05 Giu Dati non personali: la Commissione Europea ha emanato il documento “Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union” (Comunicazione della Commissione al Parlamento Europeo e al Consiglio del 29 maggio 2019, COM (2019) 250 final).
Con il documento in epigrafe, la Commissione Europea ha fornito alcuni chiarimenti e suggerimenti interpretativi sull’interazione tra il Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’UE, applicabile a decorrere dal 28 maggio scorso, e il Regolamento (UE) 2016/679 sulla protezione dei dati personali (GDPR) (di seguito le “Linee Guida”).Le Linee Guida, chiariscono la nozione di dato non personale, da intendersi come (i) dato che in origine non si riferiva ad una persona fisica identificata o identificabile, ovvero come (ii) dato inizialmente personale e successivamente reso anonimo, ossia non attribuibile ad una persona fisica neppure ricorrendo ad informazioni aggiuntive, ed approfondiscono il concetto di “insiemi misti di dati”, da intendersi quale insieme composto sia da dati personali che da dati non personali, nonché le implicazioni connesse al trattamento degli stessi, in termini di interazione tra i regolamenti sopra menzionati, anche alla luce dei più recenti sviluppi tecnologici connessi all’Internet of things, all’intelligenza artificiale e, in generale, alle tecnologie che consentono l’analisi dei megadati.
La Commissione, in particolare, analizza il tema relativo agli insiemi misti in cui le parti di dati personali e le parti di dati non personali sono tra loro “indissolubilmente legate”, in quanto la separazione sarebbe impossibile o ritenuta dal titolare economicamente inefficiente o non tecnicamente realizzabile, chiarendo che in tal caso, i diritti e gli obblighi sanciti dal GDPR debbano rimanere impregiudicati, trovando piena applicazione anche qualora i dati personali rappresentino solo una minima parte dell’insieme considerato.
Il documento pone particolare attenzione alla libera circolazione dei dati anche alla luce del regolamento sui dati non personali, chiarendo che il divieto di localizzazione dei dati, salvo che per ragioni di pubblica sicurezza, impedisce agli Stati membri di imporre qualsiasi misura, normativa, regolamentare, amministrativa o tramite prassi amministrative generali che possano comportare, anche solo indirettamente, un limite alla libera circolazione dei dati non personali, con la precisazione che l’effettivo rispetto di detto obbligo dev’essere valutato tenendo conto di tutte le circostanze del caso concreto.
In particolare, viene evidenziata la necessità di garantire la libera portabilità dei dati e viene messa in luce la rilevanza del fenomeno del c.d. vendor lock-in, che blocca i dati degli utenti e ne impedisce la migrazione, particolarmente diffuso tra i fornitori di servizi cloud. Sul tema viene suggerito un approccio basato sull’autoregolamentazione dei fornitori, mediante l’adozione di codici di condotta che stabiliscano le best practices per agevolare la trasportabilità dei dati tra piattaforme cloud gestite da provider diversi e per garantire un’adeguata informazione degli utenti sulle implicazioni dei servizi offerti, nonché l’adozione di sistemi di certificazione della conformità dei servizi cloud alla normativa in materia di protezione dei dati personali.
