52017AE4820

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 52017AE4820 - EN

Document 52017AE4820

Help

Parere del Comitato economico e sociale europeo sulla «Proposta di regolamento del Parlamento europeo e del Consiglio relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea» [COM(2017) 495 final — 2017/0228 (COD)]

EESC 2017/04820

GU C 227 del 28.6.2018, p. 78–85 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

HTML

PDF

Official Journal

28.6.2018

Gazzetta ufficiale dell’Unione europea

C 227/78

[COM(2017) 495 final — 2017/0228 (COD)]

(2018/C 227/12)

Relatore:

Jorge PEGADO LIZ

Consultazioni	Parlamento europeo, 23.10.2017 Consiglio dell’Unione europea, 24.10.2017
Base giuridica	Articolo 114 del trattato sul funzionamento dell’Unione europea
Sezione competente	Trasporti, energia, infrastrutture, società dell’informazione
Adozione in sezione	5.2.2018
Adozione in sessione plenaria	15.2.2018
Sessione plenaria n.	532
Esito della votazione (favorevoli/contrari/astenuti)	163/3/4

1. Conclusioni e raccomandazioni

1.1. Conclusioni

1.1.1.

Il CESE ha sostenuto in diversi pareri già adottati la necessità di un’iniziativa concernente la libera circolazione dei dati non personali come presupposto essenziale per realizzare gli obiettivi dell’Agenda digitale e per completare il mercato unico digitale.

1.1.2.

La proposta della Commissione rappresenta, per il momento, l’elemento giuridico più importante della futura politica europea per lo sviluppo dell’economia dei dati e del loro impatto sulla crescita economica, sulla ricerca scientifica, sul sostegno alle nuove tecnologie, principalmente nell’ambito dell’intelligenza artificiale, del cloud computing, dei metadati, dell’Internet degli oggetti (IoT), nonché sull’industria, sui servizi in generale e su quelli pubblici in particolare.

1.1.3.

Il CESE ritiene, tuttavia, che la proposta abbia il difetto di essere arrivata in ritardo e che la portata troppo limitata del suo ambito d’applicazione, la fluidità e la mancanza di assertività dei meccanismi annunciati e, in particolare, la scarsa ambizione, determinazione e volontà politica rischino di compromettere il raggiungimento degli obiettivi prefissati.

1.1.4.

In effetti, per quanto concerne il primo e più importante di tali obiettivi («migliorare la mobilità di dati non personali a livello transfrontaliero nel mercato unico»), il CESE, contrariamente alla Commissione, non ritiene sufficiente, in una prima fase, limitarsi a obbligare gli Stati membri a notificarle «qualsiasi progetto di atto che introduca un nuovo obbligo di localizzazione di dati o apporti modifiche a un vigente obbligo di localizzazione dei dati» solo 12 mesi dopo l’entrata in vigore del regolamento, (che non dovrebbe aver luogo prima della fine del 2018 nella migliore delle ipotesi), e a imporre agli Stati membri di «eliminare qualsiasi obbligo di localizzazione dei dati» che non sia conforme alla norma che vieta e limita la libera circolazione di tali dati, a meno che ciò non sia giustificato da motivi di sicurezza pubblica.

1.1.5.

Per quanto attiene al secondo obiettivo («far sì che la facoltà delle autorità competenti di chiedere e ottenere l’accesso ai dati ai fini del controllo regolamentare, quali ispezioni e audit, rimanga invariata»), il CESE deplora che la proposta si limiti a prevedere una procedura di cooperazione fra le autorità competenti di ciascuno Stato membro e la creazione a tal fine di una rete di punti di contatto unici che servirà da anello di collegamento con i punti di contatto degli altri Stati membri e con la Commissione per quanto riguarda l’applicazione del regolamento.

1.1.6.

Infine, per quanto riguarda il terzo obiettivo («facilitare agli utenti professionali di servizi di archiviazione o di altri servizi di trattamento di dati il cambio di fornitore di servizi e la portabilità dei loro dati»), il Comitato non è d’accordo con il fatto che la Commissione si limiti ad assumere l’impegno di incoraggiare e facilitare «l’elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione» in un settore che dovrebbe essere regolamentato solo da misure legislative. senza nemmeno aver proposto di definire «orientamenti» per l’elaborazione di tali codici di condotta.

1.1.7.

Per tutte queste ragioni, il CESE non può approvare il documento nella forma proposta. Il CESE dichiara la sua disponibilità a sostenere la proposta di regolamento solo qualora e nella misura in cui essa sia modificata secondo le linee proposte nel presente parere e sia chiaramente intesa come il più alto comun denominatore accettabile da parte sia degli Stati membri sia delle parti interessate, ma sempre nell’idea che si tratti di un primo passo di un’evoluzione futura verso forme più ambiziose di realizzazione concreta di un’effettiva libera circolazione dei dati non personali nel mercato unico digitale dell’Unione europea.

1.1.8.

E inoltre, a condizione che, nel corso di questa evoluzione, si tenga debitamente conto della dimensione internazionale di un’economia globale in cui tale iniziativa deve necessariamente inserirsi.

1.2. Raccomandazioni

1.2.1.

In relazione a quanto precede, il CESE raccomanda alla Commissione di riesaminare la sua proposta al fine di allinearla in modo significativo al testo dell’opzione 3, opzione che il Comitato privilegia a scapito della variante 2a, scelta dalla Commissione.

Inoltre, il CESE raccomanda caldamente che la Commissione integri nella proposta i suggerimenti di cui ai punti 3.4.1 (termine per l’entrata in vigore) e 3.4.2 (mancanza di una procedura obbligatoria in caso di inosservanza), 3.6 (assenza di linee guida relative ai codici di condotta), 3.7 (non considerazione delle preoccupazioni circa la classificazione di metadati) e 3.8 (mancata considerazione del carattere transeuropeo e globale dell’economia digitale), specie per quanto concerne la necessità di prevedere procedure specifiche in caso di mancata osservanza da parte degli Stati membri.

1.2.2.

Il CESE invita altresì la Commissione ad accogliere con favore le varie proposte di miglioramento che esso avanza in relazione a diversi articoli della proposta di regolamento all’esame.

1.2.3.

Inoltre raccomanda vivamente alla Commissione di includere nel suo testo gli emendamenti proposti nella posizione della presidenza del Consiglio del mese di dicembre, con cui si dichiara d’accordo in quanto rappresentano miglioramenti intrinseci e rendono più sostenibile la proposta.

2. Breve sintesi e contesto generale

2.1. Sintesi della proposta e sua giustificazione

2.1.1.

La Commissione giustifica la necessità e la proporzionalità della proposta di regolamento all’esame (1) con i seguenti argomenti:

—	migliorare la mobilità dei dati non personali a livello transfrontaliero nel mercato unico, mobilità che è attualmente limitata in molti Stati membri dalle restrizioni dovute alla localizzazione o dalle incertezze giuridiche nel mercato;

—	far sì che la facoltà delle autorità competenti di chiedere e ottenere l’accesso ai dati ai fini del controllo regolamentare, quali ispezioni e audit, rimanga invariata;

—	facilitare agli utenti professionali di servizi di archiviazione o di altri servizi di trattamento di dati il cambiamento di fornitore di servizi e la portabilità dei loro dati.

2.1.2.

La Commissione ritiene che la proposta rispetti il principio di sussidiarietà in quanto, assicurando la libera circolazione dei dati nell’Unione, intende «garantire il buon funzionamento del mercato interno dei suddetti servizi, che non è limitato al territorio di uno Stato membro, nonché la libera circolazione dei dati non personali all’interno dell’Unione», un obiettivo che «non può essere conseguito dagli Stati membri a livello nazionale, in quanto il problema principale è la mobilità transfrontaliera dei dati».

2.1.3.

La Commissione giudica inoltre la proposta proporzionale in quanto «mira a conseguire un equilibrio tra la regolamentazione dell’UE e gli interessi degli Stati membri in materia di sicurezza pubblica, così come un equilibrio tra regolamentazione e autoregolamentazione del mercato».

2.2. Contesto politico e giuridico

2.2.1.

Da un punto di vista giuridico, la Commissione ha valutato 3 opzioni, illustrate brevemente nella relazione che sintetizza gli studi di valutazione d’impatto ex ante e le consultazioni dei soggetti interessati realizzate nella fase di elaborazione del testo legislativo (2) e che possono essere riassunte come segue:

L’opzione 1 prevede che i diversi problemi individuati siano affrontati mediante l’autoregolamentazione e/o orientamenti e comporta un’applicazione più rigorosa delle disposizioni relative a varie categorie di restrizioni ingiustificate o sproporzionate dovute alla localizzazione dei dati imposta dagli Stati membri.

L’opzione 2 stabilisce i principi giuridici relativi ai diversi problemi individuati e prevede la designazione, da parte degli Stati membri, di punti di contatto unici e l’istituzione di un gruppo di esperti per discutere approcci e pratiche comuni e fornire orientamenti sui principi sanciti nell’ambito dell’opzione.

L’opzione 3 consiste in un’iniziativa legislativa dettagliata, intesa a stabilire, tra l’altro, valutazioni predefinite (armonizzate) sugli elementi che costituiscono una restrizione (in)giustificata e (s)proporzionata dovuta alla localizzazione dei dati e ad introdurre un nuovo diritto di portabilità dei dati.

2.2.2.

Alla luce delle divergenze con il comitato per il controllo normativo, il quale ha emesso due pareri negativi sulle proposte della Commissione, e nonostante la maggior parte dei soggetti interessati ritenga che l’opzione dell’iniziativa legislativa (opzione 3) rappresenti lo strumento più adeguato, è stata dunque presentata, per motivi di pura strategia politica, una

Variante 2a«per consentire di valutare una combinazione di misure legislative volte a istituire il quadro per la libera circolazione dei dati e i punti di contatto unici e un gruppo di esperti, e di misure di autoregolamentazione per disciplinare la portabilità dei dati».

La Commissione ritiene che questa opzione garantirà «la rimozione delle attuali restrizioni ingiustificate in materia di localizzazione» evitando «efficacemente future restrizioni» ingiustificate, e «contribuirà inoltre a promuovere l’uso transfrontaliero e intersettoriale dei servizi di archiviazione o altro trattamento di dati e lo sviluppo del mercato dei dati. Di conseguenza, la proposta contribuirà a trasformare la società e l’economia e offrirà nuove opportunità per i cittadini, le imprese e le amministrazioni pubbliche in Europa».

2.2.3.

La Commissione ha dunque presentato una proposta di regolamento«che può garantire l’applicazione di norme uniformi per la libera circolazione dei dati non personali contemporaneamente in tutta l’Unione.», il che «è particolarmente importante per eliminare le restrizioni esistenti e prevenirne di nuove da parte degli Stati membri».

2.2.4.

La proposta all’esame trae origine dai recenti sviluppi tecnologici digitali che consentono di archiviare e utilizzare grandi quantità di dati in modo sempre più efficiente, ottenendo economie di scala e arrecando benefici ai loro utenti con un aumento della velocità di accesso, della connettività e con una maggiore autonomia.

2.2.4.1.

Nella sua comunicazione intitolata Costruire un’economia dei dati europea (3), la Commissione ha messo in evidenza la relazione tra gli ostacoli alla libera circolazione dei dati e il ritardo nello sviluppo del mercato europeo. Di qui la necessità, espressa dalla Commissione stessa, di proporre un quadro giuridico che elimini la nozione di «controlli alle frontiere».

Va osservato che solo la metà circa degli Stati membri ha sottoscritto il documento informale sull’iniziativa concernente la libera circolazione dei dati (4), e fra questi paesi non figurano, in particolare, la Germania, la Francia e nessuno dei paesi meridionali dell’UE.

2.2.4.2.

Questo aspetto è stato nuovamente trattato nella comunicazione della Commissione sulla revisione intermedia della strategia per il mercato unico digitale, dal titolo Un mercato unico digitale connesso per tutti (5), in cui la Commissione annuncia la pubblicazione, nel 2017, di due iniziative legislative, la prima delle quali riguarda la libera circolazione transfrontaliera di dati non personali, oggetto del presente parere, mentre la seconda concerne l’accessibilità e il riutilizzo dei dati pubblici e dei dati raccolti con finanziamenti pubblici, ancora in corso di preparazione da parte della Commissione.

2.2.4.3.

Infine, nel parere sul tema Mercato unico digitale: revisione intermedia (6), il CESE ritiene che «l’economia dei dati europea sia uno dei settori in cui è più evidente il distacco tra l’UE e i leader dell’innovazione digitale globale» e in tal senso «condivide la proposta di creare un quadro normativo, a patto che questo trovi la sua corretta declinazione nel contesto del cloud computing, intelligenza artificiale e Internet degli oggetti, tenga in considerazione la libertà contrattuale rimuovendo gli ostacoli all’innovazione e trovi adeguato riscontro nei finanziamenti stanziati dall’UE, in altre parole, l’opzione 3».

2.2.4.4.

La proposta della Commissione rappresenta pertanto l’elemento giuridico più importante della futura politica europea per lo sviluppo dell’economia dei dati e del suo impatto sulla crescita economica, sulla ricerca scientifica, sul sostegno alle nuove tecnologie, principalmente nell’ambito dell’intelligenza artificiale, del cloud computing, dei metadati, dell’Internet degli oggetti (IoT), nonché sull’industria, sui servizi in generale e su quelli pubblici in particolare (7).

3. Osservazioni generali

3.1.

Il CESE prende atto dell’obiettivo dell’iniziativa all’esame che ha già sostenuto in diversi suoi precedenti pareri. Si tratta infatti di un presupposto essenziale per realizzare gli obiettivi dell’Agenda digitale e del mercato unico digitale.

3.2.

Il CESE si rammarica, tuttavia, che il suo ambito d’applicazione sia troppo limitato. Lamenta inoltre la scarsa incisività dei suoi obiettivi, lo scarso rigore e la mancanza di assertività dei meccanismi citati e, in particolare, la mancanza di ambizione, di determinazione e di volontà politica.

Si formulano le seguenti osservazioni:

3.3.

Con la nozione di «libera circolazione» di dati non personali la Commissione intende contrastare la maggior parte delle politiche e delle pratiche alle quali fanno ricorso gli Stati membri per creare, imporre o autorizzare ostacoli per quanto riguarda la localizzazione dei dati ai fini di una loro archiviazione o di qualsiasi altro trattamento. La Commissione ritiene giustamente che la circolazione di questo tipo di dati non debba essere vietata o sottoposta a restrizioni, tranne che per motivi di sicurezza pubblica (8), attraverso la definizione di norme relative ai seguenti aspetti:

a)	gli obblighi di localizzazione dei dati;

b)	la messa a disposizione di dati per le autorità competenti;

c)	la portabilità dei dati per gli utenti professionali.

3.4.

Tuttavia, al fine di dare attuazione al primo dei suddetti punti, quello concernente gli obblighi di localizzazione dei dati, la Commissione ha ritenuto sufficiente, in un primo tempo, obbligare gli Stati membri a comunicarle «qualsiasi progetto di atto che preveda un nuovo obbligo di localizzazione dei dati o ne modifichi uno esistente».

3.4.1.

Solo 12 mesi dopo l’entrata in vigore del regolamento (che non dovrebbe avvenire prima della fine del 2018), «gli Stati membri provvedono a eliminare qualsiasi obbligo di localizzazione dei dati che non sia conforme» alla regola che impone di non vietare né limitare il libero flusso di questi dati, tranne che per motivi di sicurezza pubblica. In tal caso, lo Stato membro interessato ne dà notifica alla Commissione, indicando i motivi per cui ritiene che la misura sia conforme alla succitata disposizione e debba pertanto restare in vigore.

3.4.2.

Nessuna procedura specifica è prevista in caso di mancata osservanza da parte di uno Stato membro.

3.5.

Per quanto concerne il secondo punto, quello relativo alla messa a disposizione di dati alle autorità competenti, la proposta non pregiudica la facoltà delle autorità competenti di chiedere e ottenere l’accesso a dati ai fini dell’esercizio delle loro funzioni ufficiali conformemente al diritto dell’Unione o a quello nazionale.

Aggiunge tuttavia una disposizione importante: «L’accesso ai dati da parte delle autorità competenti non può essere rifiutato per il fatto che i dati sono archiviati o altrimenti trattati in un altro Stato membro».

3.5.1.

Tuttavia, per garantire che tale diritto sia effettivo, la proposta si limita a proporre una procedura di cooperazione tra le autorità competenti di ciascuno Stato membro, analoga ad altre procedure già esistenti in altri settori, e per la quale verrà creata una rete di punti di contatto unici che servirà da anello di collegamento con i punti di contatto unici degli altri Stati membri e con la Commissione per quanto riguarda l’attuazione del regolamento, ma dei quali non sarà valutata né l’efficacia né la sostenibilità dei costi che comportano.

3.5.2.

In definitiva, tuttavia, l’applicazione di misure coercitive per ottenere, da parte dell’autorità, l’accesso a tutti i locali di una persona fisica o giuridica, compresi tutti gli strumenti e dispositivi di archiviazione o altro trattamento di dati, dovrà essere conforme alle norme procedurali di ciascuno Stato membro.

3.5.3.

In altre parole, nel caso più che probabile di mancata osservanza, il solo ricorso possibile è quello dinanzi agli organi giurisdizionali ordinari degli Stati membri, ricorso che sarà soggetto ai ben noti ritardi della giustizia, ai suoi costi esorbitanti e all’aleatorietà degli esiti.

3.6.

Per quanto concerne infine il terzo punto citato, la portabilità dei dati per gli utenti professionali, la Commissione si limita a incoraggiare e facilitare «l’elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione, al fine di definire orientamenti sulle migliori pratiche atte a facilitare il cambio di fornitore di servizi e a garantire che i fornitori di servizi comunichino agli utenti professionali informazioni sufficientemente precise, chiare e trasparenti prima della conclusione di un contratto di archiviazione o altro trattamento di dati» in relazione ad alcuni aspetti realmente strutturali ed essenziali (9).

3.6.1.

L’idea di fare esclusivamente riferimento a semplici meccanismi di autoregolamentazione per disciplinare aspetti fondamentali che dovrebbero essere oggetto solo di misure legislative è ovviamente fortemente criticabile.

Il CESE, pur avendo sempre difeso la co-regolamentazione come strumento supplementare di particolare importanza nel contesto normativo dell’Unione, non è d’accordo sul fatto che norme e principi fondamentali per la coerenza e l’armonizzazione del diritto dell’UE vengano lasciati semplicemente all’autoregolamentazione senza fornire nessun tipo di parametro o di orientamento.

Per quanto riguarda in modo specifico la portabilità, è ancor più grave l’idea di limitare la responsabilità e di introdurre periodi di fidelizzazione per il titolare dei dati, con la possibilità di cancellare il contenuto in caso di mancata osservanza.

3.6.2.

Ancor più criticabile è il fatto che la Commissione non abbia proposto per lo meno un meccanismo di co-regolamentazione, seguendo il modello e i parametri che il CESE ha opportunamente definito (10).

In questo senso, il CESE ritiene che il regolamento all’esame dovrebbe almeno fornire un insieme di norme di base relative ai rapporti contrattuali tra i fornitori di servizi e gli utenti e prevedere una lista nera di clausole vietate a causa della limitazione del diritto di portabilità, secondo i parametri indicati in particolare nel suo parere sull’autoregolamentazione e sulla co-regolamentazione.

3.6.3.

Tuttavia, è inconcepibile che la Commissione non abbia neppure proposto di definire «orientamenti» per l’elaborazione dei codici di condotta precedentemente citati, come ha già fatto in altri settori, sostenuta in questo approccio dal CESE.

In effetti, per quanto riguarda la portabilità dei dati, talune imprese hanno adottato un comportamento che lede i diritti degli utenti, in particolare limitazioni alla titolarità dei dati o alla proprietà intellettuale dei contenuti dei servizi del cloud, consenso per la raccolta e il trattamento dei dati, con l’introduzione di regole che presumono tale consenso, nonché pagamenti occulti o facoltà di sospendere un servizio per decisione unilaterale da parte dell’impresa.

3.6.4.

La Commissione infine promette, senza dare altre alternative di natura giuridica, che «riesaminerà la preparazione e l’effettiva attuazione di tali codici di condotta» nonché «l’effettiva messa a disposizione delle informazioni da parte dei fornitori entro due anni dalla data di applicazione del regolamento». Ma poi?

3.7.

Inoltre, il fatto di limitare la proposta alle tre situazioni già citate, non tiene conto della crescente preoccupazione concernente i metadati, considerati dati non personali che, salvo le debite eccezioni, devono godere della stessa protezione dei dati personali, in particolare in termini di diritti ARCO (Accesso, Rettificazione, Cancellazione ed Opposizione) per i titolari.

3.7.1.

Di fatto, le imprese che si occupano di esaminare i metadati effettuano analisi prospettive e proattive basate su dati, individuando le tendenze o le condizioni che consentono alle imprese di adottare decisioni per il futuro.

3.7.2.

Inoltre, non è chiaro se il futuro regolamento si applicherà soltanto ai dati ottenuti in forma elettronica, dal momento che l’articolo 3, paragrafo 2 definisce l’archiviazione come «qualsiasi forma di archiviazione dei dati in formato elettronico» e che l’articolo 2 stabilisce che il regolamento si applica «alle attività di archiviazione o altro trattamento di dati elettronici». Di conseguenza, un questionario realizzato, ad esempio, in forma anonima, alla presenza del titolare dei dati e archiviato fisicamente potrebbe non rientrare nell’ambito del regolamento all’esame.

3.7.3.

D’altro canto, con l’Internet degli oggetti, la proliferazione di apparecchiature elettroniche, in particolare elettrodomestici che raccolgono ed effettuano un controllo incrociato di dati non personali, potrebbe sollevare in futuro questioni diverse in termini di sicurezza e tutela della vita privata, motivo per cui era essenziale che la Commissione europea rivolgesse un’attenzione maggiore ai dati non personali, proteggendo i diritti fondamentali dei cittadini.

3.7.4.

Infine, e considerando la zona grigia esistente tra i dati personali e non personali, alcuni dati potendo facilmente diventare personali, il mantenimento di due regimi completamente distinti può far sì che i soggetti cerchino di qualificare i dati ottenuti come non personali, evitando in tal modo l’applicazione del regolamento (UE) 2016/679 del 27 aprile 2016.

3.8.

Inoltre, la proposta della Commissione non tiene debito conto della natura globale e transeuropea dell’economia digitale e si preoccupa solo di regolamentare il mercato interno, dimenticando che quest’ultimo si sviluppa in un mercato globale, senza alcuna garanzia che gli altri paesi e continenti seguano le stesse regole che essa stessa intende attualmente applicare e senza il potere di imporle nei negoziati internazionali.

3.9.

Per tutte queste ragioni, il CESE è contrario alla variante 2a proposta dalla Commissione senza argomenti validi né sostanziali a scapito dell’opzione 3, che invece gode del suo pieno sostegno.

3.10.

Se e nella misura in cui si terrà conto delle sue proposte di modifica, nonché di quelle presentate nella posizione della presidenza del Consiglio del 19 dicembre scorso, che il Comitato approva, il CESE è disposto a sostenere la presente proposta di regolamento, così modificata, a condizione che essa venga considerata come il più alto comun denominatore accettabile da parte sia degli Stati membri sia dei soggetti interessati e che sia un primo passo verso forme più ambiziose di effettiva realizzazione di un’effettiva libera circolazione dei dati non personali nel mercato unico digitale dell’Unione europea.

4. Osservazioni particolari

4.1. Articolo 2 — Campo di applicazione

4.1.1.

Il CESE si interroga sulla natura della lettera a): ovvero su cosa si intenda con l’espressione «fornito come servizio ad utenti» e in particolare si chiede se siamo dinanzi ad un’operazione giuridica a titolo gratuito o a pagamento.

In effetti, è importante sottolineare che attualmente esistono vari servizi forniti gratuitamente, ad esempio Google Analytics. Tuttavia, il fatto che non vi sia l’obbligo del pagamento ha permesso alle imprese che forniscono il servizio di introdurre clausole abusive nei loro contratti di prestazione di servizi, declinando ogni responsabilità per la perdita, lo smarrimento o la distruzione di dati, o addirittura arrogandosi il diritto di cancellare i dati senza il consenso del titolare.

4.1.2.

D’altro canto, per il CESE è necessario che il regolamento all’esame, analogamente al regolamento (UE) 2016/679, si applichi anche ad un paese al di fuori dell’Unione europea in cui sia applicato il diritto di uno Stato membro in virtù del diritto internazionale privato.

4.2. Articolo 3 — Definizioni

4.2.1. Il concetto di dati non personali

4.2.1.1.

Il concetto di dati non personali non è definito con rigore logico. La sola cosa che si può dire, in prima battuta, è che si tratta di dati diversi da quelli personali, e questa è solo una definizione in negativo, come si può desumere dal considerando 7 del preambolo e dall’articolo 1 della proposta.

4.2.1.2.

Tuttavia, a un esame più attento, emerge che da tale concetto sono esclusi solamente i dati personali soggetti a una protezione giuridica specifica, vale a dire la protezione conferita attualmente dal regolamento (UE) 2016/679 del 27 aprile 2016, dalla direttiva (UE) 2016/680, della stessa data, dalla direttiva 2002/58/CE, del 12 luglio 2002 (11) e dalla legislazione nazionale che ha recepito tali atti.

4.2.1.3.

Pertanto la presente proposta sembra riguardare non solo i dati relativi alle persone giuridiche (che, a dispetto di quanto sostenuto a più riprese dal CESE, non beneficiano della stessa protezione accordata alle persone fisiche, come avviene invece in diversi ordinamenti giuridici nazionali), ma anche i dati personali in forma «anonima», ai quali è dedicato solo un riferimento nel considerando 26 del regolamento generale sulla protezione dei dati.

4.2.1.4.

Al fine di garantire la coerenza, la concordanza e la certezza giuridica degli atti dell’UE e considerando la genericità del testo, il CESE sottolinea la necessità che il regolamento definisca esplicitamente i dati non personali e che non vi sia soltanto una definizione generica o complementare a quella di cui al regolamento (UE) 2016/679, dal momento che molte giurisdizioni hanno interpretato in maniera diversa le nozioni di dati personali e non personali.

4.3. Articolo 4 — Libera circolazione dei dati all’interno dell’Unione

4.3.1.

Per motivi di certezza e di sicurezza giuridica, il CESE ritiene necessario precisare i termini imposti agli Stati membri per notificare le misure che comportano il mantenimento o la creazione di regole che per motivi di pubblica sicurezza, sono contrarie alle disposizioni del regolamento all’esame.

4.3.2.

Ritiene inoltre importante che la Commissione europea notifichi gli altri Stati membri onde verificare se tali misure avranno o meno un impatto diretto o indiretto sulla circolazione dei dati non personali sul loro territorio.

4.4. Articolo 9 — Riesame

4.4.1.

La Commissione si assume l’obbligo di procedere al riesame del regolamento trascorsi cinque anni dalla sua entrata in vigore e di trasmettere al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni di tale riesame.

4.4.2.

Dato che l’entrata in vigore non dovrebbe avvenire, nella migliore delle ipotesi, prima della fine del 2018, il CESE ritiene più opportuno che il riesame venga effettuato a distanza di tre anni, in considerazione della evidente debolezza del dispositivo e delle materie su cui verte, caratterizzate da una costante e rapida evoluzione.

4.5. Posizione della presidenza del Consiglio

4.5.1.

Lo scorso 19 dicembre, mentre il presente progetto di parere era in preparazione, la presidenza del Consiglio dell’UE ha presentato un testo emendato della proposta della Commissione che modifica in modo sostanziale (12) tale proposta, andando esattamente nella direzione delle presenti raccomandazioni del CESE.

4.5.2.

In sintesi le modifiche riguardano in particolare i seguenti articoli:

a)	articolo 2 — campo di applicazione, e considerando 7 bis e 8 — chiarimenti sugli elementi che esulano dall’ambito di applicazione del regolamento;

b)	articolo 3 — definizioni — introduzione di un nuovo paragrafo (2 bis) che chiarisce il significato di «trattamento»;

c)	sempre all’articolo 3, paragrafo 5, inserimento esplicito delle pratiche amministrative nella definizione della localizzazione dei dati e conseguente modifica dell’articolo 4, paragrafo 1;

d)	all’articolo 5, paragrafo 2 bis, istituzione di un meccanismo vincolante per imporre di rendere accessibili i dati e, al paragrafo 3 bis, una disposizione che prevede la facoltà degli Stati membri di imporre sanzioni agli utenti che non forniscano i dati, come raccomandato nel presente parere;

e)	all’articolo 6, definizione di linee guida per l’elaborazione dei codici di condotta;

f)	all’articolo 7, definizione del ruolo dei «punti unici di contatto» e la velocizzazione del processo di comunicazione tra le autorità;

g)	soppressione dell’articolo 8 e, con esso, del comitato per la libera circolazione dei dati;

h)	migliore allineamento di diversi articoli alla direttiva sulla trasparenza (13);

i)	nei considerando 10 e 10 bis la questione dei dati misti e di quelli anonimi beneficia adesso del necessario chiarimento;

j)	nel considerando12 bis, la nozione di sicurezza pubblica di cui all’articolo 4 viene definita a livello di contenuto sulla base della giurisprudenza della Corte di giustizia.

4.5.3.

Il CESE è decisamente favorevole a tutte queste proposte della presidenza ed esorta vivamente la Commissione, il Parlamento e gli Stati membri a prenderle nella dovuta considerazione.

Bruxelles, 15 febbraio 2018.

Il presidente del Comitato economico e sociale europeo

Georges DASSIS

(1) COM(2017) 495 final del 13.9.2017.

(2) Cfr. il doc. SEC(2017) 304 final.

(3) Cfr. COM(2017) 9 final, del 10.1.2017, e documento di lavoro allegato SWD (2017) 2 final dei servizi della Commissione, della stessa data, su cui il CESE ha elaborato il suo parere Costruire un’economia dei dati europea, GU C 345 del 13.10.2017, pag. 130.

(4) http://www.brukselaue.msz.gov.pl/resource/76f021fe-0e02-4746-8767-5f6a01475099:JCR.

(5) COM(2017) 228 final, del 10 maggio 2017, e il documento di lavoro che l’accompagna SWD (2017) 155 final.

(6) Mercato unico digitale: revisione intermedia (non ancora pubblicato nella GU).

(7) COM(2017) 495 final, relazione, pag. 4.

(8) Nozione di cui all’articolo 4, paragrafo 2, TUE, che rientra fra le competenze esclusive degli Stati membri, ma la cui definizione va cercata nella giurisprudenza della Corte di giustizia — cfr. soprattutto la sentenza della Corte di giustizia del 21.12.2016 nelle cause riunite C-203/15 e C-698/15 ELE2 SVERIDGE AB contro POST-OCH TELESTYRELSEN e SECRETATY OF STATE FOR THE HOME DEPARTMENT contro TOM WATSON, PETER BRICE e GEOFFREY LEWIS, in (http://eur-lex.europa.eu/legal-content/IT/TXT/?qid=1513080243312&uri=CELEX:62015CJ0203 (paragrafo 11 e paragrafi 88/89) — e della Corte europea dei diritti dell’uomo.

(9) Cfr. articolo 6, paragrafo 1, lettere a) e b).

(10) Cfr. la relazione informativa INT/204 del 25.1.2005 sul tema Lo stato attuale della co-regolamentazione e dell’autoregolamentazione nel mercato unico e il parere d’iniziativa del 22.4.2015 sul tema Autoregolamentazione e co-regolamentazione GU C 291 del 4.9.2015, pag. 29.

(11) Direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37), già modificata dalla Proposta di direttiva del Parlamento europeo e del Consiglio che istituisce il codice europeo delle comunicazioni elettroniche, COM(2016) 590 final del 12.10.2016, dalla Proposta di direttiva del Parlamento europeo e del Consiglio che istituisce il codice europeo delle comunicazioni elettroniche, GU C 125 del 21.4.2017, pag. 56), e dalla Proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche) [COM(2017) 10 final — 2017/0003 (COD)].

(12) Fascicolo interistituzionale 2017/0228 (COD) 15724/1/17REV 1 del 19 dicembre 2017.

(13) GU L 294 del 6.11.2013, pag. 13.

Top