Testo del Regolamento UE 2018/1807
L’inarrestabile crescita del mercato digitale implica che le nuove tecnologie digitali, come il cloud computing, l’intelligenza artificiale e l’internet degli oggetti (Internet of things) “producono” dati che necessitano di circolare all’interno dell’Unione Europea, sia che siano dati personali sia che siano dati non personali.
Consapevole di questa esigenza, la Commissione europea il 13 settembre 2017 ha presentato una proposta di Regolamento già approvata dal Parlamento Europeo in prima lettura.
La ratio del Regolamento è quello di introdurre una nuova normativa complementare al GDPR volta a migliorare la mobilità dei dati non personali a livello transfrontaliero, al fine di instaurare un mercato interno dei servizi e delle attività di archiviazione e trattamento di dati che sia più integrato e competitivo. Ad oggi, infatti, permangono ancora delle differenze normative tra gli Stati Membri in tema di immagazzinamento e archiviazione (cd. hosting) ed elaborazione di dati, differenze che comportano un freno significativo alla realizzazione di un mercato unico digitale.
In altri termini, l’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.
La Commissione individua due ostacoli principali alla piena affermazione della libertà delle imprese e delle PA di scegliere il luogo in cui conservare e gestire i propri dati: le ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri e le limitazioni del mercato privato che impediscono la portabilità dei dati tra sistemi informatici.
Nella proposta del Regolamento la Commissione affronta la problematica attraverso quattro linee d’azione.
1. Viene introdotto il generale principio di libera circolazione dei dati non-personali tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.
2. Viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.
3. La proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.
4. Viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.
In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente minore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy.
