Continua l’analisi sulla proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.
L’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.
La Commissione individua due ostacoli principali alla piena affermazione della libertà di imprese e PA di scegliere il luogo in cui conservare e gestire i propri dati.
Il primo ostacolo è rappresentato dalle ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri. Le ragioni che negli anni hanno spinto i diversi Stati a imporre l’archiviazione a livello locale dei dati delle proprie imprese o PA risiede principalmente in ragioni legate alla maggiore sicurezza e al più facile controllo da parte delle autorità nazionali. Si pensi ad esempio alle misure di conservazione dei dati in materia finanziaria, di contabilità e bilancio delle imprese previste da Germania, Danimarca, Belgio e altri stati nord europei, che richiedono l’archiviazione entro i confini dello stato membro. O anche ai dati inerenti alle vincite e alle transazioni in materia di gioco d’azzardo che stati come Bulgaria, Polonia e Romania impongono di conservare in territorio nazionale. Inoltre, anche ove non siano espresse specifiche restrizioni territoriali nazionali, la prassi imprenditoriale e il sentimento comune hanno comunque portato a privilegiare una conservazione localizzata dei dati, rinunciando alle alternative proposte oltre-confine.
Il secondo ostacolo alla liberalizzazione, invece, deriva dalle limitazioni del mercato privato che, attraverso le c.d. pratiche di vendor-lock in, impediscono la portabilità dei dati tra sistemi informatici. Tale diffuso fenomeno commerciale nasce dalla volontà dei fornitori di creare un rapporto di dipendenza artificiosa tra il cliente e i beni e servizi da essi forniti. Il cliente viene posto nella condizione di non poter acquistare beni e servizi concorrenti, senza che il passaggio di fornitore comporti il sostenimento di significativi oneri economici e riorganizzativi. Questa sorta di “fidelizzazione forzata” viene attuata sia attraverso l’adozione da parte del fornitore di tecnologie o standard diversi rispetto a quelli utilizzati dai concorrenti; sia attraverso la previsione di condizioni contrattuali particolarmente penalizzanti in caso di passaggio.
Per mettere un freno alla diffusione di tali pratiche e disposizioni, la Commissione, con la proposta di regolamento, intende affrontare le problematiche attraverso quattro linee d’azione.
In primo luogo, viene introdotto il generale principio di libera circolazione dei dati tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.
In secondo luogo, nell’intento di rassicurare i legislatori nazionali, viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.
In terzo luogo, la proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.
Infine, viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.
In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente inferiore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy, come quello di libera circolazione e di portabilità dei dati, attraverso un ampliamento del loro raggio d’azione.
Aggiungi commento