizi cloud, incoraggiando i fornitori a completare lo sviluppo dei codici entro il 29 novembre 2019 e a darne applicazione entro il 29 maggio 2020.

7. Il Regolamento e la sicurezza dei dati

Il Regolamento non contiene alcuna disposizione specifica in materia di sicurezza dei dati.

Tuttavia, il tema della sicurezza e della sua rilevanza anche al fine di favorire la libera circolazione dei dati, è comunque tenuto bene presente dal legislatore dell’Unione.

Il Regolamento, infatti, da un lato sottolinea – considerando (33) – che il rafforzamento della fiducia nella sicurezza del trattamento transfrontaliero dovrebbe ridurre la tendenza degli operatori del mercato e del settore pubblico a servirsi della localizzazione come sostituto della sicurezza dei dati, e dall’altro – considerando (34) – chiarisce che tutti i requisiti di sicurezza che si applicano attualmente alle imprese e alle amministrazioni pubbliche continueranno ad applicarsi anche quando queste sceglieranno di archiviare o elaborare i dati in un altro Stato membro o di utilizzare servizi di cloud.

Il Regolamento, quindi, sensibilizza ulteriormente le imprese sulle loro responsabilità in materia di sicurezza, archiviazione ed elaborazione dei dati in contesti transfrontalieri.

Per migliorare la cyber resilienza dell’archiviazione e delle altre forme di elaborazione transfrontaliera, la Direttiva (UE) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (la “Direttiva NIS”, consulta qui il testo in italiano, nonché qui il testo del decreto di attuazione italiano), citata dal considerando (36), ha previsto che gli Stati membri devono fare in modo che i fornitori di servizi digitali identifichino e adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano.

8. Valutazioni e Orientamenti

Infine, il Regolamento prevede, all’art. 8, che:

  • entro il 29 novembre 2022, la Commissione debba presentare una relazione relativa all’attuazione del Regolamento medesimo; e
  • entro il 29 maggio 2019, la Commissione dovrà pubblicare gli orientamenti informativi sull’interazione tra il Regolamento ed il GDPR, con particolare riferimento agli insiemi dei dati composti sia da dati personali che da dati non personali.
***

In conclusione, il Regolamento è solamente l’ultimo tassello di quel framework normativo dell’Unione in materia di dati (personali e non) e della loro sicurezza, che comprende il GDPR e la Direttiva NIS e che comprenderà anche il prossimo regolamento sulla e-privacy, che sostituirà la Direttiva 2002/58/CE, che il legislatore comunitario ha posto, a parere di chi scrive in modo del tutto condivisibile, in cima all’agenda europea.