Interazione con il GDPR e insiemi di dati misti. Rispondendo a un obbligo previsto dal regolamento sulla libera circolazione dei dati non personali (regolamento FFD), la Commissione ha pubblicato di recente gli orientamenti sulle interazioni fra tale regolamento e il regolamento generale sulla protezione dei dati (GDPR), in particolare per quanto riguarda gli insiemi di dati composti da dati personali e da dati non personali (misti). Gli orientamenti sono finalizzati ad aiutare gli utenti, in particolare le piccole e medie imprese.
Contenuti principali. Oltre a illustrare l’ambito di applicazione del regolamento FFD e del GDPR, gli orientamenti individuano le interazioni tra questi due insiemi di norme dell’UE. Spiegano l’interconnessione tra le disposizioni dei due regolamenti in materia di libera circolazione dei dati. Presentano in maniera esplicita i concetti di dati non personali e di dati personali e chiariscono quali norme osservare nel trattamento di “insiemi di dati misti. Il documento illustra anche la nozione di portabilità dei dati e opera un confronto tra i due regolamenti in proposito. Offre inoltre alle imprese una panoramica sui codici di condotta per il trasferimento dei dati e il cambio di fornitore di servizi di trattamento dei dati e descrive il ruolo delle attività di autoregolamentazione, come i codici di condotta e i meccanismi di certificazione volti a dimostrare la conformità al GDPR. Gli orientamenti spiegano inoltre i concetti di obblighi di localizzazione dei dati secondo il regolamento FFD e il principio della libera circolazione secondo il GDPR.
Dati anonimizzati, pseudonimizzati e insiemi di dati misti. Fra le informazioni di interesse, per es. quelle relative ai dati personali, anonimizzati e pseudonimizzati, al fine di offrirne una migliore comprensione e di descrivere i limiti tra dati personali e dati non personali, o gli insiemi di dati misti, come succede nella maggior parte delle situazioni reali. Gli insiemi di dati misti rappresentano inoltre la maggioranza degli insiemi di dati impiegati nell’economia dei dati (IOT, IA e big data).
GDPR e FFD. Né il regolamento FFD né l’RGPD impongono l’obbligo di separare gli insiemi di dati misti né di trattare dati personali e dati non personali separatamente e in molti casi operazioni di questo tipo sarebbero problematiche, se non addirittura impossibili. Dagli orientamenti (estratto Q&A) sembrerebbe di capire che i due regolamenti vanno applicati discretamente ai dati pertinenti e in caso di dati di insiemi misti “indissolubilmente legati” si applica il GDPR. Le due disposizioni rispondono a una ratio diversa, come da denominazione: le norme del GDPR garantiscono un elevato livello di protezione dei dati e disciplinano la libera circolazione dei dati personali, mentre il regolamento FFD disciplina la libera circolazione dei dati non personali. Entrambi i regolamenti tuttavia concorrono a consentire la libera circolazione dei dati all’interno dell’UE. Il regolamento FFD inoltre non prevede obblighi per le imprese e gli aspetti pratici del trattamento dei dati non personali sono una scelta di pertinenza delle singole imprese, non limita la libertà contrattuale delle imprese e consente loro di scegliere il luogo per il trattamento dei loro dati.
