Strategia UE sui dati 3, e “trasferimento” di dati

 In Editoriale, Puntate SIG 2021, SIG
Print Friendly, PDF & Email

La strategia dell’Unione europea sui dati prende forma tramite un complesso articolato di atti normativi, alcuni già promulgati ed altri in fase di completamento del processo legislativo tra le istituzioni europee.

Norme UE per la condivisione dei dati

 

Figura – Le principali norme UE sui dati a confronto.

Una volta stabilizzato il regime data protection – con la sola riforma ePrivacy ancora in corso di definizione per il completamento dell’iter di approvazione da parte di Parlamento e Consiglio UE – la Commissione ha promosso una serie di atti normativi volti a sostenere l’accesso e la condivisione dei “dati non-personali” oppure anche dei “dati personali”, questi ultimi pur sempre nel rispetto delle condizioni dettate dalla normativa di riferimento.

Gli interventi normativi sono stati da ultimo di carattere orizzontale, cioè di natura generale, come 

  • la direttiva sui dati aperti (Direttiva 2019/1024), per la quale gli Stati membri hanno tempo sino al 17 luglio 2021 per il recepimento e l’Italia ha provveduto a delegare il governo allo scopo con la legge di delegazione europea 2019-2020 (l. n. 53/2021)
  • il regolamento sulla libera circolazione di dati (Reg. 2018/1807)

nonchè alcune iniziative tutt’ora allo stadio di proposte, come 

  • la proposta di regolamento sulla governance dei dati (Data Governance Act “DGA)
  • la possibile proposta di legge sui dati, allo stadio di valutazione d’impatto normativo e non ancora formalizzata in proposta ufficiale 
  • la proposta di regolamento sull’intelligenza artificiale  (Artificial Intelligence Act – “A.I.A”).

Dati oggetto di condivisione

Tra le norme della strategia UE sui dati volte ad agevolare la condivisione dei dati sul territorio europeo, alcune si indirizzano specificamente ai soli “dati non-personali” – come la direttiva sui dati aperti ed il regolamento sui flussi liberi di dati – altre, invece, riguardano entrambe le tipologie di dati “personali” e “non-personali”, come le proposte DGA, AIA e, per quanto si sa allo stato, di legge sui dati. A ben vedere, entrambe la direttiva sui dati aperti e il regolamento sulla libera circolazione dei dati prevedono anche lo sfruttamento di insiemi di dati misti (“dati personali” e “dati non-personali) e, di conseguenza, includono nel loro ambito anche casi di libero accesso o libera circolazione di “dati personali”. In queste ipotesi, si dovranno rispettare entrambe le discipline di protezione (GDPR) e condivisione (open data e free sharing), con prevalenza del GDPR in caso di conflitto.

In tutti i casi, infatti, la norma finalizzata alla condivisione dei dati precisa che essa «non pregiudica la tutela delle persone fisiche in relazione al trattamento dei dati personali conformemente al diritto nazionale e dell’Unione, in particolare il regolamento (UE) 2016/679 e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, ed eventuali disposizioni legislative supplementari nazionali» [Direttiva sui dati aperti, Considerando (52) e art. 1.4].

Interazioni tra GDPR e norme sulla condivisione dei dati

Anche la direttiva sui dati aperti e il regolamento sulla libera circolazione di dati, entrambe norme che specificano di avere come ambito applicativo oggettivo i soli “dati non-personali”, comunque precisano le interazioni col GDPR in caso di insiemi (data set) contenenti dati misti, cioè sia “dati personali” sia “dati non-personali”.

Ambedue le norme stabiliscono che GDPR e norma sulla condivisione dei dati (cioè sia direttiva sui dati aperti sia regolamento sui flussi liberi di dati) si applicano ciascuna sulla pertinente tipologia di dati, vale a dire:

  • Il GDPR sui “dati personali” contenuti nel set
  • Direttiva 2019/1024 e Regolamento 2018/1807, solo sui “dati non-personali” della medesima raccolta.

Qualora, invece, il data set riscontrasse una commistione di dati “personali” e “non-personali” tale per cui gli stessi risulterebbero “indissolubilmente legati” e, quindi, l’applicazione diversificata delle due norme non sarebbe praticabile, l’ambito applicativo del GDPR comprenderà l’intero set di dati di natura promiscua. Si veda, al riguardo, l’art. 2.2 del Reg. 2018/1807 e il documento della Commissione “Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union”, previsto dal Considerando (37) e dall’art. 8.3 del medesimo regolamento. «Pertanto, un insieme di dati misti sarà di norma soggetto agli obblighi dei titolari e dei responsabili del trattamento e rispetterà i diritti degli interessati stabiliti dal regolamento generale sulla protezione dei dati.» (Guidance, cit.).

Bilanciamento tra GDPR e strategia sui dati

Gli strumenti messi in campo per la messa a terra della strategia UE sui dati hanno sollevato forti perplessità da parte delle autorità di supervisione nazionale (ASN) e dell’EDPB. 

Considerate le iniziative legislative unionali del Digital Services Act (DSA), del Digital Markets Act (DMA), del Data Governance Act (DGA) e del regolamento sull’intelligenza artificiale (AIR), l’EDPB ha reso noto in un comunicato una dichiarazione diretta alla Commissione che si aggiunge alle iniziative congiunte di EDPB e EDPS – con i pareri congiunti sulla DGA e l’AIR – ed ai pareri dell’EDPB sulla strategia europea per i dati, la DMA e la DSA.

Dichiarazione EDPB del novembre 2021

Nella dichiarazione del novembre 2021, l’EDPB evidenzia tre tipi di preoccupazioni generali riguardo alle proposte della Commissione che sono state presentate finora (il Data Governance Act (DGA), Digital Services Act (DSA) e Digital Markets Act (DMA) e il regolamento AI (AIR )): 

  1. Mancanza di tutela dei diritti e delle libertà fondamentali degli individui; 
  2. Supervisione frammentata; 
  3. Rischi di incongruenze. 

L’EDPB sottolinea i rischi dell’istituzione di autorità di supervisione parallele e raccomanda l’efficace cooperazione e scambio di informazioni tra le autorità di controllo competenti nell’ambito di ciascuna proposta e le autorità di protezione dei dati. Inoltre, l’EDPB invita la Commissione e il colegislatore a garantire che le proposte indichino chiaramente che ciascuna di esse non deve pregiudicare l’applicazione delle norme vigenti in materia di protezione dei dati e a garantire che le norme del GDPR prevalgano ogniqualvolta vengono trattati dati personali, anche nel contesto della prossima proposta di legge sui dati.

Nella sua dichiarazione, l’EDPB ribadisce la richiesta di vietare qualsiasi uso dell’IA per il riconoscimento automatizzato delle caratteristiche umane negli spazi accessibili al pubblico come il riconoscimento facciale e la profilazione basati sull’IA ed altre forme di identificazioni biometriche in tempo reale, perché questo incoraggia la discriminazione.

L’EDPB vuole regole più severe per la pubblicità [comportamentale] personalizzata considerata nel DSA. Questa pubblicità si basa su forme intrusive di tracciamento online delle persone e l’EDPB esorta il colegislatore a prendere in considerazione un’eliminazione graduale che porti al divieto di pubblicità mirata sulla base di tracciamento pervasivo tramite, ad esempio, i cookie di tracciamento; mentre la profilazione dei bambini dovrebbe essere complessivamente vietata. 

 

Linee guida EDPB 5/2021 sui trasferimenti di dati verso paesi terzi

Il 18 novembre 2021 l’EDPB ha rilasciato le linee guida 5/2021 sulla relazione tra l’ambito di applicazione territoriale del GDPR (ai sensi dell’art. 3) e il concetto di trasferimento di dati verso paesi terzi, per l’applicabilità della disciplina dettata al Capo V del regolamento. Le linee guida sono ancora in versione provvisoria, in attesa del decorso del periodo di consultazione pubblica che terminerà il 31/1/2022.

Concetto di trasferimento di dati personali verso paesi terzi

L’occasione ha permesso all’EDPB di fornire la chiave interpretativa del concetto di “trasferimento di dati personali verso paesi terzi” che, diversamente da altre nozioni ad esso prossime – come “trattamento” e “trattamento transfrontaliero” – non è definito nel GDPR. 

La precisa delimitazione del concetto di “trasferimento di dati personali verso paesi terzi” è di rilievo perchè ad esso è associata l’applicazione della disciplina del Capo V, aggiuntiva a quella generale sui trattamenti.

La nozione di “trasferimento” non è sinonimo di “trasmissione” ma piuttosto di “disponibilità dei dati” (v. EDPB e CJEU): quindi, i dati personali che un titolare/responsabile del trattamento (esportatore) rende disponibile ad altro titolare/responsabile (importatore) in un paese terzo, ad esempio, rendendone possibile l’accesso da remoto, rientra in questa definizione.

Concetto di trasferimento

Figura – Criteri per la determinazione del concetto di trasferimento di dati personali verso paesi terzi.

Criteri interpretativi del concetto di trasferimento verso paesi terzi

Secondo le linee guida 5/2021 la nozione di “trasferimento” si desume tramite i seguenti criteri interpretativi (cumulativi):

  1. la fonte del trattamento di dati personali (“esportatore”) deve essere un titolare o un responsabile del trattamento
  2. alla fonte deve applicarsi il GDPR ai sensi dell’art. 3
  3. non rileva dove l’esportatore abbia il proprio stabilimento
  4. i dati personali devono essere trasmessi o resi disponibili in un paese terzo
  5. il soggetto importatore deve anch’esso essere titolare o responsabile del trattamento
  6. non rileva se all’importatore sia applicabile il GDPR
  7. l’importatore deve essere stabilito in un paese terzo, che può essere anche lo stesso dell’esportatore (come nel caso in cui l’esportatore sia un soggetto estero cui si applica il GDPR ai sensi dell’art. 3.2).

Esempi di trasferimento di dati secondo i citati criteri

Sulla base dei citati criteri, possono farsi i seguenti esempi tratti dalle stesse linee guida:

 

Figura – Esempi di trasferimenti e relativa applicabilità della disciplina del Capo V GDPR.

  1. un titolare o responsabile che è stabilito nella UE (A), effettua un trattamento di dati personali fuori dalla UE e trasferisce i dati ad un proprio responsabile (B) che si trova in un paese terzo: al trasferimento di dati tra (A) e (B) si applica il capo V del GDPR
  2. una società stabilita in un paese terzo (A), titolare del trattamento, cui si applica il GDPR ai sensi dell’art. 3.2 trasferisce i dati a due aziende (B) e (C) che effettuano operazioni di trattamento per suo conto, come responsabili del trattamento; (B) è stabilita nello stesso paese terzo di (A) e (C) è stabilita in altro paese terzo: per i trasferimenti tra (A) e (B) e tra (A) e (C) trova applicazione il capo V del GDPR
  3. un titolare stabilito in un paese terzo (A), effettua un trattamento cui si applica il GDPR in base all’art. 3.2, e rende disponibili i dati di questo, mediante accesso ai propri server, a un proprio responsabile (B) che si trova nella UE: il flusso di dati tra (A) e (B) e tra (B) e (A) è soggetto al capo V del GDPR
  4. un titolare stabilito in un paese terzo (A) effettua un trattamento di dati personali NON soggetto al GDPR, trasmette tali dati a un’azienda che agisce come suo responsabile (B) situato nella UE: il flusso di ritorno dei dati da (B) a (A) è disciplinato dal capo V del GDPR
  5. il dipendente autorizzato al trattamento (A) di un titolare di un trattamento soggetto al GDPR (B) mentre è in trasferta in un paese terzo si collega ai sistemi aziendali mediante il suo pc ed effettua operazioni in merito a quel trattamento: al flusso di dati tra (A) e (B) non si applica il capo V del GDPR perchè lo stesso non avviene tra titolari e responsabili.  

Implicazioni

Di conseguenza, quando si applica il capo V del GDPR, è necessario rispettare anche le prescrizioni derivanti dalla decisione Schrems II, adottando le misure supplementari, cioè anche nel caso in cui il trasferimento riguarda entità soggette al GDPR ai sensi dell’articolo 3.2 ed indipendentemente dal fatto che il trattamento avvenga o meno nell’UE.

In aggiunta, siccome la disciplina del Capo V è aggiuntiva e non sostitutiva di quella generale della restante parte del GDPR, anche quando l’operazione non costituisce trasferimento di dati ai sensi del Capo V, i titolari e i responsabili del trattamento devono comunque rispettare tutte le disposizioni pertinenti del GDPR, come l’adozione di adeguate misure tecnico-organizzative ai sensi dell’articolo 32.

Trasferimenti inversi

Nell’ipotesi dei cosiddetti ‘trasferimenti inversi’, vale a dire quando il trasferimento avviene da parte di un responsabile stabilito nella UE, quindi soggetto al GDPR, al proprio titolare stabilito in un paese terzo, qualora quest’ultimo sia anch’esso soggetto al GDPR si deve tenere conto – secondo l’EDPB – di questa circostanza e quindi includere nel contratto di trasferimento dati meno obblighi per non duplicare gli obblighi del GDPR. Piuttosto, lo strumento dovrebbe affrontare gli elementi e i principi che “mancano” e, quindi, necessari per colmare le lacune relative a leggi nazionali contrastanti e l’eventuale accesso ai dati da parte delle autorità del paese terzo, nonché la difficoltà di far valere e ottenere un risarcimento nei confronti di un’entità stabilita al di fuori l’Unione Europea.

Per questa ragione si prevede il rilascio di nuove SCC semplificate da parte della Commissione UE, che indirizzino il caso dei trasferimenti di dati tra un responsabile UE e un titolare stabilito in paese terzo ma soggetto al GDPR.

Rosario Imperiali d’Afflitto

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Not readable? Change text. captcha txt
0