Riprendiamo l’analisi della strategia europea sui dati e sul principale obiettivo di agevolare lo sviluppo di un’economia dell’unione “data driven”. 

Nella scorsa puntata dell’Alert del 22 luglio 2021 si è sottolineato il valore strategico del “dato” ed è stato esaminato il posizionamento delle economie dei 27 Paesi al riguardo. In questa tornata, ci soffermiamo sulla natura di questo bene immateriale e sulla linea di demarcazione tra dati personali – soggetti alla tutela dei diritti e delle libertà dell’individuo – e dati non-personali, nell’ottica dello sfruttamento di questo bene prezioso.

 

Protezione dei dati personali

La strategia europea sui dati prende atto che il legislatore europeo ha inizialmente gettato le basi di questo sviluppo sancendo il diritto fondamentale dell’individuo alla protezione dei propri dati personali. La Carta dei diritti fondamentali dell’Unione Europea riconosce l’esistenza di tale diritto autonomo insieme all’istituzione di un’autorità di controllo nazionale indipendente (art. 8), in aggiunta al – e in autonomia dal – diritto alla riservatezza della vita privata (art. 7 della Carta). Completa la piattaforma normativa unionale, l’articolo 16 del Trattato sul funzionamento dell’Unione (“TFUE”) che in proposito recita: «Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano» ed aggiunge, «(i)l rispetto di tali norme è soggetto al controllo di autorità indipendenti.». 

La strategia della Commissione, pertanto, è quella di «mantenere l’UE all’avanguardia dell’economia agile basata sui dati, rispettando e promuovendo nel contempo i valori fondamentali che costituiscono i capisaldi delle società europee» (enfasi aggiunta).

Economia e valori, tuttavia, non si trovano sullo stesso piano, in quanto i secondi sono sanciti da norme primarie del diritto dell’Unione (Carta e TFUE) le quali indirizzano le norme secondarie (Regolamenti e direttive) senza che queste possano contraddire le prime.

 

Disciplina sui dati personali

La norma unionale di riferimento sulla protezione dei dati personali è il regolamento generale n. 2016/679 (“GDPR”) che ha sostituito la direttiva 95/46/CE. Il GDPR persegue due obiettivi strettamente connessi:

  • l’elevata protezione dei dati personali
  • la libera circolazione dei dati personali all’interno dell’Unione.

La protezione dei dati, pertanto, non solo risponde alla tutela del diritto fondamentale sancito dai trattati, ma è anche funzionale alla libera circolazione degli stessi in ambito UE, essenziale allo sviluppo dell’economia digitale e dello spazio unico dei dati nell’Unione.

Il regime sulla protezione dei dati personali si completa con:

  • la Direttiva 2016/680 (“direttiva Polizia”) sulla protezione dei dati per trattamenti da parte delle autorità competenti per finalità anti-crimine
  • il Regolamento n. 2018/1725 sulla protezione dei dati personali per i trattamenti operati dalle istituzioni UE 
  • la Direttiva 2002/58/CE per la riservatezza nelle comunicazioni elettroniche (integrata dalla 2009/136/CE cd. “ePrivacy”), attualmente in corso di riforma ad opera della proposta di regolamento oggetto di approvazione da parte delle istituzioni UE.

Questi due ultimi atti normativi dell’ePrivacy sono in rapporto di legge speciale rispetto al regolamento generale e, quindi, le norme specifiche in essi contenuti prevalgono su quelle del GDPR, mentre laddove in esse non si trovano regole specifiche, continuano ad applicarsi le prescrizioni del GDPR.

 

Dati personali e dati non-personali

Strategia UE sui Dati

 

La famiglia dei dati è composta da “dati personali” e “dati non-personali”. I “dati personali” sono quelli indicati dal GDPR [art. 4, 1)] con una definizione ampia che include sia i dati identificativi di un individuo sia quelle informazioni suscettibili di identificarlo anche indirettamente, cioè facendo ricorso a ulteriori informazioni. La definizione di “dato personale” è funzionale all’identificazione dei “dati non-personali”, in quanto essi sono quelli che non si qualificano come “dati personali”.

La distinzione tra “dati personali” e “dati non-personali” assume particolare rilevanza sia per la determinazione dell’ambito applicativo del GDPR e delle ulteriori norme ad esso correlate sia ai fini della strategia europea sui dati, in quanto quest’ultima persegue l’obiettivo di eliminare gli ostacoli alla condivisione dei dati non-personali all’interno dell’UE come azione di facilitazione allo sviluppo dell’economia digitale dell’Unione. Pertanto, mentre la libera circolazione dei “dati personali” all’interno della UE – cioè il secondo obiettivo del GDPR – è condizionata al rispetto delle prescrizioni a protezione dei dati personali volte a garantire i diritti e le libertà degli interessati, la condivisione dei “dati non-personali” non è soggetta, in linea di principio, ad alcuna condizione “privacy”.