Comitato economico e sociale europeo
TEN/645
Libera circolazione di dati non personali nell'Unione europea
PARERE
Sezione specializzata Trasporti, energia, infrastrutture, società dell'informazione
Proposta di regolamento del Parlamento europeo e del Consiglio relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea
[COM(2017) 495 final — 2017/0228 (COD)]
|
Amministratrice
|
Maja RADMAN
|
|
Data del documento
|
08/02/2018
|
Relatore: Jorge PEGADO LIZ
|
Consultazioni
|
Parlamento europeo, 23/10/2017
Consiglio dell'Unione europea, 24/10/2017
|
|
|
|
|
Base giuridica
|
Articolo 114 del Trattato sul funzionamento dell'Unione europea
|
|
|
|
|
Sezione competente
|
Trasporti, energia, infrastrutture, società dell'informazione
|
|
Adozione in sezione
|
05/02/2018
|
|
Adozione in sessione plenaria
|
|
|
Sessione plenaria n.
|
|
|
Esito della votazione
(favorevoli/contrari/astenuti)
|
|
1.Conclusioni e raccomandazioni
1.1Conclusioni
1.1.1Il CESE ha sostenuto in diversi pareri già adottati la necessità di un'iniziativa concernente la libera circolazione dei dati non personali come presupposto essenziale per realizzare gli obiettivi dell'Agenda digitale e per completare il mercato unico digitale.
1.1.2La proposta della Commissione rappresenta, per il momento, l'elemento giuridico più importante della futura politica europea per lo sviluppo dell'economia dei dati e del loro impatto sulla crescita economica, sulla ricerca scientifica, sul sostegno alle nuove tecnologie, principalmente nell'ambito dell'intelligenza artificiale, del cloud computing, dei metadati, dell'Internet degli oggetti (IoT), nonché sull'industria, sui servizi in generale e su quelli pubblici in particolare.
1.1.3Il CESE ritiene, tuttavia, che la proposta abbia il difetto di essere arrivata in ritardo e che la portata troppo limitata del suo ambito d'applicazione, la fluidità e la mancanza di assertività dei meccanismi annunciati, la penuria di strumenti convincenti per la sua efficace attuazione e, in particolare, la scarsa ambizione, determinazione e volontà politica rischino di compromettere il raggiungimento degli obiettivi prefissati.
1.1.4In effetti, per quanto concerne il primo e più importante di tali obiettivi ("migliorare la mobilità di dati non personali a livello transfrontaliero nel mercato unico"), il CESE, contrariamente alla Commissione, non ritiene sufficiente, in una prima fase, limitarsi a obbligare gli Stati membri a notificarle "qualsiasi progetto di atto che introduca un nuovo obbligo di localizzazione di dati o apporti modifiche a un vigente obbligo di localizzazione dei dati" solo 12 mesi dopo l'entrata in vigore del regolamento, (che non dovrebbe aver luogo prima della fine del 2018 nella migliore delle ipotesi), e a imporre agli Stati membri di "eliminare qualsiasi obbligo di localizzazione dei dati" che non sia conforme alla norma che vieta e limita la libera circolazione di tali dati, a meno che ciò non sia giustificato da motivi di sicurezza pubblica.
1.1.5Il CESE infatti non accetta che non siano previste procedure specifiche in caso di mancata osservanza da parte degli Stati membri.
1.1.6Per quanto attiene al secondo obiettivo ("far sì che la facoltà delle autorità competenti di chiedere e ottenere l'accesso ai dati ai fini del controllo regolamentare, quali ispezioni e audit, rimanga invariata"), il CESE deplora che la proposta si limiti a prevedere una procedura di cooperazione fra le autorità competenti di ciascuno Stato membro e la creazione a tal fine di una rete di punti di contatto unici che servirà da anello di collegamento con i punti di contatto degli altri Stati membri e con la Commissione per quanto riguarda l'applicazione del regolamento.
1.1.7Infine, per quanto riguarda il terzo obiettivo ("facilitare agli utenti professionali di servizi di archiviazione o di altri servizi di trattamento di dati il cambio di fornitore di servizi e la portabilità dei loro dati"), il Comitato non è d'accordo con il fatto che la Commissione si limiti ad assumere l'impegno di incoraggiare e facilitare "l'elaborazione di codici di condotta di autoregolamentazione a livello dell'Unione" in un settore che dovrebbe essere regolamentato solo da misure legislative, senza nemmeno aver proposto di definire "orientamenti" per l'elaborazione di tali codici di condotta.
1.1.8Per tutte queste ragioni, il CESE non può approvare il documento nella forma proposta. Il CESE dichiara la sua disponibilità a sostenere la proposta di regolamento solo qualora e nella misura in cui essa sia modificata secondo le linee proposte nel presente parere e sia chiaramente intesa come il più alto comun denominatore accettabile da parte sia degli Stati membri sia delle parti interessate, ma sempre nell'idea che si tratti di un primo passo di un'evoluzione futura verso forme più ambiziose di realizzazione concreta di un'effettiva libera circolazione dei dati non personali nel mercato unico digitale dell'Unione europea.
1.1.9E inoltre, a condizione che, nel corso di questa evoluzione, si tenga debitamente conto della dimensione internazionale di un'economia globale in cui tale iniziativa deve necessariamente inserirsi.
1.2Raccomandazioni
1.2.1In relazione a quanto precede, il CESE raccomanda alla Commissione di riesaminare la sua proposta al fine di allinearla al testo dell'opzione 3, opzione che il Comitato privilegia a scapito della variante 2a, scelta dalla Commissione.
Inoltre, il CESE raccomanda caldamente che la Commissione integri nella proposta i suggerimenti di cui ai punti 3.4.1 (termine per l'entrata in vigore) e 3.4.2 (mancanza di una procedura obbligatoria in caso di inosservanza), 3.6 (assenza di linee guida relative ai codici di condotta), 3.7 (non considerazione delle preoccupazioni circa la classificazione di metadati) e 3.8 (mancata considerazione del carattere transeuropeo e globale dell'economia digitale).
1.2.2Il CESE invita altresì la Commissione ad accogliere con favore le varie proposte di miglioramento che esso avanza in relazione a diversi articoli della proposta di regolamento all'esame.
1.2.3Inoltre raccomanda vivamente alla Commissione di includere nel suo testo gli emendamenti proposti nella posizione della Presidenza del Consiglio del mese di dicembre, con cui si dichiara d'accordo in quanto rappresentano miglioramenti intrinseci e rendono più sostenibile la proposta.
2.Breve sintesi e contesto generale
2.1Sintesi della proposta e sua giustificazione
2.1.1La Commissione giustifica la necessità e la proporzionalità della proposta di regolamento all'esame con i seguenti argomenti
·migliorare la mobilità dei dati non personali a livello transfrontaliero nel mercato unico, mobilità che è attualmente limitata in molti Stati membri dalle restrizioni dovute alla localizzazione o dalle incertezze giuridiche nel mercato;
·far sì che la facoltà delle autorità competenti di chiedere e ottenere l'accesso ai dati ai fini del controllo regolamentare, quali ispezioni e audit, rimanga invariata;
·facilitare agli utenti professionali di servizi di archiviazione o di altri servizi di trattamento di dati il cambiamento di fornitore di servizi e la portabilità dei loro dati.
2.1.2La Commissione ritiene che la proposta rispetti il principio di sussidiarietà in quanto, assicurando la libera circolazione dei dati nell'Unione, intende "garantire il buon funzionamento del mercato interno dei suddetti servizi, che non è limitato al territorio di uno Stato membro, nonché la libera circolazione dei dati non personali all'interno dell'Unione", un obiettivo che "non può essere conseguito dagli Stati membri a livello nazionale, in quanto il problema principale è la mobilità transfrontaliera dei dati".
2.1.3La Commissione giudica inoltre la proposta proporzionale in quanto "mira a conseguire un equilibrio tra la regolamentazione dell'UE e gli interessi degli Stati membri in materia di sicurezza pubblica, così come un equilibrio tra regolamentazione e autoregolamentazione del mercato".
2.2Contesto politico e giuridico
2.2.1Da un punto di vista giuridico, la Commissione ha valutato 3 opzioni, illustrate brevemente nella relazione che sintetizza gli studi di valutazione d'impatto ex ante e le consultazioni dei soggetti interessati realizzate nella fase di elaborazione del testo legislativo e che possono essere riassunte come segue:
L'opzione 1 prevede che i diversi problemi individuati siano affrontati mediante l'autoregolamentazione e/o orientamenti e comporta un'applicazione più rigorosa della disposizioni relative a varie categorie di restrizioni ingiustificate o sproporzionate dovute alla localizzazione dei dati imposta dagli Stati membri.
L'opzione 2 stabilisce i principi giuridici relativi ai diversi problemi individuati e prevede la designazione, da parte degli Stati membri, di punti di contatto unici e l'istituzione di un gruppo di esperti per discutere approcci e pratiche comuni e fornire orientamenti sui principi sanciti nell'ambito dell'opzione.
L'opzione 3 consiste in un'iniziativa legislativa dettagliata, intesa a stabilire, tra l'altro, valutazioni predefinite (armonizzate) sugli elementi che costituiscono una restrizione (in)giustificata e (s)proporzionata dovuta alla localizzazione dei dati e ad introdurre un nuovo diritto di portabilità dei dati.
2.2.2Alla luce delle divergenze con il comitato per il controllo normativo, il quale ha emesso due pareri negativi sulle proposte della Commissione, e nonostante la maggior parte dei soggetti interessati ritenga che l'opzione dell'iniziativa legislativa (opzione 3) rappresenti lo strumento più adeguato, è stata dunque presentata, per motivi di pura strategia politica, una
Variante 2a "per consentire di valutare una combinazione di misure legislative volte a istituire il quadro per la libera circolazione dei dati e i punti di contatto unici e un gruppo di esperti, e di misure di autoregolamentazione per disciplinare la portabilità dei dati".
La Commissione ritiene che questa opzione garantirà "la rimozione delle attuali restrizioni ingiustificate in materia di localizzazione" evitando "efficacemente future restrizioni" ingiustificate, e "contribuirà inoltre a promuovere l'uso transfrontaliero e intersettoriale dei servizi di archiviazione o altro trattamento di dati e lo sviluppo del mercato dei dati. Di conseguenza, la proposta contribuirà a trasformare la società e l'economia e offrirà nuove opportunità per i cittadini, le imprese e le amministrazioni pubbliche in Europa".
2.2.3La Commissione ha dunque presentato una proposta di regolamento "che può garantire l'applicazione di norme uniformi per la libera circolazione dei dati non personali contemporaneamente in tutta l'Unione.", il che "è particolarmente importante per eliminare le restrizioni esistenti e prevenirne di nuove da parte degli Stati membri".
2.2.4La proposta all'esame trae origine dai recenti sviluppi tecnologici digitali che consentono di archiviare e utilizzare grandi quantità di dati in modo sempre più efficiente, ottenendo economie di scala e arrecando benefici ai loro utenti con un aumento della velocità di accesso, della connettività e con una maggiore autonomia.
2.2.4.1Nella sua comunicazione intitolata Costruire un'economia dei dati europea la Commissione ha messo in evidenza la relazione tra gli ostacoli alla libera circolazione dei dati e il ritardo nello sviluppo del mercato europeo. Di qui la necessità, espressa dalla Commissione stessa, di proporre un quadro giuridico che elimini la nozione di "controlli alle frontiere".
Va osservato che solo la metà circa degli Stati membri ha sottoscritto il documento informale sull'iniziativa concernente la libera circolazione dei dati, e fra questi paesi non figurano, in particolare, la Germania, la Francia e nessuno dei paesi meridionali dell'UE.
2.2.4.2Questo aspetto è stato nuovamente trattato nella comunicazione della Commissione sulla revisione intermedia della strategia per il mercato unico digitale, dal titolo Un mercato unico digitale connesso per tutti, in cui la Commissione annuncia la pubblicazione, nel 2017, di due iniziative legislative, la prima delle quali riguarda la libera circolazione transfrontaliera di dati non personali, oggetto del presente parere, mentre la seconda concerne l'accessibilità e il riutilizzo dei dati pubblici e dei dati raccolti con finanziamenti pubblici, ancora in corso di preparazione da parte della Commissione.
2.2.4.3Infine, nel parere sul tema Mercato unico digitale: revisione intermedia il CESE ritiene che "l'economia dei dati europea sia uno dei settori in cui è più evidente il distacco tra l'UE e i leader dell'innovazione digitale globale" e in tal senso "condivide la proposta di creare un quadro normativo, a patto che questo trovi la sua corretta declinazione nel contesto del cloud computing, intelligenza artificiale e Internet degli oggetti, tenga in considerazione la libertà contrattuale rimuovendo gli ostacoli all'innovazione e trovi adeguato riscontro nei finanziamenti stanziati dall'UE, in altre parole, l'opzione 3".
2.2.4.4La proposta della Commissione rappresenta pertanto l'elemento giuridico più importante della futura politica europea per lo sviluppo dell'economia dei dati e del suo impatto sulla crescita economica, sulla ricerca scientifica, sul sostegno alle nuove tecnologie, principalmente nell'ambito dell'intelligenza artificiale, del cloud computing, dei metadati, dell'Internet degli oggetti (IoT), nonché sull'industria, sui servizi in generale e su quelli pubblici in particolare.
3.Osservazioni generali
3.1Il CESE prende atto dell'obiettivo dell'iniziativa all'esame che ha già sostenuto in diversi suoi precedenti pareri. Si tratta infatti di un presupposto essenziale per realizzare gli obiettivi dell'Agenda digitale e del mercato unico digitale.
3.2Il CESE si rammarica, tuttavia, che il suo ambito d'applicazione sia troppo limitato. Lamenta inoltre la scarsa incisività dei suoi obiettivi, lo scarso rigore e la mancanza di assertività dei meccanismi citati e, in particolare, la mancanza di ambizione, di determinazione e di volontà politica.
Si formulano le seguenti osservazioni.
3.3Con la nozione di "libera circolazione" di dati non personali la Commissione intende contrastare la maggior parte delle politiche e delle pratiche alle quali fanno ricorso gli Stati membri per creare, imporre o autorizzare ostacoli per quanto riguarda la localizzazione dei dati ai fini di una loro archiviazione o di qualsiasi altro trattamento. La Commissione ritiene giustamente che la circolazione di questo tipo di dati non debba essere vietata o sottoposta a restrizioni, tranne che per motivi di sicurezza pubblica, attraverso la definizione di norme relative ai seguenti aspetti:
a)gli obblighi di localizzazione dei dati;
b)la messa a disposizione di dati per le autorità competenti
c)la portabilità dei dati per gli utenti professionali.
3.4Tuttavia, al fine di dare attuazione al primo dei suddetti punti, quello concernente gli obblighi di localizzazione dei dati, la Commissione ha ritenuto sufficiente, in un primo tempo, obbligare gli Stati membri a comunicarle "qualsiasi progetto di atto che preveda un nuovo obbligo di localizzazione dei dati o ne modifichi uno esistente"
3.4.1Solo 12 mesi dopo l'entrata in vigore del regolamento (che non dovrebbe avvenire prima della fine del 2018), "gli Stati membri provvedono a eliminare qualsiasi obbligo di localizzazione dei dati che non sia conforme" alla regola che impone di non vietare né limitare il libero flusso di questi dati, tranne che per motivi di sicurezza pubblica. In tal caso, lo Stato membro interessato ne dà notifica alla Commissione, indicando i motivi per cui ritiene che la misura sia conforme alla succitata disposizione, e debba pertanto restare in vigore.
3.4.2Nessuna procedura specifica è prevista in caso di mancata osservanza da parte di uno Stato membro.
3.5Per quanto concerne il secondo punto, quello relativo alla messa a disposizione di dati alle autorità competenti, la proposta non pregiudica la facoltà delle autorità competenti di chiedere e ottenere l'accesso a dati ai fini dell'esercizio delle loro funzioni ufficiali conformemente al diritto dell'Unione o a quello nazionale.
Aggiunge tuttavia una disposizione importante: "L'accesso ai dati da parte delle autorità competenti non può essere rifiutato per il fatto che i dati sono archiviati o altrimenti trattati in un altro Stato membro".
3.5.1Tuttavia, per garantire che tale diritto sia effettivo, la proposta si limita a proporre una procedura di cooperazione tra le autorità competenti di ciascuno Stato membro, analoga ad altre procedure già esistenti in altri settori, e per la quale verrà creata una rete di punti di contatto unici che servirà da anello di collegamento con i punti di contatto unici degli altri Stati membri e con la Commissione per quanto riguarda l'attuazione del regolamento, ma dei quali non sarà valutata né l'efficacia né la sostenibilità dei costi che comportano.
3.5.2In definitiva, tuttavia, l'applicazione di misure coercitive per ottenere, da parte dell'autorità, l'accesso a tutti i locali di una persona fisica o giuridica, compresi tutti gli strumenti e dispositivi di archiviazione o altro trattamento di dati, dovrà essere conforme alle norme procedurali di ciascuno Stato membro.
3.5.3In altre parole, nel caso più che probabile di mancata osservanza, il solo ricorso possibile è quello dinanzi agli organi giurisdizionali ordinari degli Stati membri, ricorso che sarà soggetto ai ben noti ritardi della giustizia, ai suoi costi esorbitanti e all'aleatorietà dei risultati.
3.6Per quanto concerne infine il terzo punto citato, la portabilità dei dati per gli utenti professionali, la Commissione si limita a incoraggiare e facilitare "l'elaborazione di codici di condotta di autoregolamentazione a livello dell'Unione, al fine di definire orientamenti sulle migliori pratiche atte a facilitare il cambio di fornitore di servizi e a garantire che i fornitori di servizi comunichino agli utenti professionali informazioni sufficientemente precise, chiare e trasparenti prima della conclusione di un contratto di archiviazione o altro trattamento di dati" in relazione ad alcuni aspetti realmente strutturali ed essenziali.
3.6.1L'idea di fare esclusivamente riferimento a semplici meccanismi di autoregolamentazione per disciplinare aspetti fondamentali che dovrebbero essere oggetto solo di misure legislative è ovviamente fortemente criticabile.
Il CESE, pur avendo sempre difeso la co-regolamentazione come strumento supplementare di particolare importanza nel contesto normativo dell'Unione, non è d'accordo sul fatto che norme e principi fondamentali per la coerenza e l'armonizzazione del diritto dell'UE vengano lasciati semplicemente alla autoregolamentazione senza fornire nessun tipo di parametro o di orientamento.
Per quanto riguarda in modo specifico la portabilità, è ancor più grave l'idea di limitare la responsabilità e di introdurre periodi di fidelizzazione per il titolare dei dati, con la possibilità di cancellare il contenuto in caso di mancata osservanza.
3.6.2Ancor più criticabile è il fatto che la Commissione non abbia proposto per lo meno un meccanismo di co-regolamentazione, seguendo il modello e i parametri che il CESE ha opportunamente definito.
In questo senso, il CESE ritiene che il regolamento all'esame dovrebbe almeno fornire un insieme di norme di base relative ai rapporti contrattuali tra i fornitori di servizi e gli utenti, e prevedere una lista nera di clausole vietate a causa della limitazione del diritto di portabilità, secondo i parametri indicati in particolare nel proprio parere sull'autoregolamentazione e sulla co-regolamentazione.
3.6.3Tuttavia è inconcepibile che la Commissione non abbia neppure proposto di definire "orientamenti" per l'elaborazione dei codici di condotta precedentemente citati, come ha già fatto in altri settori, sostenuta in questo approccio dal CESE.
In effetti, per quanto riguarda la portabilità dei dati, talune imprese hanno adottato un comportamento che lede i diritti degli utenti, in particolare limitazioni alla titolarità dei dati o alla proprietà intellettuale dei contenuti dei servizi del cloud, consenso per la raccolta e il trattamento dei dati, con l'introduzione di regole che presumono tale consenso, nonché pagamenti occulti o facoltà di sospendere un servizio per decisione unilaterale da parte dell'impresa.
3.6.4La Commissione infine promette, senza dare altre alternative di natura giuridica, che "riesaminerà la preparazione e l'effettiva attuazione di tali codici di condotta" nonché "l'effettiva messa a disposizione delle informazioni da parte dei fornitori entro due anni dalla data di applicazione del regolamento". Ma poi?
3.7Inoltre, il fatto di limitare la proposta alle tre situazioni già citate, non tiene conto della crescente preoccupazione concernente i metadati, considerati dati non personali che, salvo le debite eccezioni, devono godere della stessa protezione dei dati personali, in particolare in termini di diritti ARCO (Accesso, Rettificazione, Cancellazione ed Opposizione) per i titolari.
3.7.1Di fatto, le imprese che si occupano di esaminare i metadati effettuano analisi prospettive e proattive basate su dati, individuando le tendenze o le condizioni che consentono alle imprese di adottare decisioni per il futuro.
3.7.2Inoltre, non è chiaro se il futuro regolamento si applicherà soltanto ai dati ottenuti in forma elettronica, dal momento che l'articolo 3, paragrafo 2 definisce l'archiviazione come "qualsiasi forma di archiviazione dei dati in formato elettronico" e che l'articolo 2 stabilisce che il regolamento si applica "alle attività di archiviazione o altro trattamento di dati elettronici" Di conseguenza, un questionario realizzato, ad esempio, in forma anonima, alla presenza del titolare dei dati e archiviato fisicamente potrebbe non rientrare nell'ambito del regolamento all'esame.
3.7.3D'altro canto, con l'Internet degli oggetti, la proliferazione di apparecchiature elettroniche, in particolare elettrodomestici che raccolgono ed effettuano un controllo incrociato di dati non personali, potrebbe sollevare in futuro questioni diverse in termini di sicurezza e tutela della vita privata, motivo per cui era essenziale che la Commissione europea rivolgesse un'attenzione maggiore ai dati non personali, proteggendo i diritti fondamentali dei cittadini.
3.7.4Infine, e considerando la zona grigia esistente tra i dati personali e non personali, alcuni dati potendo facilmente diventare personali, il mantenimento di due regimi completamente distinti può far sì che i soggetti cerchino di qualificare i dati ottenuti come non personali, evitando in tal modo l'applicazione del regolamento (UE) 2016/679 del 27 aprile 2016.
3.8Inoltre, la proposta della Commissione non tiene debito conto della natura globale e transeuropea dell'economia digitale e si preoccupa solo di regolamentare il mercato interno, dimenticando che quest'ultimo si sviluppa in un mercato globale, senza alcuna garanzia che gli altri paesi e continenti seguano le stesse regole che essa stessa intende attualmente applicare e senza il potere di imporle nei negoziati internazionali.
3.9Per tutte queste ragioni, il CESE è contrario alla variante 2a proposta dalla Commissione senza argomenti validi né sostanziali a scapito dell'opzione 3, che invece gode del suo pieno sostegno.
3.10Se e nella misura in cui si terrà conto delle sue proposte di modifica, nonché di quelle presentate nella posizione della presidenza del Consiglio del 19 dicembre scorso, che il Comitato approva, Il CESE è disposto a sostenere la presente proposta di regolamento, così modificata, a condizione che essa venga considerata come il più alto comun denominatore accettabile da parte sia degli Stati membri sia dei soggetti interessati, e che sia un primo passo verso forme più ambiziose di effettiva realizzazione di un'effettiva libera circolazione dei dati non personali nel mercato unico digitale dell'Unione europea.
4.Osservazioni particolari
4.1Articolo 2 - Campo di applicazione
4.1.1Il CESE si interroga sulla natura della lettera a): ovvero su cosa si intenda con l'espressione "fornito come servizio ad utenti" e in particolare si chiede se siamo dinanzi ad un'operazione giuridica a titolo gratuito o a pagamento.
In effetti, è importante sottolineare che attualmente esistono vari servizi forniti gratuitamente, ad esempio Google Analytics. Tuttavia, il fatto che non vi sia l'obbligo del pagamento ha permesso alle imprese che forniscono il servizio di introdurre clausole abusive nei loro contratti di prestazione di servizi, declinando ogni responsabilità per la perdita, lo smarrimento o la distruzione di dati, o addirittura arrogandosi il diritto di cancellare i dati senza il consenso del titolare.
4.1.2D'altro canto, per il CESE è necessario che il regolamento all'esame, analogamente al regolamento (UE) 2016/679, si applichi anche ad un paese al di fuori dell'Unione europea in cui sia applicato il diritto di uno Stato membro in virtù del diritto internazionale privato.
4.2Articolo 3 — Definizioni
4.2.1Il concetto di dati non personali
4.2.1.1Il concetto di dati non personali non è definito con rigore logico; la sola cosa che si può dire, in prima battuta, è che si tratta di dati diversi da quelli personali, e questa è solo una definizione in negativo, come si può desumere dal considerando 7 del preambolo e dall'articolo 1 della proposta.
4.2.1.2Tuttavia, a un esame più attento, emerge che da tale concetto sono esclusi solamente i dati personali soggetti a una protezione giuridica specifica, vale a dire la protezione conferita attualmente dal regolamento (UE) 2016/679 del 27 aprile 2016, dalla direttiva 2016/680/CE, della stessa data, dalla direttiva 2002/58/CE, del 12 luglio 2002 e dalla legislazione nazionale che li ha recepiti.
4.2.1.3Pertanto la presente proposta sembra riguardare non solo i dati relativi alle persone giuridiche (che, a differenza di quanto sostenuto a più riprese dal CESE, non beneficiano della stessa protezione accordata alle persone fisiche, come avviene invece in diversi ordinamenti giuridici nazionali), ma anche i dati personali in forma "anonima", ai quali è dedicato solo un riferimento nel considerando 26 del regolamento generale sulla protezione dei dati.
4.2.1.4Al fine di garantire la coerenza, la concordanza e la certezza giuridica degli atti dell'UE e considerando la genericità del testo, il CESE sottolinea la necessità che il regolamento definisca esplicitamente i dati non personali e che non vi sia soltanto una definizione generica o complementare a quella di cui al regolamento (UE) 2016/619, dal momento che molte giurisdizioni hanno interpretato in maniera diversa le nozioni di dati personali e non personali.
4.3Articolo 4 - Libera circolazione dei dati all'interno dell'Unione
4.3.1Per motivi di certezza e di sicurezza giuridica, il CESE ritiene necessario precisare i termini imposti agli Stati membri per notificare le misure che comportano il mantenimento o la creazione di regole che per motivi di pubblica sicurezza, sono contrarie alle disposizioni del regolamento all'esame.
4.3.2Ritiene inoltre importante che la Commissione europea notifichi gli altri Stati membri onde verificare se tali misure avranno o meno un impatto diretto o indiretto sulla circolazione dei dati non personali sul loro territorio.
4.4Articolo 9 - Riesame
4.4.1La Commissione si assume l'obbligo di procedere al riesame del regolamento trascorsi cinque anni dalla sua entrata in vigore e di trasmettere al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni di tale riesame.
4.4.2Dato che l'entrata in vigore non dovrebbe avvenire, nella migliore delle ipotesi, prima della fine del 2018, il CESE ritiene più opportuno che il riesame venga effettuato a distanza di tre anni, in considerazione della evidente debolezza del dispositivo e delle materie su cui verte, caratterizzate da una costante e rapida evoluzione.
4.5Posizione della presidenza del Consiglio
4.5.1Lo scorso 19 dicembre, mentre il presente progetto di parere era in preparazione, la presidenza del Consiglio europeo ha presentato un testo emendato della proposta della Commissione che modifica in modo sostanziale tale proposta, andando esattamente nella direzione delle presenti raccomandazioni del CESE.
4.5.2In sintesi le modifiche riguardano in particolare i seguenti articoli:
a)articolo 2 - campo di applicazione, e considerando 7bis e 8 — chiarimenti sugli elementi che esulano dall'ambito di applicazione del regolamento;
b)articolo 3 — definizioni — introduzione di un nuovo paragrafo (2 bis) che chiarisce il significato di "trattamento";
c)sempre all'articolo 3, paragrafo 5, inserimento esplicito delle pratiche amministrative nella definizione della localizzazione dei dati e conseguente modifica dell'articolo 4, paragrafo 1;
d)all'art. 5, paragrafo 2 bis, istituzione di un meccanismo vincolante per imporre di rendere accessibili i dati e, al paragrafo 3, una disposizione che prevede la facoltà degli Stati membri di imporre sanzioni agli utenti che non forniscano i dati, come raccomandato nel presente parere;
e)all'art. 6, definizione di linee guida per l'elaborazione dei codici di condotta;
f)all'art. 7, definizione del ruolo dei "punti unici di contatto" e la velocizzazione del processo di comunicazione tra le autorità;
g)soppressione dell'art. 8 e, con esso, del comitato per la libera circolazione dei dati;
h)migliore allineamento di diversi articoli alla direttiva sulla trasparenza;
i)nei considerando 10 e 10 bis la questione dei dati misti e di quelli anonimi beneficia adesso del necessario chiarimento;
j)nel considerando12 bis, la nozione di sicurezza pubblica di cui all'articolo 4 viene definita a livello di contenuto sulla base della giurisprudenza della Corte di giustizia.
4.5.3Il CESE è decisamente favorevole a tutte queste proposte della presidenza ed esorta vivamente la Commissione, il Parlamento e gli Stati membri a prenderle nella dovuta considerazione.
Bruxelles, 5 febbraio 2018
Pierre Jean COULON
Presidente della sezione specializzata Trasporti, energia, infrastrutture, società dell'informazione
_____________
