Trattamento dei dati non personali: punti di contatto tra il Regolamento (UE) 2018/1807 e il GDPR.

di Alessia Del Pizzo -

Nell’era della data economy, l’Internet degli oggetti, i sistemi innovativi di Cloud Computing, la Blockchain, l’Intelligenza Artificiale e l’apprendimento automatico costituiscono importanti fonti di dati personali e non personali. Il Regolamento (UE) 2016/679 (di seguito anche GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tale dati, definisce all’art. 4, paragrafo 1 n. 1, il <> come qualsiasi informazione concernente una persona fisica identificata o identificabile; conseguenzialmente il dato non riconducibile a una specifica persona fisica rientrerà nell’alveo dei <>. Si segnala in merito che aspetti della definizione di dati personali, come “qualsiasi informazione”, “relativa a”, “identificato o identificabile”, sono già stati trattati dal Gruppo di lavoro dell’articolo 29 nel suo parere 4/2007 sul concetto di dati personali come del 20 giugno 2007, WP 136.
Ciò posto, per aumentare ulteriormente lo scambio transfrontaliero di dati e potenziare l’economia dei dati, nel novembre 2018 il Parlamento europeo e il Consiglio hanno adottato il Regolamento (UE) 2018/1807, al fine di delineare un quadro globale per uno spazio di dati europeo comune e la libera circolazione di tutti i dati all’interno dell’Unione europea. Se a norma del Regolamento (UE) 2016/679, gli Stati membri non possono limitare o vietare la libera circolazione dei dati personali all’interno dell’Unione per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di dati personali, allo stesso modo il Regolamento (UE) 2018/1807 sancisce il principio di libera circolazione all’interno dell’Unione per i dati non personali, tranne nei casi in cui una limitazione o un divieto siano giustificati per motivi di sicurezza pubblica.
I dati non personali possono essere classificati in base all’origine come:
– dati che originariamente non si riferivano a una persona fisica identificata o identificabile (come ad es., i dati sulle condizioni meteorologiche generate da sensori installati su turbine eoliche o dati sulle esigenze di manutenzione di macchine industriali);
– dati che inizialmente erano dati personali, ma sono stati successivamente resi anonimi.
Si noti, a tal proposito, che l’anonimizzazione dei dati personali è diversa dalla pseudonimizzazione.
Quest’ultima è una tecnica che permette di trattare dati personali in modo tale che non sia possibile attribuirli a una persona specifica senza il ricorso a informazioni aggiuntive. Queste informazioni aggiuntive, inoltre, sono conservate separatamente e protette da specifici mezzi organizzativi o tecnici (ad es. Crittografia). Tuttavia, i dati pseudonimizzati sono ancora considerati riferibili a una persona identificabile, poiché possono essere attribuiti al soggetto cui si riferiscono utilizzando informazioni ulteriori; pertanto, in quanto prodotto di un processo di alterazione temporaneo e reversibile, tali dati restano soggetti alle norme del GDPR.
L’ anonimizzazione dei dati personali, invece, si distingue dalla pseudonimizzazione, in quanto è irreversibile e consiste nella sostituzione permanente del dato personale con una stringa senza alcun valore e a carattere assolutamente generico. I dati correttamente resi anonimi, dunque, non possono più essere attribuiti a una persona specifica, nemmeno mediante l’utilizzo di informazioni aggiuntive e sono, quindi, dati non personali, attratti nell’orbita del Regolamento (UE) 2018/1807.
Tuttavia, laddove le evoluzioni della tecnica dovessero poi consentire la trasformazione di dati anonimizzati in dati personali, troverà applicazione il Regolamento (UE) 2016/679.
Nella maggior parte delle situazioni della vita reale, è molto probabile che un set di dati sia composto sia da informazioni a carattere personale che non personale. Questo è spesso definito come un “set di dati misto”. I set di dati misti rappresentano la maggior parte degli insiemi di dati utilizzati nella data economy.
In merito, la Guida della Commissione Europea sul Regolamento (UE) 2018/1807 concernente i dati non personali, pubblicata il 29 maggio 2019, fornisce alcuni esempi di set di dati misti quali, ad esempio, il registro delle imposte di un’impresa, in cui è fatta menzione anche del nome e del numero di telefono dell’amministratore delegato della società, oppure, ancora, i set di dati di una banca, in particolare quelli concernenti le informazioni sui clienti e i dettagli delle loro transazioni.
Nel caso di un set di dati misto, la Guida, conformemente alle norme dei due regolamenti in commento, suggerisce al titolare del trattamento il seguente approccio:
1. applicare il regolamento sulla libera circolazione dei dati non personali alla parte del set relativa ai dati non personali;
2. applicare il GDPR alla parte relativa ai dati personali dell’insieme;
3. applicare il GDPR a tutto l’insieme di dati misto, quando i dati non personali e i dati personali sono “indissolubilmente collegati”, anche se i dati personali rappresentano una piccola parte dell’insieme stesso.
Sebbene il termine “indissolubilmente collegato” non sia definito né dal GDPR né dal Regolamento (UE) 2018/1807, la Guida si riferisce a situazioni in cui la separazione dei dati personali e non personali “sarebbe impossibile o ritenuta dal titolare del trattamento economicamente inefficiente o tecnicamente infattibile”. Ad esempio, quando, la separazione può comportare per l’azienda o per l’ente costi duplicati (si pensi in tal senso ai costi sostenuti per l’acquisto di specifici software gestionali per i due tipi di dati) oppure, ancora, una riduzione considerevole del valore dello stesso set di dati.
Per tale ragione è importante sottolineare che nessuno dei due regolamenti obbliga le aziende a separare i set di dati che queste controllano o elaborano.
In conclusione, la Guida fornisce informazioni utili, nello specifico alle imprese, per quanto riguarda l’interazione tra GDPR e il Regolamento sulla libera circolazione dei dati non personali. Insieme, i due regolamenti mirano a ottenere la libera circolazione dei dati, eliminando i requisiti di localizzazione degli stessi, sostenendo i requisiti di portabilità dei dati e incoraggiando le industrie a sviluppare a tale scopo codici di condotta. Ciò dovrebbe facilitare, in particolare, le piccole e medie imprese ad espandersi oltre i confini e sviluppare nuovi servizi innovativi. Resta, dunque, necessaria uno studio approfondito dei flussi di dati, in particolare per le aziende che utilizzano l’analisi dei dati nei loro modelli di business.