Estratto SIG – Strategia UE sui dati 3, e “trasferimento” di dati
La strategia dell’Unione europea sui dati prende forma tramite un complesso articolato di atti normativi, alcuni già promulgati ed altri in fase di completamento del processo legislativo tra le istituzioni europee.
Norme UE per la condivisione dei dati
Figura – Le principali norme UE sui dati a confronto.
Una volta stabilizzato il regime data protection – con la sola riforma ePrivacy ancora in corso di definizione per il completamento dell’iter di approvazione da parte di Parlamento e Consiglio UE – la Commissione ha promosso una serie di atti normativi volti a sostenere l’accesso e la condivisione dei “dati non-personali” oppure anche dei “dati personali”, questi ultimi pur sempre nel rispetto delle condizioni dettate dalla normativa di riferimento.
Gli interventi normativi sono stati da ultimo di carattere orizzontale, cioè di natura generale, come
- la direttiva sui dati aperti (Direttiva 2019/1024), per la quale gli Stati membri hanno tempo sino al 17 luglio 2021 per il recepimento e l’Italia ha provveduto a delegare il governo allo scopo con la legge di delegazione europea 2019-2020 (l. n. 53/2021)
- il regolamento sulla libera circolazione di dati (Reg. 2018/1807);
nonchè alcune iniziative tutt’ora allo stadio di proposte, come
- la proposta di regolamento sulla governance dei dati (Data Governance Act “DGA”)
- la possibile proposta di legge sui dati, allo stadio di valutazione d’impatto normativo e non ancora formalizzata in proposta ufficiale
- la proposta di regolamento sull’intelligenza artificiale (Artificial Intelligence Act – “A.I.A”).
Dati oggetto di condivisione
Tra le norme della strategia UE sui dati volte ad agevolare la condivisione dei dati sul territorio europeo, alcune si indirizzano specificamente ai soli “dati non-personali” – come la direttiva sui dati aperti ed il regolamento sui flussi liberi di dati – altre, invece, riguardano entrambe le tipologie di dati “personali” e “non-personali”, come le proposte DGA, AIA e, per quanto si sa allo stato, di legge sui dati. A ben vedere, entrambe la direttiva sui dati aperti e il regolamento sulla libera circolazione dei dati prevedono anche lo sfruttamento di insiemi di dati misti (“dati personali” e “dati non-personali) e, di conseguenza, includono nel loro ambito anche casi di libero accesso o libera circolazione di “dati personali”. In queste ipotesi, si dovranno rispettare entrambe le discipline di protezione (GDPR) e condivisione (open data e free sharing), con prevalenza del GDPR in caso di conflitto.
In tutti i casi, infatti, la norma finalizzata alla condivisione dei dati precisa che essa «non pregiudica la tutela delle persone fisiche in relazione al trattamento dei dati personali conformemente al diritto nazionale e dell’Unione, in particolare il regolamento (UE) 2016/679 e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, ed eventuali disposizioni legislative supplementari nazionali» [Direttiva sui dati aperti, Considerando (52) e art. 1.4].
Interazioni tra GDPR e norme sulla condivisione dei dati
Anche la direttiva sui dati aperti e il regolamento sulla libera circolazione di dati, entrambe norme che specificano di avere come ambito applicativo oggettivo i soli “dati non-personali”, comunque precisano le interazioni col GDPR in caso di insiemi (data set) contenenti dati misti, cioè sia “dati personali” sia “dati non-personali”.
Ambedue le norme stabiliscono che GDPR e norma sulla condivisione dei dati (cioè sia direttiva sui dati aperti sia regolamento sui flussi liberi di dati) si applicano ciascuna sulla pertinente tipologia di dati, vale a dire:
- Il GDPR sui “dati personali” contenuti nel set
- Direttiva 2019/1024 e Regolamento 2018/1807, solo sui “dati non-personali” della medesima raccolta.
Qualora, invece, il data set riscontrasse una commistione di dati “personali” e “non-personali” tale per cui gli stessi risulterebbero “indissolubilmente legati” e, quindi, l’applicazione diversificata delle due norme non sarebbe praticabile, l’ambito applicativo del GDPR comprenderà l’intero set di dati di natura promiscua. Si veda, al riguardo, l’art. 2.2 del Reg. 2018/1807 e il documento della Commissione “Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union”, previsto dal Considerando (37) e dall’art. 8.3 del medesimo regolamento. «Pertanto, un insieme di dati misti sarà di norma soggetto agli obblighi dei titolari e dei responsabili del trattamento e rispetterà i diritti degli interessati stabiliti dal regolamento generale sulla protezione dei dati.» (Guidance, cit.).