Questo sito utilizza cookie, anche di terze parti, per migliorare la tua esperienza e offrire servizi in linea con le tue preferenze. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie vai alla sezione Cookie Policy.

Log in
A+ A A-

Un quadro per il libero flusso dei dati non personali in Europa

  • Published in Europa

LAPILLI LOGO Comm. EU ottobre 2013 250Bruxelles, 19 septembre 2017

Domande e risposte

IP/17/3190

Che cosa propone la Commissione?

Con il regolamento sul libero flusso dei dati non personali, la Commissione propone un nuovo principio che abolisce i requisiti in materia di localizzazione dei dati, preservando allo stesso tempo il diritto delle autorità competenti di accedere ai dati per i controlli previsti dalla legge.

Insieme alle norme europee in materia di protezione dei dati personali, introdotte dal regolamento generale sulla protezione dei dati, le nuove misure creano uno spazio comune europeo dei dati, elemento fondamentale della strategia per il mercato unico digitale.

 

Quali sono gli elementi fondamentali della proposta?

Il regolamento si propone di rimuovere gli ostacoli che impediscono la libera circolazione dei dati all'interno dell'UE per le imprese, le amministrazioni pubbliche e i cittadini:

  1. a) esso sostiene il corretto funzionamento del mercato interno, garantendo la libera circolazione dei dati non personali nell'UE ed elimina le norme nazionali ingiustificate o sproporzionate, che impediscono alle imprese di scegliere il luogo di archiviazione o elaborazione dei dati o che limitano tale scelta. Gli Stati Membri saranno tenuti a comunicare alla Commissione i requisiti già in vigore o nuovi in materia di localizzazione dei dati;
  2. b) garantisce che le autorità competenti abbiano accesso ai dati archiviati o elaborati in un altro Stato membro, in modo da poter svolgere i compiti loro conferiti dalla legge, esattamente come avviene quando i dati sono archiviati nel loro territorio;
  3. c) incoraggia l'elaborazione in autoregolamentazione di codici di condotta che agevolino il cambio di fornitore di servizi di cloud, ad esempio prevedendo che gli utenti siano informati dei termini e delle condizioni di portabilità al di fuori del loro ambiente informatico;
  4. d) istituisce per ciascuno Stato membro un punto di contatto unico, che funge da collegamento con i punti di contatto degli altri Stati membri e la Commissione al fine di garantire l'effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.

Perché è necessario eliminare le barriere alla mobilità dei dati?

L'innovazione basata sui dati è un fattore chiave della crescita e dell'occupazione e può aumentare in modo significativo la competitività europea nel mercato mondiale. Per trarre il massimo giovamento dall'economia dei dati, è essenziale che i dati possano attraversare le frontiere ed essere utilizzati oltre i confini nazionali.

L'abolizione delle restrizioni alla localizzazione dei dati è considerata il fattore più importante per consentire all'economia dei dati di sfruttare appieno il suo potenziale e di crescere fino a 739 miliardi di EUR nel 2020, raddoppiando il suo valore al 4% del PIL.

Inoltre l'eliminazione delle attuali misure di localizzazione dei dati consente di ridurre i costi dei servizi di dati e di offrire alle imprese una maggiore flessibilità nell'organizzazione della gestione e dell'analisi dei dati, e nello stesso tempo di ampliare la scelta di fornitori e il ricorso ai loro servizi. Ciò potrebbe tradursi in un aumento del PIL fino a 8 miliardi di EUR all'anno.

Quali sono gli ostacoli attuali al libero flusso dei dati non personali?

Al momento le restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri e gli ostacoli alla circolazione dei dati tra sistemi informatici (le cosiddette pratiche di vendor lock-in) impediscono alle imprese e alle organizzazioni dell'UE di cogliere le opportunità economiche, sociali e commerciali. L'incertezza giuridica e la mancanza di fiducia costituiscono ulteriori ostacoli al libero flusso dei dati non personali.

In pratica, un'impresa può non essere o non sentirsi libera di sfruttare pienamente i servizi di cloud, di scegliere i luoghi più efficaci sotto il profilo dei costi per le risorse informatiche, di cambiare fornitore di servizi o di ritrasferire i propri dati sui propri sistemi informatici. Con il principio del libero flusso dei dati non personali, le imprese possono evitare la duplicazione dei dati in più luoghi, entrare in nuovi mercati con maggiore sicurezza e potenziare più facilmente le loro attività.

Quali possono essere gli esempi di restrizioni alla localizzazione dei dati?

Studi, discussioni con i portatori di interesse e consultazioni pubbliche hanno consentito alla Commissione di individuare numerose restrizioni relative ai luoghi di archiviazione o di elaborazione dei dati. Le restrizioni alla localizzazione dei dati che interessano direttamente o indirettamente la mobilità dei dati possono assumere forme differenti e sono presenti in vari settori, tra cui quello pubblico. Ad esempio:

  • le autorità di vigilanza che raccomandano ai fornitori di sevizi finanziari di archiviare i dati a livello locale;
  • le norme in materia di segreto professionale (ad esempio nel settore sanitario) che prevedono l'archiviazione o l'elaborazione dei dati a livello locale;
  • le norme generali che impongono l'archiviazione locale delle informazioni generate dal settore pubblico, indipendentemente dalla sensibilità delle stesse.

Sebbene le restrizioni alla localizzazione dei dati possano essere giustificate e proporzionate in particolari contesti (ad esempio, la sicurezza pubblica), si registra, a livello europeo e mondiale, una tendenza verso requisiti di localizzazione ingiustificati. Ciò si basa spesso sull'idea sbagliata che i servizi localizzati siano "automaticamente" più sicuri dei servizi transfrontalieri.

Perché la proposta si limita ai dati non personali?

Il nuovo quadro normativo per la libera circolazione dei dati non personali integra la normativa vigente in materia di dati personali, che entrerà in vigore il 25 maggio 2018. Pur garantendo un elevato livello di protezione dei dati personali, il regolamento generale sulla protezione dei dati prevede già la libera circolazione e la portabilità dei dati personali all'interno dell'UE. L'archiviazione e l'elaborazione di tali dati rientrano nel campo di applicazione del regolamento e gli Stati membri non possono imporre restrizioni alla localizzazione dei dati per motivi di protezione dei dati personali.

Il nuovo quadro per la libera circolazione dei dati non personali evita le duplicazioni e assicura la coerenza con i vigenti strumenti giuridici dell'UE, tentando di applicare nell'UE le stesse norme sulla libera circolazione all'archiviazione e all'elaborazione dei dati elettronici diversi dai dati personali. Insieme al regolamento generale sulla protezione dei dati, le nuove misure garantiranno un approccio complessivo e coerente alla libera circolazione e alla portabilità dei dati nell'UE.

Il regolamento include anche i flussi di dati con paesi non appartenenti all'UE?

No, il regolamento su un quadro per il libero flusso dei dati non personali nell'Unione europea riguarda solo la mobilità dei dati all'interno dell'UE.

In quali casi le autorità competenti potranno avere accesso ai dati archiviati in un altro Stato membro dell'UE?

In linea di principio l'archiviazione o le altre forme di elaborazione di dati all'estero non possono essere addotte come motivo per rifiutare l'accesso ai dati alle autorità di regolamentazione nazionali. L'accesso deve essere consentito nei casi in cui un regolatore nazionale abbia il diritto di chiederlo a un determinato titolare dei dati e quando sia necessario per l'esercizio delle funzioni ufficiali del regolatore.

Quando il regolatore esaurisce i mezzi per ottenere l'accesso ai dati direttamente dal titolare, può avvalersi di un meccanismo specifico di cooperazione esistente per chiedere l'assistenza dell'altro Stato membro. Se tale meccanismo specifico non si applica o non esiste, il regolamento prevede un meccanismo di cooperazione sostitutivo tra le autorità competenti.

In quali casi i fornitori di servizi non saranno obbligati a fornire dati alle autorità di un altro Stato membro dell'UE?

Lo Stato membro invitato a fornire assistenza al regolatore di un altro Stato membro per ottenere l'accesso ai dati può respingere la richiesta solo se contraria all'ordine pubblico. I fornitori di servizi continueranno a beneficiare di tutti i diritti applicabili e di tutte le garanzie procedurali previste dalla legge, compreso il diritto a un ricorso giurisdizionale effettivo e l'obbligo di una preventiva autorizzazione del giudice per l'accesso ai suoi locali.

In che modo la Commissione intende sostenere i codici di condotta per agevolare il cambio di fornitore di servizi?

La Commissione intende incoraggiare e promuovere l'elaborazione in autoregolamentazione di codici di condotta per agevolare il cambio di fornitore e per garantire che i fornitori forniscano, prima della sottoscrizione di un contratto di archiviazione e elaborazione dei dati, informazioni sufficientemente dettagliate, chiare e trasparenti agli utenti professionali in merito ai termini e alle condizioni applicabili.

Occorre inoltre tenere conto di diversi aspetti riguardanti i processi, i requisiti tecnici, i tempi e i costi applicabili in caso di cambio di fornitore. A titolo esemplificativo, questi possono includere i processi e il luogo dei back up dei dati, i formati dei dati e i supporti disponibili, la configurazione informatica richiesta e la larghezza di banda minima della rete, il tempo necessario per avviare il processo di trasferimento e il periodo in cui i dati saranno disponibili per il trasferimento nonché le garanzie di accesso ai dati in caso di fallimento del fornitore.

La Commissione farà in modo che i fornitori attuino effettivamente i codici di condotta entro un anno dall'inizio dell'applicazione del regolamento ed esaminerà inoltre se i fornitori rispettano i requisiti di trasparenza. Se la Commissione riterrà che non siano rispettati a sufficienza, potrà proporre misure aggiuntive.

 

Quale sarà l'impatto sulla sicurezza dei dati?

Il nuovo regolamento chiarisce che tutti i requisiti di sicurezza che si applicano attualmente alle imprese e alle amministrazioni pubbliche continueranno ad applicarsi anche quando queste sceglieranno di archiviare o elaborare i dati in un altro Stato membro o di utilizzare servizi di cloud. Di conseguenza il regolamento sensibilizza ulteriormente le imprese sulle loro responsabilità in materia di sicurezza, archiviazione ed elaborazione dei dati in contesti transfrontalieri.

Per migliorare la ciberresilienza dell'archiviazione e delle altre forme di elaborazione transfrontaliera, le nuove misure si basano sui meccanismi di attuazione previsti dalla direttiva sulla sicurezza della rete e dei sistemi informativi. Insieme alla proposta di regolamento, la Commissione ha proposto di migliorare la risposta dell'UE ai ciberattacchi con la presentazione di un nuovo quadro sulla cibersicurezza, inteso a migliorare la previsione, la risposta e il contrasto relativamente alle minacce cibernetiche. Ha proposto inoltre un nuovo quadro europeo sulla certificazione della cibersicurezza per sostenere la domanda e l'offerta transfrontaliere di cloud e di altri servizi di dati e per rendere il sistema molto più trasparente ed efficace.

 

Che ripercussioni avrà il regolamento sui cittadini dell'UE?

Il regolamento sul libero flusso dei dati non personali riguarda i dati diversi da quelli personali. Per questo motivo interessa, in primo luogo, le imprese e gli utenti commerciali di servizi di archiviazione o di elaborazione di dati o le persone fisiche che svolgono attività professionali. Il regolamento sul libero flusso di dati non personali fa parte di una serie di proposte nell'ambito della strategia per il mercato unico digitale. Altre proposte possono interessare i cittadini più da vicino. Ad esempio, le norme sui contratti nel settore digitale rafforzano i diritti dei consumatori di sciogliere i contratti stipulati con i fornitori di contenuti digitali, ad esempio i fornitori di servizi di cloud, o di recuperare i dati personali elaborati da fornitori di contenuti digitali. Per evitare sovrapposizioni con questo e altri strumenti dell'UE, il regolamento sul libero flusso di dati non personali non riguarda quindi direttamente i cittadini. che dovrebbero tuttavia beneficiarne indirettamente grazie a un mercato unico per i servizi di archiviazione ed elaborazione dei dati nell'UE più competitivo e aperto.

 

Che cosa ha fatto la Commissione per sostenere l'economia dei dati nell'UE?

Nel 2014, nella comunicazione "Verso una florida economia basata sui dati", la Commissione ha proposto misure volte ad accelerare la transizione verso un'economia basata sui dati, in particolare al fine di sviluppare un ecosistema di dati a livello dell'UE e promuovere l'innovazione basata sui dati. Rimuovere gli ostacoli al libero flusso dei dati non personali è anche una delle azioni fondamentali annunciate nella revisione intermedia della strategia per il mercato unico digitale.

Questa proposta integra le misure per costruire un'economia dei dati europea, contenute nella comunicazione presentata a gennaio 2017, in cui la Commissione si proponeva di promuovere il miglior uso possibile del potenziale dei dati digitali a vantaggio dell'economia e della società e valutava gli ostacoli alla libera circolazione dei dati e le altre sfide emergenti per l'economia europea dei dati.

Inoltre la proposta si fonda sul pacchetto di digitalizzazione dell'industria europea di aprile 2016, che comprendeva l'iniziativa europea per il cloud computing per una soluzione di cloud ad alta capacità per l'archiviazione, la condivisione e il riutilizzo dei dati scientifici. Si basa anche sulla revisione del quadro europeo di interoperabilità per una migliore collaborazione digitale tra le amministrazioni pubbliche in Europa.

Cogliere le opportunità digitali, compreso l'uso di tecnologie e servizi basati sui dati, è anche uno degli obiettivi della strategia di politica industriale globale presentata ieri.

Quali ulteriori misure sono allo studio della Commissione?

Per raccogliere le opinioni dei portatori di interesse sulle questioni emergenti relative all'economia dei dati – come l'accesso ai dati non personali nel contesto interaziendale e le nuove tecnologie, quali l'internet degli oggetti, la robotica avanzata e i sistemi autonomi – da gennaio ad aprile 2017 la Commissione ha organizzato una consultazione pubblica sulla costruzione di un'economia europea dei dati. Una relazione completa è stata pubblicata adesso per accompagnare il regolamento sul libero flusso di dati non personali.

Per quanto riguarda l'accesso interaziendale ai dati, molti portatori di interesse sono a favore di una maggiore condivisione dei dati. La maggior parte ritiene che in questo momento il quadro normativo non dovrebbe essere modificato ed è piuttosto a favore di misure non normative. La Commissione sta attualmente studiando come mettere in pratica tali risultati. In relazione al tema delle obbligazioni nel contesto delle tecnologie emergenti, prima di proporre azioni la Commissione continuerà a raccogliere elementi e a condurre indagini.

MEMO/17/3191