Sommario: 1. Il tema. – 2. Il Regolamento cd. FFD: dato non personale, dato cd. misto e la libera circolazione dei dati non personali (e rimozione degli obblighi di localizzazione dei dati).
-
Il tema
Al fine di potenziare ulteriormente lo scambio transfrontaliero e l’economia dei dati, nel mese di novembre 2018 il Parlamento Europeo ed il Consiglio hanno adottato il Regolamento UE n. 2018/1807 del 14.11.2018 relativo alla libera circolazione dei dati non personali all’interno dell’Unione Europea (denominato “Free Flow Data Regulation”, di seguito cd. “Regolamento FFD”), il quale è applicabile, all’interno dell’Unione Europea, a decorrere dal 28.5.2019.
Considerato che il principio della libera circolazione dei dati personali è stato sancito all’interno del Regolamento UE n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei relativi dati personali (cd. GDPR), ne consegue che ora, con l’entrata in vigore del Regolamento FFD, esiste un quadro globale per uno spazio comune europeo dei dati (personali e non) e per la libera circolazione di tutti i dati medesimi all’interno dell’Unione Europea (con estensione, altresì, allo Spazio Economico Europeo).
-
Il Regolamento cd. FFD: dato non personale, dato cd. misto e la libera circolazione dei dati non personali (e rimozione degli obblighi di localizzazione dei dati)
Come poc’anzi anticipato, il Regolamento FFD riguarda soltanto i dati non personali, ossia i “dati diversi dai dati personali definiti dall’art. 4 punto 1 del Regolamento UE n. 2016/679” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”): a tal riguardo, preme osservare che, giacché la definizione di “dato personale” sopra illustrata si riferisce esclusivamente alle persone fisiche, gli insiemi di dati che contengono i nomi ed i dati di contatto delle persone giuridiche sono, in linea di principio, dati non personali, fatti salvi alcuni casi specifici, ovverosia laddove, ad esempio, il nome della persona giuridica corrisponde a quello della persona fisica che la possiede.
I dati non personali possono essere classificati in base alla loro origine come:
- In primo luogo, come dati che, in origine, non si riferivano a una persona fisica identificata o identificabile (es.: insieme di dati aggregati e anonimizzati usati per l’analisi dei mega dati; i dati sull’agricoltura di precisione; i dati sulle esigenze di manutenzione delle macchine industriali) (cfr. Considerando n. 9 del Regolamento FFD);
- In secondo luogo, come dati che inizialmente erano dati personali, ma che poi sono stati resi anonimi: l’anonimizzazione dei dati personali è, infatti, differente dalla pseudonimizzazione ex art. 4 n. 5 del GDPR (“il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”), in quanto i dati che sono stati resi anonimi, in modo adeguato, non possono essere attribuiti a una persona specifica, neppure ricorrendo a informazioni aggiuntive e sono, pertanto, dati non personali (cfr. Considerando n. 26 del GDPR: “…Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme di fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”).
Illustrata, nel dettaglio, la differenziazione tra dati personali e dati non personali, occorre, ora, occuparsi della maggioranza dei dati utilizzati nella cd. digital economy, ovverosia i dati cd. misti, i quali sono costituiti da quell’insieme di dati composto sia da dati personali che da dati non personali (es. documento fiscale di un’impresa, che contiene il nome ed il numero di telefono dell’amministratore delegato; insieme di dati di un istituto di credito, contenenti sia informazioni sui clienti che dettagli delle transazioni effettuate): a tal proposito, il Regolamento FFD dispone testualmente che esso si applica “…alla parte dell’insieme contenente i dati non personali. Qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati, il presente regolamento lascia impregiudicata l’applicazione del Regolamento UE 2016/679” (n.d.r.: il concetto di “indissolubilmente legato” non è stato definito né dal Regolamento FFD né dal GDPR: ai fini pratici, esso può denotare una situazione in cui un insieme di dati contiene sia dati personali che dati non personali e separarli sarebbe impossibile o ritenuto dal Titolare del trattamento economicamente inefficiente o non tecnicamente realizzabile).
Da ultimo, si pone l’attenzione sul fatto che il Regolamento FFD intende, altresì, garantire la libera circolazione dei dati non personali all’interno dell’Unione Europea (infatti, non si applica ai servizi di trattamenti di dati svolti al di fuori dell’Unione Europea e agli obblighi di localizzazione di dati relativi a tali trattamenti), fatte salve le esigente di pubblica sicurezza (cfr. art. 4 comma 1 del Regolamento FFD: “Gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità”): in buona sostanza, a partire dal 28.5.2019 non potrà essere imposto ai fornitori di servizi di trattamento dati alcun requisito che abbia l’effetto di rendere più difficoltoso il trattamento dei dati al di fuori di un determinato territorio o area geografica all’interno dell’Unione Europea, se non per far fronte a una minaccia reale e sufficientemente grave a uno degli interessi fondamentali dello Stato membro, ed in ogni caso nei limiti di quanto necessario a tale scopo.
Pertanto, così come indicato all’interno del Considerando n. 10 del Regolamento FFD, il GDPR, unitamente al Regolamento FFD, forniscono un insieme coerente di norme che disciplinano la libera circolazione di diverse tipologie di dati (il primo, i dati personali; il secondo, i dati non personali).