Localizzazione del database di dati per finalità di accertamento e repressione dei reati (Regolamento UE 2018/1807)

Il REGOLAMENTO (UE) 2018/1807 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea, prevede ai seguenti “considerando”:

• n. 18 “Al fine di dare concreta attuazione al principio della libera circolazione transfrontaliera dei dati non personali, assicurare la rapida rimozione degli obblighi di localizzazione dei dati esistenti e consentire, per motivi operativi, il trattamento di dati in più località distribuite nel territorio dell’Unione, e atteso che il presente regolamento prevede misure per garantire la disponibilità dei dati ai fini del controllo di regolamentazione, è opportuno che gli Stati membri possano invocare unicamente la sicurezza pubblica come giustificazione per gli obblighi di localizzazione dei dati.”.
• n. 19 “La nozione di «pubblica sicurezza» ai sensi dell’articolo 52 TFUE, nell’interpretazione datane dalla Corte di giustizia, riguarda la sicurezza sia interna che esterna di uno Stato membro, come pure le questioni di incolumità pubblica, in particolare al fine di agevolare le indagini, l’accertamento e il perseguimento di reati.”

All’articolo 4 comma 1 prevede inoltre che “Gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità.”

Da ciò quindi deriva che tutti i database che gli operatori di telecomunicazioni nazionali detengono per effetto della normativa vigente inerente il trattamento dei dati per finalità di accertamento e repressione dei reati (Articolo 132 Codice della privacy, D.lgs. 30 giugno 2003, n. 196, Aggiornato al 30/10/2020, “Conservazione di dati di traffico per altre finalità”) devono essere localizzati sul territorio italiano.

Inoltre secondo quanto previsto dal “considerando” n. 17, il Regolamento “dovrebbe intendere i trattamenti di dati nell’accezione più ampia possibile, indipendentemente dal tipo di sistema della tecnologia dell’informazione utilizzato e sia che tali operazioni siano effettuate nei locali dell’utente o siano esternalizzate ad un fornitore di servizi. Esso dovrebbe contemplare il trattamento di dati a diversi livelli di intensità, dall’archiviazione (Infrastructure-as-a-Service – IaaS) al trattamento di dati su piattaforme (Platform-as-a-Service – PaaS) o in applicazioni (Software-as-a-Service – SaaS)”.