Il Regolamento europeo n.1807/2018 rappresenta il quadro europeo di regolamentazione della libera circolazione dei dati non personali nell’Unione europea. Non solo l’altra faccia del Regolamento europeo n. 679/2016 (il GDPR), ma un testo fondamentale per la tutela dei rapporti B2B e di dati che non trovano già normazione secondo altre disposizioni. L’economia digitale richiede una maggiore consapevolezza delle aziende nell’utilizzo e governance di tecnologie quali Rfid, 5G, Internet of Things, al fine di armonizzare le prassi commerciali e contrattuali alla catena di valore dei dati. Al fine di trovare il corretto equilibrio tra protezione dei dati personali e libera circolazione dei dati non personali, le aziende dovrebbero tenere in considerazione alcuni elementi e stabilire un metodo per tracciare e rendicontare le proprie scelte e essere consapevoli dei propri asset.
Indice degli argomenti
Alcuni esempi di dati misti
L’espansione dell’Internet degli oggetti, l’intelligenza artificiale e l’apprendimento automatico rappresentano fonti importanti di dati non personali, ad esempio a seguito del loro utilizzo in processi automatizzati di produzione industriale. Per tale motivo, vista l’ampiezza delle tipologie di tecnologie e dati, il regolamento definisce i dati non personali in modo residuale rispetto al GDPR, ovvero, sono dati non personali i dati che non sono riferibili a persone fisiche identificate o identificabili ai sensi dell’art.4 Reg. UE n. 679/2016.
Tale definizione offre tre scenari possibili.
- In primo luogo, possono ricadere nella sfera di applicazione del regolamento i dati che sono stati personali ma che, a seguito di un processo di anonimizzazione, non consentono più di identificare persone fisiche. È interessante notare che, a differenza di quanto troppo spesso si crede nella prassi, il processo di anonimizzazione non crea una “zona franca” dei dati: sebbene non sia più applicabile il GDPR, sarà comunque necessario valutare a quali altre normative debba rispondere la compliance aziendale. Ad esempio, il processo di analisi dei rischi che escluda la re-identificazione dei dati dovrebbe essere effettuato in caso di generazione di nuovi database o utilizzo di nuove tecnologie che potrebbero comportare un rischio di re-identificazione. Ciò è particolarmente vero nell’ambito dei Big Data, che consentono di arrivare a risultati inattesi anche mediante incrocio di database in origine separati. Naturalmente, lo sforzo per l’azienda di dimostrare la propria adeguatezza rispetto allo stato dell’arte delle misure di anonimizzazione effettive dipende anche dalla tipologia di trattamenti e dai costi di attuazione delle misure.
- In secondo luogo, rientra nell’ambito di applicazione del regolamento, i dati che non sono mai stati riferibili a persone fisiche, ad esempio dati riferibili a persone giuridiche – come denominazione, dati di contatto e partita iva -, o dati generati nell’ambito di processi di produzione, o generati dalla comunicazione tra oggetti, e altri casi, compresi i metadati. I considerando del regolamento espressamente citano quali esempi i Big data, i dati dell’agricoltura di precisione, i dati sulle esigenze di manutenzione delle macchine industriali. All’interno delle aziende possono essere molti i software gestionali e CRM contenenti dati riferibili a queste categorie.
- Infine, le Linee guida sul regolamento relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea della Commissione Europea, si occupano dei c.d. dati misti.
Un insieme di dati misti è composto sia da dati personali che da dati non personali. Gli insiemi di dati misti rappresentano la maggior parte degli insiemi di dati utilizzati nell’economia dei dati.
Ad esempio possono contenere dati misti un documento fiscale di un’impresa, che contiene il nome e il numero di telefono dell’amministratore delegato, applicazioni di Partner relationship management (PRM), dati relativi all’Internet delle cose, dove alcuni dati consentono di fare ipotesi sulle persone identificabili (ad es. presenza a un particolare indirizzo e modelli di utilizzo), applicazioni CRM, analisi dei dati del registro operativo delle attrezzature di produzione nell’industria manifatturiera.
Nel caso di un insieme di dati composto sia da dati personali che da dati non personali, il regolamento si applica alla parte dell’insieme contenente i dati non personali. Qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati, il regolamento lascia impregiudicata l’applicazione del regolamento (UE) 2016/679 (GDPR).
La mappatura dei trattamenti e dei processi
La consapevolezza dell’azienda rispetto ai propri asset è, pertanto, fondamentale per individuare la normativa applicabile e, di conseguenza, l’ambito di tutela diverso e prevedere i diversi investimenti in termini di misure tecniche e organizzative da attuare.
L’applicazione del regolamento n. 1807/2018 dovrebbe essere integrata alla gestione della protezione dei dati personali in quanto, in primo luogo, ne rappresenta la conseguenza necessaria e, in secondo luogo, permette di adottare una più efficiente gestione della supply chain, come si vedrà a breve.
Alcuni istituti del GDPR potrebbero andare in soccorso dell’azienda, come, ad esempio, la necessità di tenere un registro delle attività di trattamento ai sensi dell’art. 30 GDPR.
Il registro può essere un’utile risorsa di gestione dei processi aziendali in quanto consente di effettuare una mappatura – si spera – granulare di quanto avviene in azienda. Dai processi di assunzione, alla gestione della fatturazione, dall’acquisizione dei lead, alla documentazione dell’elenco dei fornitori.
In particolare, si potrebbe integrare il registro con alcuni elementi ulteriori non richiesti dall’art. 30 GDPR. Ad esempio, mappando i processi che riguardano dati non personali, o tracciando quali asset di supporto interessano gli uni o gli altri tipi di dati, così da consentire una semplificazione dei processi di monitoraggio, e accentrando la gestione in capo a un unico centro di controllo.
Tra l’altro, è bene notare che, a fronte di una divisione concettuale, nella prassi sarebbe antieconomico e non desiderabile separare i database e asset di supporto di dati personali e dati non personali. La stessa Commissione europea nelle linee guida citate ricorda che nessuno dei due regolamenti impone alle imprese di separare gli insiemi di dati per cui sono titolari o responsabili del trattamento e, pertanto, un insieme di dati misti sarà di norma soggetto agli obblighi dei titolari e dei responsabili del trattamento e rispetterà i diritti degli interessati stabiliti dal regolamento generale sulla protezione dei dati.
Per tale motivo, la consapevolezza della categoria concettuale cui appartengono gli asset aziendali può essere perseguita, per una maggior chiarezza circa gli obblighi di legge applicabili, senza compromettere la gestione unitaria dei dati o dover introdurre misure separate in modo aprioristico.
Inoltre, l’integrazione del registro dei trattamenti con i processi riguardanti i dati non personali consente di mappare correttamente i processi di anonimizzazione e analizzare i rischi di re-identificazione, che spesso escono dal “radar” del privacy officer aziendale: la voce del registro “durata di conservazione dei dati” diventa, pertanto, un elemento dinamico e collegato ai processi di dati non personali.
La migliore mappatura, tramite una fotografia completa dei dati aziendali, consente all’organizzazione di accorgersi di eventuali vuoti di misure, esigenze contrattuali particolari, effettuare previsioni sui possibili rischi nel rapporto con i fornitori e clienti.
Evitare gli effetti lock-in
Un elemento importante introdotto dal c.d. regolamento sui dati non personali è l’accelerazione sul tema della portabilità. Il regolamento, infatti, riconosce che la portabilità dei dati senza impedimenti è uno degli elementi fondamentali che agevolano la scelta degli utenti e stimolano la concorrenza effettiva nei mercati dei servizi di trattamento di dati. Le difficoltà reali o percepite relative alla portabilità possono rappresentare un deterrente per le imprese e professionisti che intendono cambiare fornitore di servizi nell’ambito della loro attività imprenditoriale o professionale.
Ad esempio, la gestione di software gestionali rappresenta, spesso, un punto critico nelle aziende, che, anche qualora non soddisfatte o desiderose di evolvere la propria gestione interna, si trovano costrette da pratiche di c.d. vendor lock-in.
Si tratta di pratiche che, tramite mezzi tecnici e apposite clausole contrattuali, consentono ai fornitori di servizi di rallentare o impedire del tutto il passaggio a un diverso fornitore.
La possibilità di ottenere i dati anche non personali in un formato portabile – evitando, così, lunghe sessioni di data entry – può facilitare una migliore flessibilità e fiducia e concorrenza effettiva del mercato.
Conclusioni
La portabilità dei dati tra le imprese sta acquisendo un’importanza crescente in numerose industrie digitali, tra cui i servizi cloud, anche grazie alla spinta data dall’art. 20 GDPR e dall’art. 28 GDPR, che impongono al titolare del trattamento e, di conseguenza, al suo responsabile fornitore di servizi cloud, di restituire i dati ai soggetti interessati in formato portabile.
A differenza del GDPR, tuttavia, il regolamento n. 1807/2018 non introduce un obbligo generale, ma auspica una elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione. Ad oggi, non risulta che siano ancora stati adottati tali testi di autoregolamentazione da parte dell’industria, pertanto, l’impresa e il professionista potrebbero essere esposti alle pratiche richiamate di vendor lock-in.
Il cambio di fornitore diventa, dunque, una possibilità da analizzare fin dal momento della stipula del contratto con il fornitore e una mappatura dei processi interessati con la metodologia proposta consentirebbe di individuare rapidamente asset strategici ma esposti in quanto non coperti dal GDPR.
