intermediari dati

Italia pronta per i data broker: chi sono e il ruolo Agid



Indirizzo copiato

L’Italia si prepara a implementare l’elenco dei fornitori di servizi di intermediazione dei dati grazie al Data Governance Act. AgID è stata designata come autorità competente. Scopriamo quali player europei sono già operativi e le loro innovazioni

Pubblicato il 26 nov 2024

Diego Fulco

Partner netforLegaL, Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati



data broker (1)

Prossimamente, grazie alla recente designazione dell’Agenzia per l’Italia digitale («AgID») quale Autorità competente in materia, avremo anche in Italia un elenco di fornitori di servizi di intermediazione dei dati. Siamo di fronte a una novità nel mercato unico digitale, creata e disciplinata dal Regolamento (UE) 2022/868 relativo alla governance europea dei dati (Data Governance Act, o “DGA”), pienamente applicabile in tutta l’Unione Europea dal 24 settembre 2023.

Poiché, come vedremo, il nostro Paese ha solo recentemente recuperato il suo ritardo nell’attuazione del DGA, per farci un’idea dei profili di questa nuova figura, passeremo in rassegna i player che possono già svolgere quest’attività, che sono stabiliti in Stati membri dell’UE più celeri dell’Italia nell’attuare il DGA e che sono abilitati – avendo già fatto la necessaria notifica – a fornire servizi di intermediazione dei dati in tutta l’Unione Europea, dunque anche in Italia.

Servizio di intermediazione dei dati: la definizione del DGA

Al netto di alcune eccezioni su cui torneremo sotto, l’art. 2 del DGA definisce il «servizio di intermediazione dei dati» come quel servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di «interessati» (definiti dal GDPR come gli individui identificabili con dati) e di «titolari dei dati» (definiti dal DGA come enti oppure individui diversi dagli interessati che hanno il diritto di concedere l’accesso a determinati dati personali o non personali o di condividerli) – da un lato – e di «utenti dei dati» (definiti dal DGA come enti oppure individui che hanno diritto ad accedere a dati personali e non, e ad usarli per fini commerciali e non) – dall’altro lato – anche al fine dell’esercizio dei diritti degli interessati in relazione ai loro dati personali.

Il ruolo dei fornitori di servizi di intermediazione

Nella strategia europea, i fornitori di servizi di intermediazione dei dati dovrebbero svolgere un ruolo essenziale nella data economy, in particolare nel promuovere pratiche volontarie di condivisione dei dati tra imprese o nell’agevolare la condivisione dei dati nell’ambito degli obblighi stabiliti dal diritto europeo o nazionale. I requisiti ad essi applicabili sono definiti nel Capo III del DGA.

DGA: Italia in ritardo

Come molti altri Stati membri dell’Unione Europea, l’Italia non ha rispettato le scadenze sancite dal DGA per designare l’Autorità responsabile di attuare le norme sulla governance dei dati (tanto da subire, per questo, una procedura d’infrazione). Ciò ha rallentato l’avvio dell’operatività di player stabiliti in Italia che sarebbero pronti ad erogare servizi di intermediazione dei dati. Infatti – in base all’art. 11.4 del DGA – un intermediario stabilito nell’UE può avviare la sua attività solo dopo aver effettuato un’apposita notifica all’Autorità competente per i servizi di intermediazione dei dati nello Stato dove ha lo stabilimento principale (mentre un intermediario extra UE può farlo dopo aver effettuato analoga notifica all’Autorità dello Stato dell’UE dove è stabilito il rappresentante legale che sceglie di designare).

Agid al lavoro per rendere operativa la procedura di notifica

Con il Decreto legislativo 144/2024, pubblicato sulla Gazzetta Ufficiale del 10 ottobre 2024, l’Italia ha designato AgID quale Autorità competente allo svolgimento dei compiti relativi alla procedura di notifica e al controllo della conformità dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al Capo III del DGA. Mentre scriviamo questo articolo, AgID è al lavoro per rendere operativa la procedura di notifica.

Il registro pubblico dei fornitori di servizi di intermediazione dei dati

Secondo l’art. 11.10 del DGA, l’Autorità competente per i servizi di intermediazione dei dati comunica senza ritardo alla Commissione UE ogni nuova notifica. La Commissione UE tiene online e aggiorna regolarmente un registro pubblico dei fornitori di servizi di intermediazione dei dati che forniscono i loro servizi nell’UE.

Le organizzazioni di intermediazione dei dati già operative in Europa

Dalla consultazione di questo registro pubblico – che abbiamo effettuato per Agenda Digitale – emerge che alla fine di ottobre 2024 gli Stati dell’UE in cui, avendo potuto fare la notifica alla loro Autorità competente, sono già operative organizzazioni di intermediazione dei dati sono solo tre: la Finlandia (con due intermediari registrati), la Francia (con sette intermediari registrati) e l’Ungheria (con un intermediario registrato).

Smarter Contracts Ltd

Dei due fornitori di servizi di intermediazione dei dati registrati in Finlandia, uno è una società inglese che ha designato un rappresentante legale in Finlandia: Smarter Contracts Ltd. Questa ha creato una piattaforma denominata Pulse® che raccoglie, archivia e gestisce – a beneficio delle aziende che scelgono di avvalersene – tutti i consensi, le revoche del consenso e le opposizioni al trattamento (le cd. “cancellazioni”) espressi da determinati interessati in vari contesti (accesso a servizi dell’azienda, in spazi social, ecc.). Tramite apposite dashboard, Pulse® permette alle aziende che vi si abbonano di saperne di più sugli interessati, sui canali che usano e anche di relazionarsi meglio con essi, conoscendo le loro scelte circa gli usi dei loro dati personali.

Dataspace Europe Oy

L’altro fornitore registrato in Finlandia è una società finlandese: Dataspace Europe Oy, che si è mossa nello spirito del Regolamento (UE) 2854/2023 (“Data Act”): stimolare la condivisione fra player economici (specialmente PMI) di dati (dati relativi alla produzione agricola, dati di macchinari industriali, dati metereologici, ma anche eventualmente dati personali, ecc.) volta a permettere a tali player di effettuare analisi utili, di migliorare ed adeguare i propri processi produttivi, logistici, ecc. L’ecosistema messo a punto da Dataspace Europe si chiama Tritom® ed è una piattaforma integrabile con altri sistemi, progettata in modo da agevolare una consultazione mirata e flussi sicuri di dati.

Hub One Datatrust

Fra gli intermediari registrati in Francia, interessante – nella logica di una condivisione di dati anche non personali fra soggetti che possono ricavarne valore – l’attività di Hub One Datatrust. Questa ha creato e mette a disposizione dei player del settore aeroportuale (compagnie aeree, società che gestiscono parcheggi in aeroporto, società di trasporto, esercizi commerciali, fornitori di manutenzione, fornitori di servizi di assistenza, ecc.) l’omonima piattaforma che permette scambi di dati, offrendo qualità, sicurezza, conformità alle norme e rispetto dei vari livelli autorizzativi (compreso il consenso degli interessati, ove applicabile). L’azienda che usa questo servizio accede ai dati degli altri operatori del settore aeroportuale (a seconda dei casi con soluzioni open data o mediante licenze commerciali) e può usarli per innovare e per migliorarsi.

THEMIS-X

Anche THEMIS-X ha puntato alla condivisione di dati fra player affini o complementari. Ad esempio, ha creato “MyTravelConnect” per EONA-X, uno spazio dati europeo sulla mobilità e il turismo che riunisce operatori come Air France, SNCF, Aéroports de Paris, Renault e Accor Hotels. MyTravelConnect invita i viaggiatori a condividere i propri dati personali tra i vari servizi di viaggio digitali, tramite uno specifico consenso.

AGDATAHUB

Nel medesimo solco, si muove la francese AGDATAHUB, che punta alla messa a disposizione di dati non personali del settore agricolo per una clientela molto variegata composta da enti pubblici, industrie del settore food, cooperative, start-up AgriTech, enti camerali, ecc. Chi si registra alla piattaforma accede ad un catalogo che gli permette di filtrare i dati disponibili per tipologie di dati, tipologie di licenza, settori, aree geografiche. Caso d’uso: un produttore di mangimi che vuole ottimizzare la propria catena di approvvigionamento può – tramite la piattaforma – accedere rapidamente a dati sulle caratteristiche e sulle esigenze nutrizionali dei bovini che altrimenti sarebbe costretto a reperire consultando diverse fonti e con dispendio di tempo.

Real data 4 Real Estate

Infine, Real data 4 Real Estate (anch’essa francese) permette, tramite la sua piattaforma, di accedere a dati utili per il settore immobiliare, come dati ambientali (es: potenziale fotovoltaico del suolo, rischi geologici), volumi di traffico ricavati da veicoli connessi, prezzi degli immobili, dati cartografici, flussi migratori, ecc.

VISIONS

Altro filone importante, ben rappresentato in Francia, è quello dei fornitori di servizi di intermediazione fra interessati e titolari del trattamento ai sensi del GDPR. Obiettivo dell’intermediario è agevolare l’interessato a valorizzare i suoi dati personali, le aziende a profilare gli interessati in modo trasparente. Ad esempio, VISIONS è una start-up attiva dal 2017 nel campo della portabilità dei dati che consente di interconnettere e condividere dati per lo più personali tra organizzazioni. Ad esempio, permette a soggetti come HR Tech, enti di formazione, Università, datori di lavoro, strutture di orientamento (che hanno bisogno di avere dati sempre aggiornati sulle competenze professionali) di accedervi in tempo reale, con il consenso degli interessati.

MiTrust

Viceversa, MiTrust si concentra su sei settori: bancario e credito, assicurazioni, immobiliare, giochi e scommesse online, affidabilità dei fornitori e risorse umane. La piattaforma permette alle aziende che scelgono di avvalersene, di filtrare dati personali o professionali raccolti presso enti soggetti a regole specifiche (banche, gestori di telefonia, ecc.) e di condividerli con terzi, sulla base di uno specifico consenso degli interessati.

Noto

Infine, Noto ha messo a punto un servizio che permette all’interessato, ad esempio, di: a) fare sapere ad aziende dei cui marchi è follower quando acquista i loro prodotti anche al di fuori dei circuiti distributivi da essi direttamente controllati, con l’obiettivo di essere ricompensato per la sua fedeltà; b) controllare l’accumulo punti delle sue carte di fedeltà ed essere avvisato per tempo del termine ultimo per accumulare punti; c) permettere ad aziende dei cui marchi è follower di offrirgli prodotti di suo interesse.

NIDHAS

Ancora nell’ottica della valorizzazione economica dei dati personali NIDHAS, unica società registrata in Ungheria. Il suo servizio che mira a instaurare rapporti commerciali tra interessati, titolari del trattamento e terzi. Obiettivo: creare un mercato dei dati personali, dove l’offerta (interessati che intendono monetizzare i propri dati personali, aziende che intendono fare commercio di dati personali) possa incontrare la domanda (aziende interessate a raggiungere nuovi target).

Intermediazione dati: tre aspetti da considerare

In attesa di conoscere i nuovi fornitori di servizi di intermediazione dati che effettueranno notifica ad AgID, affrontiamo tre aspetti che è utile tenere presenti: i) quali servizi non possono essere qualificati come di intermediazione dati; ii) qual è il contenuto della notifica; iii) quali sono le condizioni per fornire questi servizi.

Quali servizi non possono essere qualificati come di intermediazione dati

Non rientrano nel perimetro dei servizi di intermediazione dati e dunque non possono costituire oggetto di notifica né dell’attività disciplinata dal Capo III del DGA:

  • i servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l’utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;
  • i servizi il cui obiettivo principale è l’intermediazione di contenuti protetti da diritto d’autore;
  • i servizi utilizzati esclusivamente da un titolare dei dati per consentire l’utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all’interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di prodotti connessi;
  • servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali.

Quali servizi possono essere oggetto di notifica

Possono essere oggetto di notifica servizi appartenenti alle seguenti tre categorie:

  • servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali o individui che intendono mettere a disposizione dati non personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per renderli possibili (come i citati servizi di Smarter Contracts Ltd, di VISIONS, di MiTrust e di NIDHAS e parte dei servizi resi da di THEMIS-X e da MiTrust;
  • i servizi (come parte di quelli forniti da Dataspace Europe Oy) di cooperative di dati offerti da una struttura costituita da interessati, imprese individuali o da PMI che ne sono membri, volta ad aiutare i propri membri nell’esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l’autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali.

Il contenuto della notifica

Secondo l’art. 11.6 del DGA, la notifica deve avere il seguente contenuto:

  • il nome del fornitore di servizi di intermediazione dei dati;
  • lo status giuridico, la forma giuridica, l’assetto proprietario, le pertinenti società controllate e, ove applicabile, il numero di registrazione del fornitore di servizi di intermediazione dei dati;
  • l’indirizzo dell’eventuale stabilimento principale nell’Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o l’indirizzo del rappresentante legale;
  • un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sul fornitore di servizi di intermediazione dei dati e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), c) e f); e) le persone di contatto e i recapiti del fornitore di servizi di intermediazione dei dati;
  • una descrizione del servizio di intermediazione dei dati che si intende fornire e un’indicazione di quali fra le tre categorie di intermediazione esso permette;
  • la data prevista di inizio dell’attività, se diversa dalla data della notifica.

Le condizioni per la fornitura dei servizi

Quanto alle numerose condizioni poste dall’art. 12 del DGA per la fornitura di questi servizi, in questa sede ci limitiamo a indicare in estrema sintesi le più significative:

  • il fornitore non deve usare i dati per cui fornisce servizi di intermediazione per scopi diversi dalla messa a disposizione degli stessi agli utenti dei dati;
  • il titolare dei dati e l’utente dei dati non devono mai essere vincolati dal fornitore di servizi di intermediazione dei dati – per poter accedere al servizio – ad avvalersi di altri servizi forniti dal medesimo fornitore;
  • i servizi di intermediazione dei dati possono comprendere l’offerta di strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come l’anonimizzazione;
  • il fornitore di servizi di intermediazione dei dati che offre servizi agli interessati agisce nell’interesse superiore di questi ultimi nel facilitare l’esercizio dei loro diritti ai sensi del GDPR;
  • il fornitore di servizi di intermediazione dei dati deve garantire equità nella determinazione dei prezzi per l’offerta del servizio.

I player che entreranno in questo nuovo mercato avranno bisogno di confrontarsi fra loro, di fare tesoro di esperienze altrui, di affrontare insieme i nodi applicativi della disciplina. Dall’Istituto Italiano per la privacy e la valorizzazione dei dati è partita un’iniziativa che mira a facilitare momenti di approfondimento condiviso: la Data Intermediaries Alliance, che ha già prodotto un primo paper sulla sintetizzazione dei dati come risorsa per ricerca scientifica, innovazione e politiche pubbliche nel panorama giuridico europeo.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4