I dati non personali (non personal data) sono una particolare categoria di dati costituita da tutte le informazioni che non possono essere collegate a una persona identificata o identificabili.
All'interno di questa categoria rientrano molti tipi di dati, come ad esempio quelli generati da dispositivi industriali (i sensori che comunicano dati metereologici), robot industriali, dispositivi di monitoraggio di strade e ponti. E così via.
Una corretta regolamentazione del flusso dei dati all'interno dell'Unione europea è fondamentale per alimentare un'economia dei dati che sia competitiva nell'ambito del mercato unico digitale (Single Digital Market). Occorre che sia garantito il libero flusso dei dati, consentendo alle aziende e alle pubbliche amministrazioni di raccogliere e utilizzare i dati.
In tale prospettiva il regolamento generale per la protezione dei dati personali (GDPR) prevede già all'interno del territorio dell'Unione la libera circolazione dei dati personali, obiettivo aggiuntivo rispetto a quello di garantire la protezione dei detti dati. A tale regolamento si aggiunge un ulteriore regolamento europeo (2018/1807), applicabile dal 28 maggio 2019, che si occupa di regolamentare il flusso dei dati non personali, garantendo quindi un approccio globale e coerente alla libera circolazione di tutti i dati all'interno del territorio dell'Unione. L'ambito di applicazione territoriale è il medesimo del GDPR.
Il regolamento:
- vieta agli Stati membri di imporre obblighi di localizzazione dei dati (a parte eccezioni per motivi di sicurezza pubblica -sicurezza interna ed esterna, in particolare prevenzione e repressione dei reati-) così garantendo la libera circolazione dei dati non personali all'interno del territorio dell'Unione europea;
- istituisce un meccanismo di cooperazione per garantire che la autorità possano accedere ai dati anche se trattati in altro Stato membro (disponibilità);
- incoraggia e facilita lo sviluppo di codici di autoregolamentazione dell'industria sul cambio dei fornitori di servizi, garantendo quindi la portabilità dei dati tra un fornitore ed un altro.
Libera circolazione vuol dire che ogni organizzazione è libera di archiviare ed elaborare dati ovunque all'interno dell'Unione europea. In breve il regolamento mira a eliminare le restrizioni al libero flusso dei dati non personali all'interno dell'Unione. In tal senso si prevede che le misure sulla localizzazione dei dati dovranno essere eliminate entro il 30 maggio 2021, oppure appositamente giustificate alla Commissione europea. Alle autorità competenti (definite in modo ampio) non può essere impedito l'accesso ai dati necessari per le loro funzioni anche se tali dati sono trattati in altro Stato membro. Inoltre la Commissione incoraggerà lo sviluppo di codici di condotta e misuire di autoregolamentazione da parte dei fornitori di servizi, a garanzia della portabilità dei dati per gli utenti professionali.
Dati non personali
Il concetto di dati non personali non rigurda solo i dati diversi dai dati personali, e quindi non è solo una definizione in contrapposizione a quella del GDPR. I dati non personali, infatti, sono costituiti da:
- dati che già in origine non si riferiscono ad una persona fisica identificata o identificabile (es. dati sulle condizioni meteorologiche);
- dati che inizialmente erano personali ma che poi sono stati anonimizzati, e quindi, non essendo più attribuibili ad una persona fisica sono dati non personali.
L'anonimizzazione ovviamente è differente dalla pseudonimizzazione. Spesso in settori quali la ricerca si ricorre alla pseudonimizzazione per nascondere l'identità di un soggetto e quindi trattare il dato. La pseudonimizzazione consiste nel trattamento di un dato eliminando alcune informazioni, che però sono conservate separatamente e quindi comunque, recuperando tali informazioni, è alla fine possibile identificare la persona fisica. I dati pseudonimi sono comunque dati personali.
Insieme di dati misti
Nel caso in cui siano trattati insieme sia dati personali che non personali (art. 2), il regolamento si applica ai soli dati non personali. Laddove i dati siano indissolubilmente legati, e quindi debbano per forza essere trattati insieme, si applica il regolamento in materia di dati personali (GDPR) indipendentemente dalla proporzione tra i dati. Sul punto la Commissione europea ha pubblicato una guida per comprendere meglio le interconnessioni tra le due normative.
Timeline
13 settembre 2017 - Proposta della Commissione europea
19 giugno 2018 - Accordo politico tra Consiglio e Parlamento
4 ottobre 2018 - Voto del Parlamento
9 novembre 2018 - Adozione da parte del Consiglio
18 dicembre 2018 - Approvazione
28 maggio 2019 - Applicazione del regolamento
29 maggio 2019 - Pubblicazione della Guida alle norme