Questo articolo è stato pubblicato su AboutPharma Online il 26 ottobre 2017.
C’è una nuova proposta di regolamento Ue sulla circolazione dei dati non personali.
La Commissione europea ha recentemente elaborato la proposta di un nuovo regolamento volto a rimuovere gli ostacoli alla libera circolazione dei dati non personali (Com(2017)495), pubblicata il 13 settembre 2017. Tale proposta di regolamento si inserisce nel contesto delle azioni volte a migliorare l’economia dei dati su cui la Commissione aveva già emanato, il 10 gennaio 2017, la comunicazione “Costruire un’economia dei dati europea”. E aveva aperto le consultazioni pubbliche.
Il campo di applicazione
I dati cui si applicherebbe tale nuovo regolamento sono definiti in via residuale rispetto a quelli definiti dal regolamento generale sulla protezione dei dati 679/2016 (Gdpr) quali “dati personali”. Vale a dire “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, laddove “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità. Che sia essa fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
“Dati personali” e “dati non personali”
Dunque, per sgombrare il campo da ogni dubbio, il nuovo regolamento non si applicherebbe alla circolazione all’interno dell’Ue di dati criptati, cifrati o pseudo-anonimizzati (come quelli raccolti nel contesto di sperimentazioni cliniche). In quanto da ultimo – sulla base del Gdpr – questi sono pur sempre dati indirettamente riconducibili a soggetti determinati e dunque “personali”. Ma solo ai dati che sfuggono completamente dalla definizione di “dati personali”.
La circolazione dei primi sarà soggetta al Gdpr. Mentre il flusso di dati non personali costituisce il campo di applicazione della proposta di regolamento.
Finalità e principali previsioni
Il nuovo regolamento ha l’obiettivo di realizzare un mercato europeo più competitivo e integrato per i servizi e le attività di archiviazione e trattamento di dati non personali. In questa proposta, l’archiviazione e gli altri trattamenti dei dati sono intesi in un’accezione ampia, che comprenda l’uso di tutti i tipi di sistemi di tecnologia dell’informazione, che avvengano nei locali dell’utente o che siano esternalizzati a un fornitore di servizi di archiviazione o di trattamento di dati.
Ampia circolazione delle informazioni
Al fine di consentirne la più ampia circolazione, è vietato qualsiasi “obbligo di localizzazione dei dati”. Inteso cioè come “qualsiasi obbligo, divieto, condizione, limite o altro requisito previsto dalle disposizioni legislative, regolamentari o amministrative degli Stati membri che impone di effettuare l’archiviazione o altro trattamento di dati nel territorio di un determinato Stato membro. O che ostacola l’archiviazione o altro trattamento di dati in un altro Stato membro” (art. 3, c. 5).
Eliminando o riducendo le restrizioni alla localizzazione dei dati, si intende garantire che qualsiasi soggetto possa archiviare e trattare dati in qualsiasi parte dell’Unione Europea.
Riesame degli obblighi di localizzazione dei dati
Inoltre, il regolamento prevede che siano riesaminati gli obblighi di localizzazione attualmente esistenti nei vari Stati membri e notificati alla Commissione quelli che lo Stato membro non ritiene di eliminare, dandone le opportune giustificazioni. Altresì è richiesto che sia notificato alla Commissione qualsiasi progetto normativo che introduca un nuovo obbligo di localizzazione di dati o apporti modifiche a un obbligo vigente.
Punti cardine
Infine, la proposta di regolamento prevede:
(i) Che sia sempre garantita la disponibilità dei dati per i controlli da parte delle autorità competenti. A tal fine, gli utenti non possono rifiutarsi di fornire l’accesso ai dati alle autorità competenti sulla base del fatto che i dati sono archiviati o trattati in un altro Stato membro.
(ii) Che siano semplificate le condizioni a cui gli utenti professionali possono cambiare i fornitori di servizi cloud. A tal fine, la Commissione incoraggia i fornitori di servizi e gli utenti professionali ad elaborare e attuare codici di condotta che precisino le informazioni sulle condizioni di portabilità dei dati (compresi i requisiti tecnici e funzionali) che i fornitori devono mettere a disposizione degli utenti professionali in modo sufficientemente dettagliato, chiaro e trasparente prima della conclusione di un contratto.
Prospettive applicative
L’approvazione di questa proposta di regolamento da parte del Consiglio europeo e del Parlamento aumenterebbe sensibilmente la mobilità dei dati non personali a livello transfrontaliero nell’Ue. Attualmente limitata in molti Stati membri dalle restrizioni dovute alla localizzazione o dalle incertezze giuridiche nel mercato. Di questa semplificazione beneficerebbero molti operatori, anche del settore delle scienze della vita. Non tanto in relazione ai dati connessi alle sperimentazioni cliniche, che ben difficilmente possono ritenersi “non personali”, quanto per altri trattamenti successivi di dati che sono stati resi completamente anonimi (come alternativa alla cancellazione). E che potrebbero comunque essere utilizzati per altre finalità, come ad esempio statistiche o scientifiche in senso più ampio.
Supportare nuove tecnologie digitali
Inoltre, una maggiore circolazione dei dati supporterebbe più efficacemente lo sviluppo delle nuove tecnologie digitali, come il cloud computing, i megadati, l’intelligenza artificiale e l’internet of things (IoT) migliorando i servizi offerti agli utenti a tutti i livelli e in tutti i settori. Come indicato nella comunicazione della Commisisone “costruire un’economia dei dati europea”, il valore del mercato dei dati nell’Ue è stato stimato nel 2016 a quasi sessanta miliardi di euro, con una crescita del 9,5% rispetto al 2015. E tale mercato potrebbe ammontare a più di 106 miliardi di euro nel 2020. Questa proposta di regolamento mira quindi a valorizzare tutte le opportunità connesse a questo mercato dei dati, agendo in primo luogo sulla circolazione dei dati non personali.
