Software e portabilità dei dati “non personali”
Regolamento UE 2018/1807 portabilità e libera circolazione dei dati non personali
Lo scorso settembre la Commissione Europea ha delineato una proposta di regolamento inerente la portabilità dei dati non personali (v. link in calce).
L’obbligo di portabilità dei dati è già previsto nel Regolamento Privacy (art. 20, Reg. 2016/679) ma riguarda esclusivamente i “dati personali” dell’interessato.
Con questa proposta, la Commissione Europea intende dare veste normativa al principio della libera portabilità dei dati non personali, al fine di evitare, tra le altre cose, la pratica ostruzionistica del lock-in da parte di alcune software house. Riferisce in proposito la Commissione che il 56,8 % delle PMI hanno trovato difficoltà nel passaggio da un fornitore all’altro.
Di seguito il testo della norma proposta.
Articolo 6 – Portabilità dei dati
1. La Commissione incoraggia e facilita l’elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione, al fine di definire orientamenti sulle migliori pratiche atte a facilitare il cambio di fornitore di servizi e a garantire che i fornitori di servizi comunichino agli utenti professionali informazioni sufficientemente precise, chiare e trasparenti prima della conclusione di un contratto di archiviazione o altro trattamento di dati, in relazione ai seguenti aspetti:
(a) le procedure e i requisiti tecnici, i tempi e gli oneri applicati nel caso in cui un utente professionale intenda cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici, comprese le procedure e il luogo in cui è effettuato il backup dei dati, i formati e i supporti dei dati disponibili, la configurazione informatica richiesta e la larghezza di banda della rete; il tempo necessario per avviare la procedura di trasferimento dei dati e il periodo in cui i dati saranno disponibili per il trasferimento; nonché le garanzie di accesso ai dati in caso di fallimento del fornitore; e
(b) i requisiti operativi per il cambio di fornitore di servizi o il trasferimento dei dati – forniti in un formato elettronico, strutturato e di uso comune – che concedano all’utente un tempo sufficiente per effettuare tale operazione.
2. La Commissione incoraggia i fornitori a dare effettiva attuazione ai codici di condotta di cui al paragrafo 1 entro un anno dalla data di applicazione del presente regolamento”.
Pertanto, è sin da subito opportuno regolare l’ipotesi della portabilità dei dati nei contratti di licenza, di hosting o, in generale, di fornitura dei servizi IT.
Il testo della proposta di regolamento è consultabile al seguente link: https://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0ahUKEwjrqsWKtprXAhXDKFAKHXi2D0sQFggyMAI&url=https%3A%2F%2Fec.europa.eu%2Finfo%2Flaw%2Fbetter-regulation%2Finitiative%2F111901%2Fattachment%2F090166e5b5aad381&usg=AOvVaw3mTBO9uJWygpkaVrAkIJrR
AGGIORNAMENTO: nel novembre 2018 è entrato in vigore il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea, il quale rimanda all’autoregolamentazione e a codici di condotta la disciplina sulla portabilità dei dati non personali.
In Particolare l’art. 6 del Regolamento (UE) 2018/1807, ribricato portabilità dei dati prevede:
1. La Commissione incoraggia e facilita l’elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione («codici di condotta»), al fine di contribuire a un’economia dei dati competitiva basata sui principi della trasparenza e dell’interoperabilità e nell’ambito della quale si tenga debitamente conto degli standard aperti, contemplando, tra l’altro, gli aspetti seguenti:
a. le migliori prassi per agevolare il cambio di fornitore di servizi e la portabilità dei dati in un formato strutturato, di uso comune e leggibile elettronicamente, anche in formati standard aperti ove necessario o richiesto dal fornitore di servizi che riceve i dati;
b. gli obblighi d’informazione minimi per garantire che gli utenti professionali ricevano informazioni sufficientemente dettagliate, chiare e trasparenti prima della conclusione di un contratto di trattamento di dati, per quanto riguarda le procedure e i requisiti tecnici, i tempi e gli oneri applicati nel caso in cui un utente professionale intenda cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici
c. gli approcci in materia di sistemi di certificazione che agevolano il confronto di prodotti e servizi di trattamento dei dati per gli utenti professionali, tenendo conto delle norme consolidate a livello nazionale o internazionale che agevolano la comparabilità di tali prodotti e servizi. Tali approcci possono includere, tra l’altro, la gestione della qualità, la gestione della sicurezza delle informazioni, la gestione della continuità operativa e la gestione ambientale.
d. tabelle di marcia in materia di comunicazione, con un approccio multidisciplinare volto a sensibilizzare i portatori di interessi a proposito dei codici di condotta.
2. La Commissione provvede affinché i codici di condotta siano elaborati in stretta cooperazione con tutti i portatori di interesse, tra cui le associazioni di PMI e start-up, gli utenti e i fornitori di servizi cloud.
3. La Commissione incoraggia i fornitori di servizi a completare lo sviluppo dei codici di condotta entro il 29 novembre 2019 e a dare loro effettiva attuazione entro il 29 maggio 2020“.
Il Regolamento è consultabile al link https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32018R1807&qid=1543508152850&from=IT
