Dati personali, mercato unico europeo e società di capitali: quadro normativo e criticità

Il presente lavoro si pone l’obiettivo di indagare un tema tanto attuale quanto rilevante nel panorama contemporaneo del diritto, ovvero quello del rapporto fra i dati personali e le società di capitali, con particolare attenzione all’impatto degli stessi sul mercato unico europeo. La crescita continua del valore dei dati personali e i sensibili vantaggi tratti dalle imprese che ne usufruiscono, hanno condotto ad un evidente innalzamento del valore dei dati e della loro importanza all’interno delle realtà di impresa. Primo obiettivo di questa tesi sarà quindi proprio quello di chiarire, muovendo dal Regolamento UE 2016/679, noto anche come GDPR e analizzando la dottrina e la giurisprudenza, lo stato dell’arte. Così facendo sarà possibile osservare e commentare le ricadute della disciplina sulle società di capitali e sul mercato unico europeo. Definito il quadro generale sarà possibile analizzarne l’impatto sulle società di capitali. L’ingresso dei dati nella realtà imprenditoriale ha comportato la nascita di nuovi soggetti e di nuove figure e il dover raccogliere ed elaborare i dati ha inoltre sollevato numerose problematiche. Un primo tema critico è rappresentato dall’assenza di una normativa ad hoc per la protezione brevettuale dei sistemi informatici algoritmici utilizzati per la raccolta e l’elaborazione dei dati. Ci si deve allora interrogare sulla possibilità di tutelarli in quanto know-how, ma il terreno nel quale ci si muove non è molto arato, mancando saldi precedenti e trattandosi di materia in costante mutamento. Un secondo tema sul quale interrogarsi è quello della compliance aziendale e dei nuovi strumenti previsti per aiutare le singole società in questo onere. Il GDPR ha infatti previsto l’obbligo di tenere in considerazione fin dalla progettazione dei sistemi la sicurezza dei dati e richiede alle imprese di garantire su base continuativa l’adeguamento agli standard minimi richiesti. Sarà infine necessario focalizzarsi sull’utilizzo di tali dati, avendo particolare riguardo al trasferimento dei dati verso Paesi terzi e alle possibili condotte abusive da parte delle società. L’Unione Europea intende infatti utilizzare il GDPR per cominciare un percorso di rafforzamento della data economy e del data market all’interno del mercato unico europeo. L’obiettivo è quello di scoraggiare lo spostamento all’estero dei dati e di imporre agli attori esteri le medesime tutele richieste a quelli europei quando si operi su suolo unionale. Ciò impone di regolare il mercato e tutelare gli interessati. La particolare onerosità imposta da questo mercato, comporta la difficoltà o l’impossibilità per piccole e medie imprese di entrarvi. Occorre chiedersi se ciò sia inoltre avvallato da comportamenti abusivi di posizione dominante, da pratiche escludenti e, soprattutto, da pratiche collusive. Sarà quindi opportuno illustrare come le autorità antitrust nazionali ed estere hanno reagito negli anni a tali fenomeni e quali siano le proposte attualmente in corso nelle sedi legislative. Ci si deve chiedere, insomma, se sia possibile rinvenire un mercato dei dati e se sia possibile operare su di esso con le regole previste per i mercati tradizionali o se si debbano prevedere regole ad hoc. In conclusione, il lavoro che segue avrà quindi l’obiettivo di identificare ed esplicitare i concetti base della materia e di presentare un quadro generale che fornisca una visione chiara e il più completa possibile di alcune delle molte criticità della materia.