UNITesi

The term datafication describes the process of transforming social interactions into quantifiable digital data in order to make their classification and analysis possible. In this sense, the datafication constitutes the evolution of digitization to the extent that it allows a more advanced analysis as it can identify recurring patterns and hidden correspondences even within large datasets. It is due to this phenomenon that data has grown exponentially, not only in quantity, but especially in relevance, thus becoming an essential digital resource for any kind of public or private activity. This paradigm shift heavily affected the prior economic and geopolitical balances, allocating a massive share of power to those actors, public or private, able to secure access to this precious asset in the first place. The European Union paid dearly its initial inactivity as to research and development of digital technologies: powerful countries like the United States of America and the People's Republic of China are now in a position of technical supremacy, while Europe’s upswing in the near future seems rather far-fetched. Therefore, the Union decided to intervene, first and foremost, at the regulatory level aiming to stop the process of progressive erosion of its sovereignty caused by its inability to exploit data. Due to the lack of infrastructures and expertise in the Member States, the resort to acts of, especially, secondary law has been identified as the main way to move forward, because deemed as a solution capable of stopping the leakage of precious data from the European virtual boundaries in a way that is as immediate as, theoretically, effective. The growth in the enactment of normative and institutional acts specifically dedicated to the protection and the processing of data may suggest the inception of the data law as a special branch within the European and the Member States legal systems, responding to its own and, partially, autonomous principles and rules. The regulatory framework currently in force at EU level is based on the fundamental distinction between personal data, namely information related to an identified or identifiable natural person, and non-personal data which, conversely, include all information falling outside the first category. The two main regulations on the matter highlight this basic difference: on the one hand, the Regulation (EU) 2016/679 concerning the protection of individuals with regard to the processing of personal data and, on the other hand, the Regulation (EU) 2018/1807 on a framework for the free flow of non-personal data in the European Union. The review of the European regulatory framework described in this work shows a strong imbalance between these two poles: the focal point of the system is heavily prone towards personal data because of the recognition of the protection of this information as a fundamental right within European Union law. Consequently, the European constitutional doctrine has taken the same turn, focusing its research on the need to protect the individual from the negative consequences that may descend from the (even lawful) processing of information concerning natural persons. On the other side, however, non-personal data has been mainly analysed by researchers from commercial, economic and private domains, with particular regard to the protection of intellectual property. The reasons behind this kind of arrangement of the regulatory and doctrinal framework can be attributed to the peculiar evolution of European data law, where the aftermath of the Second World War boosted an approach designed to protect individuals facing the increasing use of automated personal data processing tools by public authorities. However, the radical changes that affected the information and communication technologies domain in the last decade call for a renewal of the approach to the study of the matter. The current data analysis capabilities of the machines brought to light two aspects of paramount importance. Firstly, the fundamental distinction drawn by European data law is not as clear as assumed: the qualification of an information as personal or not is deeply dependent on the point of view of the observer and on the relevant surrounding elements taken into consideration. Secondly, the use of modern tools proved to provoke significant repercussions on society and people not only when solely and exclusively personal information are involved. With the spread of Big Data, any type of information, even non-personal, acquired new value, as it is employed to shape and modify the world we live in. Therefore, if it is agreeable to deal with the riskier issues for the natural person in the first place, it is about time to address the other dimensions of data law. These considerations led to the questions that guided this thesis, which aims to analyse the European data law from a perspective able to include other constitutional interests, dropping the idea that personal data is the only factor to be safeguarded in order to protect European fundamental values. Notably, the research tries to evaluate whether the current European legal framework meets the needs other than the protection of the individual, such as sovereignty and competition, identified by the European institutions themselves as goals to pursue by means of appropriate regulatory interventions. In other words, it is a matter of understanding whether the binary system set up by the European legislator is consistent or, on the contrary, at odds with the purposes that the legislator himself would like to achieve. In light of these premises, the thesis begins with an analysis of the evolution of the regulatory framework intended to illustrate the drivers that led to a “two-speed” system where the primacy of the fundamental right to the protection of personal data relegates non-personal data to a minor position. This regulatory setting emerges clearly thanks to the comparison between Regulation (EU) 2016/679 and Regulation (EU) 2018/1807, especially with regard to the different way of enforcing the principle of free flow of data by these two acts. Therefore, starting from a de iure condito research focused mainly on the difficulties related to the legal qualification of the nature of the data stemming from the definitions provided by the regulations, the thesis concludes with the assessment of the most recent proposals on the matter in order to understand how European data law will move forward in the next future.

Il termine datafication (o datificazione) descrive il processo di trasformazione delle interazioni sociali in dati digitali quantificabili al fine rendere possibile la loro classificazione e la loro analisi. In tal senso, la datificazione costituisce l’evoluzione della digitalizzazione nella misura in cui permette una analisi più avanzata in quanto capace di individuare modelli ricorrenti e corrispondenze nascoste anche nell’ambito di grandi insiemi di dati. A tale fenomeno è, fondamentalmente, imputabile la crescita esponenziale, non solo nella quantità, ma soprattutto nella rilevanza che ha contraddistinto i dati, divenuti oramai una risorsa digitale essenziale per la conduzione di qualsiasi attività pubblica o privata. Un cambiamento di simile portata ha inevitabilmente alterato gli equilibri economici e geopolitici preesistenti, facendo confluire maggiore potere nelle mani di quegli attori, pubblici o privati, che per primi erano riusciti ad assicurarsi l’accesso a questo nuovo e prezioso asset. L’inerzia iniziale in tema di sviluppo delle tecnologie digitali è costata cara all’Unione europea: potenze come Stati Uniti d’America e Repubblica Popolare Cinese si trovano ora in una posizione di manifesta superiorità tecnica, nei confronti della quale il vecchio continente difficilmente sarà in grado di recuperare nel breve periodo. Pertanto, l’Unione ha deciso di intervenire, in primis, a livello normativo al fine di arrestare il processo di graduale erosione della propria sovranità causato dal mancato sfruttamento dei dati. In ragione della carenza di infrastrutture e competenze negli Stati membri, il ricorso ad atti di diritto derivato è stato identificato quale via maestra da perseguire, in quanto soluzione capace di tamponare la fuoriuscita di dati preziosi dal perimetro virtuale europeo in maniera tanto immediata quanto, in linea teorica, efficace. L’intensificazione della produzione di provvedimenti, di stampo normativo o istituzionale, specificamente dedicati alla tutela e al corretto sfruttamento dei dati sembra indicare che, in seno agli ordinamenti europeo e degli Stati membri dell’Unione, il diritto dei dati, o data law, si stia affermando quale branca speciale del diritto, rispondente a principi e regole propri e, in parte, autonomi. Il quadro normativo attualmente vigente in Europa si basa sulla fondamentale distinzione tra dati personali, in quanto riguardanti una persona fisica identificata o identificabile, e quelli non personali che, per converso, includono tutte le informazioni non rientranti nella prima categoria. A questa distinzione di fondo fanno riferimento i due principali regolamenti in materia: da un lato, il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e, dall’altro, il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali. La disamina del sistema normativo europeo proposta nell’ambito del presente lavoro mostra un forte squilibrio tra questi due poli: il baricentro della disciplina è pesantemente spostato verso la normazione dei dati a carattere personale in ragione della qualifica di diritto di rango fondamentale che la protezione di queste informazioni ha assunto nell’ordinamento europeo. Conseguentemente, anche la dottrina pubblicistica continentale ha preso la medesima piega, incentrando i propri studi sull’esigenza di protezione dell’individuo dalle conseguenze negative che possono derivare dall’utilizzo (anche lecito) delle informazioni che lo riguardano. Sull’altro versante, invece, i dati non personali sono stati prevalentemente oggetto di approfondimento da parte di esperti afferenti ai settori commerciale, economico e privatistico, con particolare riferimento all’ambito della tutela della proprietà intellettuale. Le ragioni alla base del consolidamento di tale quadro regolamentare e dottrinale sono riconducibili alla peculiare evoluzione del diritto dei dati in territorio europeo, dove gli strascichi del secondo conflitto mondiale hanno favorito lo sviluppo di un’impostazione, prima giurisprudenziale, poi normativa, intenta a non sacrificare gli interessi individuali di fronte al crescente utilizzo degli strumenti di trattamento automatizzato dei dati personali da parte delle autorità pubbliche. Tuttavia, i cambiamenti radicali che nell’ultimo decennio hanno interessato il settore delle tecnologie dell'informazione e della comunicazione sollecitano un mutamento nell’approccio allo studio della materia. Le attuali capacità di analisi dei dati delle macchine hanno portato alla luce due aspetti di preminente rilevanza. In primo luogo, la distinzione su cui è stato edificato il diritto europeo dei dati è molto meno chiara di quanto la legge lasci presuppore: la qualificazione di una informazione come personale o meno è pesantemente influenzata dal punto di osservazione che assume l’interprete e dagli elementi pertinenti che egli prende in considerazione in sede di valutazione. In secondo luogo, l’utilizzo degli strumenti moderni ha oramai dimostrato che ripercussioni significative sulla società e sulle persone che vi appartengono non derivano più solo ed esclusivamente dal trattamento di informazioni a carattere personale. Con la diffusione dei Big Data, l’impiego di qualsiasi tipo di informazione, anche non personale, assume un valore nuovo, poiché contribuisce a produrre risultanze sulla base delle quali il mondo in cui viviamo viene plasmato e modificato. Pertanto, sebbene sia comprensibile e assolutamente condivisibile la scelta di orientare le prime regole e studi sui profili che comportano rischi più immediati per la persona fisica, sembra ora arrivato il momento di dedicare alcune riflessioni anche ad altre dimensioni inerenti al diritto dei dati. Da tali considerazioni, essenzialmente, sono nate le domande che hanno guidato la redazione dell’elaborato, il quale si propone di osservare il sistema europeo di regolazione del trattamento delle informazioni adottando una prospettiva tesa ad includere altri interessi di rilievo costituzionale, prescindendo dalla considerazione del dato personale come unico fattore da presidiare per realizzare un ordinamento che protegga efficacemente i valori fondamentali europei. In particolare, la ricerca è stata sviluppata con l’obiettivo di valutare se il quadro regolamentare europeo di data law attualmente in vigore sia idoneo a soddisfare anche esigenze diverse dalla tutela dell’individuo, fra le quali spiccano quelle – tra loro connesse – di sovranità e di competitività industriale, individuate dalle stesse istituzioni continentali come fini da perseguire per mezzo di opportuni interventi normativi. In altri termini, si tratta di comprendere se il sistema binario impostato dal legislatore europeo sia in armonia o, al contrario, entri in collisione, con le finalità che il legislatore medesimo vorrebbe raggiungere. Alla luce di tali premesse, la tesi esordisce con l’analisi dell’evoluzione del quadro normativo continentale condotta allo scopo di illustrare i motivi che hanno portato alla creazione di un sistema “a due velocità”, dove la preminenza del diritto fondamentale alla protezione dei dati personali relega i dati non personali a una posizione secondaria. Siffatta impostazione normativa emerge con chiarezza dal confronto fra il Regolamento (UE) 2016/679 e il Regolamento (UE) 2018/1807, specialmente in riferimento alle differenti modalità di declinazione del principio di libera circolazione dei dati presenti in tali provvedimenti. Pertanto, muovendo da una disamina de iure condito focalizzata, principalmente, sulle difficoltà di qualificazione giuridica della natura dei dati derivanti dalle soluzioni definitorie adottate dal legislatore, il lavoro si conclude con l’esame delle proposte più recenti in materia al fine di comprendere la direzione verso cui sta virando il diritto europeo dei dati.

La disciplina europea dei dati: dalla protezione alla governance

TORREGIANI, STEFANO
2022

Abstract

The term datafication describes the process of transforming social interactions into quantifiable digital data in order to make their classification and analysis possible. In this sense, the datafication constitutes the evolution of digitization to the extent that it allows a more advanced analysis as it can identify recurring patterns and hidden correspondences even within large datasets. It is due to this phenomenon that data has grown exponentially, not only in quantity, but especially in relevance, thus becoming an essential digital resource for any kind of public or private activity. This paradigm shift heavily affected the prior economic and geopolitical balances, allocating a massive share of power to those actors, public or private, able to secure access to this precious asset in the first place. The European Union paid dearly its initial inactivity as to research and development of digital technologies: powerful countries like the United States of America and the People's Republic of China are now in a position of technical supremacy, while Europe’s upswing in the near future seems rather far-fetched. Therefore, the Union decided to intervene, first and foremost, at the regulatory level aiming to stop the process of progressive erosion of its sovereignty caused by its inability to exploit data. Due to the lack of infrastructures and expertise in the Member States, the resort to acts of, especially, secondary law has been identified as the main way to move forward, because deemed as a solution capable of stopping the leakage of precious data from the European virtual boundaries in a way that is as immediate as, theoretically, effective. The growth in the enactment of normative and institutional acts specifically dedicated to the protection and the processing of data may suggest the inception of the data law as a special branch within the European and the Member States legal systems, responding to its own and, partially, autonomous principles and rules. The regulatory framework currently in force at EU level is based on the fundamental distinction between personal data, namely information related to an identified or identifiable natural person, and non-personal data which, conversely, include all information falling outside the first category. The two main regulations on the matter highlight this basic difference: on the one hand, the Regulation (EU) 2016/679 concerning the protection of individuals with regard to the processing of personal data and, on the other hand, the Regulation (EU) 2018/1807 on a framework for the free flow of non-personal data in the European Union. The review of the European regulatory framework described in this work shows a strong imbalance between these two poles: the focal point of the system is heavily prone towards personal data because of the recognition of the protection of this information as a fundamental right within European Union law. Consequently, the European constitutional doctrine has taken the same turn, focusing its research on the need to protect the individual from the negative consequences that may descend from the (even lawful) processing of information concerning natural persons. On the other side, however, non-personal data has been mainly analysed by researchers from commercial, economic and private domains, with particular regard to the protection of intellectual property. The reasons behind this kind of arrangement of the regulatory and doctrinal framework can be attributed to the peculiar evolution of European data law, where the aftermath of the Second World War boosted an approach designed to protect individuals facing the increasing use of automated personal data processing tools by public authorities. However, the radical changes that affected the information and communication technologies domain in the last decade call for a renewal of the approach to the study of the matter. The current data analysis capabilities of the machines brought to light two aspects of paramount importance. Firstly, the fundamental distinction drawn by European data law is not as clear as assumed: the qualification of an information as personal or not is deeply dependent on the point of view of the observer and on the relevant surrounding elements taken into consideration. Secondly, the use of modern tools proved to provoke significant repercussions on society and people not only when solely and exclusively personal information are involved. With the spread of Big Data, any type of information, even non-personal, acquired new value, as it is employed to shape and modify the world we live in. Therefore, if it is agreeable to deal with the riskier issues for the natural person in the first place, it is about time to address the other dimensions of data law. These considerations led to the questions that guided this thesis, which aims to analyse the European data law from a perspective able to include other constitutional interests, dropping the idea that personal data is the only factor to be safeguarded in order to protect European fundamental values. Notably, the research tries to evaluate whether the current European legal framework meets the needs other than the protection of the individual, such as sovereignty and competition, identified by the European institutions themselves as goals to pursue by means of appropriate regulatory interventions. In other words, it is a matter of understanding whether the binary system set up by the European legislator is consistent or, on the contrary, at odds with the purposes that the legislator himself would like to achieve. In light of these premises, the thesis begins with an analysis of the evolution of the regulatory framework intended to illustrate the drivers that led to a “two-speed” system where the primacy of the fundamental right to the protection of personal data relegates non-personal data to a minor position. This regulatory setting emerges clearly thanks to the comparison between Regulation (EU) 2016/679 and Regulation (EU) 2018/1807, especially with regard to the different way of enforcing the principle of free flow of data by these two acts. Therefore, starting from a de iure condito research focused mainly on the difficulties related to the legal qualification of the nature of the data stemming from the definitions provided by the regulations, the thesis concludes with the assessment of the most recent proposals on the matter in order to understand how European data law will move forward in the next future.
SCIENZE GIURIDICHE
2022
Italiano
Il termine datafication (o datificazione) descrive il processo di trasformazione delle interazioni sociali in dati digitali quantificabili al fine rendere possibile la loro classificazione e la loro analisi. In tal senso, la datificazione costituisce l’evoluzione della digitalizzazione nella misura in cui permette una analisi più avanzata in quanto capace di individuare modelli ricorrenti e corrispondenze nascoste anche nell’ambito di grandi insiemi di dati. A tale fenomeno è, fondamentalmente, imputabile la crescita esponenziale, non solo nella quantità, ma soprattutto nella rilevanza che ha contraddistinto i dati, divenuti oramai una risorsa digitale essenziale per la conduzione di qualsiasi attività pubblica o privata. Un cambiamento di simile portata ha inevitabilmente alterato gli equilibri economici e geopolitici preesistenti, facendo confluire maggiore potere nelle mani di quegli attori, pubblici o privati, che per primi erano riusciti ad assicurarsi l’accesso a questo nuovo e prezioso asset. L’inerzia iniziale in tema di sviluppo delle tecnologie digitali è costata cara all’Unione europea: potenze come Stati Uniti d’America e Repubblica Popolare Cinese si trovano ora in una posizione di manifesta superiorità tecnica, nei confronti della quale il vecchio continente difficilmente sarà in grado di recuperare nel breve periodo. Pertanto, l’Unione ha deciso di intervenire, in primis, a livello normativo al fine di arrestare il processo di graduale erosione della propria sovranità causato dal mancato sfruttamento dei dati. In ragione della carenza di infrastrutture e competenze negli Stati membri, il ricorso ad atti di diritto derivato è stato identificato quale via maestra da perseguire, in quanto soluzione capace di tamponare la fuoriuscita di dati preziosi dal perimetro virtuale europeo in maniera tanto immediata quanto, in linea teorica, efficace. L’intensificazione della produzione di provvedimenti, di stampo normativo o istituzionale, specificamente dedicati alla tutela e al corretto sfruttamento dei dati sembra indicare che, in seno agli ordinamenti europeo e degli Stati membri dell’Unione, il diritto dei dati, o data law, si stia affermando quale branca speciale del diritto, rispondente a principi e regole propri e, in parte, autonomi. Il quadro normativo attualmente vigente in Europa si basa sulla fondamentale distinzione tra dati personali, in quanto riguardanti una persona fisica identificata o identificabile, e quelli non personali che, per converso, includono tutte le informazioni non rientranti nella prima categoria. A questa distinzione di fondo fanno riferimento i due principali regolamenti in materia: da un lato, il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e, dall’altro, il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali. La disamina del sistema normativo europeo proposta nell’ambito del presente lavoro mostra un forte squilibrio tra questi due poli: il baricentro della disciplina è pesantemente spostato verso la normazione dei dati a carattere personale in ragione della qualifica di diritto di rango fondamentale che la protezione di queste informazioni ha assunto nell’ordinamento europeo. Conseguentemente, anche la dottrina pubblicistica continentale ha preso la medesima piega, incentrando i propri studi sull’esigenza di protezione dell’individuo dalle conseguenze negative che possono derivare dall’utilizzo (anche lecito) delle informazioni che lo riguardano. Sull’altro versante, invece, i dati non personali sono stati prevalentemente oggetto di approfondimento da parte di esperti afferenti ai settori commerciale, economico e privatistico, con particolare riferimento all’ambito della tutela della proprietà intellettuale. Le ragioni alla base del consolidamento di tale quadro regolamentare e dottrinale sono riconducibili alla peculiare evoluzione del diritto dei dati in territorio europeo, dove gli strascichi del secondo conflitto mondiale hanno favorito lo sviluppo di un’impostazione, prima giurisprudenziale, poi normativa, intenta a non sacrificare gli interessi individuali di fronte al crescente utilizzo degli strumenti di trattamento automatizzato dei dati personali da parte delle autorità pubbliche. Tuttavia, i cambiamenti radicali che nell’ultimo decennio hanno interessato il settore delle tecnologie dell'informazione e della comunicazione sollecitano un mutamento nell’approccio allo studio della materia. Le attuali capacità di analisi dei dati delle macchine hanno portato alla luce due aspetti di preminente rilevanza. In primo luogo, la distinzione su cui è stato edificato il diritto europeo dei dati è molto meno chiara di quanto la legge lasci presuppore: la qualificazione di una informazione come personale o meno è pesantemente influenzata dal punto di osservazione che assume l’interprete e dagli elementi pertinenti che egli prende in considerazione in sede di valutazione. In secondo luogo, l’utilizzo degli strumenti moderni ha oramai dimostrato che ripercussioni significative sulla società e sulle persone che vi appartengono non derivano più solo ed esclusivamente dal trattamento di informazioni a carattere personale. Con la diffusione dei Big Data, l’impiego di qualsiasi tipo di informazione, anche non personale, assume un valore nuovo, poiché contribuisce a produrre risultanze sulla base delle quali il mondo in cui viviamo viene plasmato e modificato. Pertanto, sebbene sia comprensibile e assolutamente condivisibile la scelta di orientare le prime regole e studi sui profili che comportano rischi più immediati per la persona fisica, sembra ora arrivato il momento di dedicare alcune riflessioni anche ad altre dimensioni inerenti al diritto dei dati. Da tali considerazioni, essenzialmente, sono nate le domande che hanno guidato la redazione dell’elaborato, il quale si propone di osservare il sistema europeo di regolazione del trattamento delle informazioni adottando una prospettiva tesa ad includere altri interessi di rilievo costituzionale, prescindendo dalla considerazione del dato personale come unico fattore da presidiare per realizzare un ordinamento che protegga efficacemente i valori fondamentali europei. In particolare, la ricerca è stata sviluppata con l’obiettivo di valutare se il quadro regolamentare europeo di data law attualmente in vigore sia idoneo a soddisfare anche esigenze diverse dalla tutela dell’individuo, fra le quali spiccano quelle – tra loro connesse – di sovranità e di competitività industriale, individuate dalle stesse istituzioni continentali come fini da perseguire per mezzo di opportuni interventi normativi. In altri termini, si tratta di comprendere se il sistema binario impostato dal legislatore europeo sia in armonia o, al contrario, entri in collisione, con le finalità che il legislatore medesimo vorrebbe raggiungere. Alla luce di tali premesse, la tesi esordisce con l’analisi dell’evoluzione del quadro normativo continentale condotta allo scopo di illustrare i motivi che hanno portato alla creazione di un sistema “a due velocità”, dove la preminenza del diritto fondamentale alla protezione dei dati personali relega i dati non personali a una posizione secondaria. Siffatta impostazione normativa emerge con chiarezza dal confronto fra il Regolamento (UE) 2016/679 e il Regolamento (UE) 2018/1807, specialmente in riferimento alle differenti modalità di declinazione del principio di libera circolazione dei dati presenti in tali provvedimenti. Pertanto, muovendo da una disamina de iure condito focalizzata, principalmente, sulle difficoltà di qualificazione giuridica della natura dei dati derivanti dalle soluzioni definitorie adottate dal legislatore, il lavoro si conclude con l’esame delle proposte più recenti in materia al fine di comprendere la direzione verso cui sta virando il diritto europeo dei dati.
CALZOLAIO, SIMONE
MECCARELLI, Massimo
Università degli Studi di Macerata
Università degli Studi di Macerata
File in questo prodotto:
File Dimensione Formato  
Torregiani_Tesi_dottorato.pdf

accesso aperto

Dimensione 1.7 MB
Formato Adobe PDF
Visualizza/Apri
1.7 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14242/194726
Il codice NBN di questa tesi è URN:NBN:IT:UNIMC-194726