1/10 A chi si applica il Regolamento sulla protezione dei dati?
di Rosario Imperiali
Se si considera l’intreccio di possibilità, come sintetizzato nella scheda qui accanto, appare subito chiaro che le disposizioni contenute nel regolamento Ue syl trattamento dei dati personali (Gdpr) non sono solo norme europee ma costituiscono piuttosto uno standard internazionale.
Che sia stata l’Europa a dettare le regole è comprensibile, visto il valore del mercato Ue dei dati (cioè dei dati digitali scambiati come prodotto o servizio) che, secondo una ricerca della Commissione del marzo di quest’anno (Smart 2016/0063), è oggi pari a 65 miliardi di euro e toccherà i 77 miliardi (60 per l’Ue a 27) nel 2020, mentre l’economia dei dati (cioè lo sfruttamento dei dati mediante l’odierna tecnologia) ammonta a 335 miliardi (dati 2017) con una previsione che tocca i 452 miliardi di euro (365 senza il Regno Unito) nel 2020.
Dati, mercato e fiducia
Dati e dati personali - come si vedrà nelle pagine successive - sono quasi sinonimi e la pregiudiziale per sostenere e sviluppare la data economy è la tutela della fiducia dell’individuo circa il corretto utilizzo dei propri dati personali da parte del mercato.
Per «dato personale» il Regolamento intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica,fisiologica, genetica, psichica, economica, culturale o sociale».
Il Gdpr contribuisce significativamente a tutelare la fiducia di chi affida i propri dati, da un lato proteggendo i diritti del singolo riguardo all’uso dei propri dati personali, sulla scia della natura fondamentale riconosciutagli dal trattato di Lisbona e, dall’altro lato, rimuove gli ostacoli alla circolazione dei dati personali all’interno dell’Unione. Nell’attuale mondo globalizzato, quindi, non è sufficiente stabilire autonomamente il livello di adempimento al Gdpr che l’azienda, anche se meramente locale, possa decidere di conseguire, in quanto - da ultimo - sarà la filiera delle relazioni commerciali con fornitori e clienti ad imporle lo standard da rispettare.
Ricadute globali
Le aziende con sede in uno dei Paesi della Ue dovranno necessariamente fare i conti con le prescrizioni del Gdpr e, in caso alimentino flussi di dati all’interno dell’Unione, dovranno anche individuare quale sia l’autorità guida competente per le qUestioni data protection relative a qUel flusso.
Se il flusso, invece, riguarda paesi terzi (non Ue), qualora riguardi dati personali di soggetti che si trovano nella Ue, esso dovrà essere regolato da apposite clausole contrattuali che vincolino i partner importatori di dati a comportamenti conformi ai dettati del Gdpr. In aggiunta, se i trattamenti sui dati personali effettuati dalle medesime aziende non-Ue le qualificano come titolari o responsabili in base al Gdpr, qUeste stesse aziende saranno soggette alle pertinenti prescrizioni del regolamento e dovranno nominare per iscritto un proprio rappresentante in uno degli Stati membri dell’Unione.
Non deve apparire un paradosso, quindi, il presentimento che individua nel mercato, piuttosto che nello spauracchio delle alte sanzioni o nella compliance in sé, il vero innesco che determinerà la citata metamorfosi del Gdpr, da norma di competenza europea a standard universale.
© Riproduzione riservata