È di tutta evidenza come l’afflato legislativo dell’UE sul digitale prenda atto del grande mutamento del mercato negli ultimi pochi anni: da un’economia che aveva nei dati la sua più preziosa fonte (data-driven economy) siamo passati, quasi senza rendercene conto, ad una data economy in senso proprio, ovvero un’economia in cui il dato è l’oggetto stesso della produzione, delle transazioni, degli investimenti.
La gestione dei dati ha riflessi in punto di diritti, tutele azionabili e corretta formazione del processo democratico.
Il tema è ampiamente dibattuto e ha, ovviamente, a che fare col ruolo centrale delle piattaforme digitali[1].
Il data act europeo preoccupa EDPB e EDPS: ecco i problemi privacy
Digitalizzazione dell’economia, effetti trasversali e frammentazione della cornice normativa
In termini di mercato, considerando le logiche economiche sottostanti i servizi Internet, più persone usano una piattaforma più cresce il valore della stessa, sino al raggiungimento di una situazione di sostanziale monopolio. In questo contesto, il concetto di ‘catena del valore’, coniato dall’economista Porter in un suo saggio del 1985[2], risulta sempre più attuale in funzione dei nuovi assetti, in cui l’offerta di servizi a prezzo zero si pone in cambio di ricavi e dati pubblicitari.
Analogamente alle tradizionali società di media, le piattaforme riuniscono gruppi distinti di acquirenti: gli utenti, attirati ai servizi offerti, e gli inserzionisti, interessati all’attenzione dei fruitori[3]. Agli spot televisivi si sostituiscono i servizi online progettati per catturare ogni sfumatura delle nostre reazioni in modo da utilizzarle e poi vendere tali dati ad altri. Emblematica la figura del broker che recupera informazioni online, le aggrega, le interpreta e le analizza per poi venderle sul mercato (anche se merita ricordare che la libera accessibilità e conoscibilità dei dati non significa che questi siano pure apertamente riutilizzabili da chiunque e, tanto meno, per qualsiasi scopo[4]).
Recenti scandali hanno evidenziato che sussistono seri rischi di utilizzo improprio dei dati personali dei cittadini per sofisticate attività di profilazione su larga scala e di invio massivo di comunicazioni, o ancora per indirizzare campagne personalizzate (il c.d. micro-targeting) volte a influenzare l’orientamento politico e/o la scelta di voto degli interessati, sulla base degli interessi personali, dei valori, delle abitudini e dello stile di vita dei singoli[5]. Si rende, pertanto, necessario proteggere il processo elettorale da interferenze e turbative esterne: il suindicato rischio risulta ancor più elevato in considerazione delle peculiari condizioni di servizio imposte unilateralmente agli utenti sia dalle piattaforme di comunicazione e social networking, sia nei dispositivi mobili utilizzati. Infatti, tali condizioni, in alcuni casi, prevedono la condivisione indifferenziata (e senza il necessario consenso specifico) di gran parte dei dati personali presenti negli smartphone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet), o l´accesso del fornitore alla lista dei contatti o alla rubrica presente sul dispositivo mobile e persino la possibile integrazione con molteplici altri servizi.
La Strategia europea in materia di dati
Nell’ineludibile consapevolezza di questo scenario, l’Unione Europa nel 2020 ha evidenziato il suo scopo di creare un unico apparato di regole applicabile in tutta Europa atte a disciplinare l’economia dei dati e, attraverso di essa, i rischi e gli abusi derivanti dalla posizione dominante delle piattaforme online attualmente presenti in Rete, rendendo la dimensione digitale uno spazio più aperto e sicuro, rispettoso dei valori fondanti la nostra Comunità. In tale ottica, si deve leggere la Strategia europea in materia di dati del febbraio 2020, mediante la quale la Commissione si è impegnata a esplorare la necessità di un’azione legislativa specifica avente a oggetto la creazione di “un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo – nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore”[6].
L’obiettivo della tutela della concorrenza e l’acquis della libera circolazione sono chiaramente ancora oggi la bussola dell’azione della Commissione la quale ci dota di un pacchetto di norme che disciplinano il fenomeno più ampio sotto diversi aspetti, anche se in parte interconnessi: quello delle reti e dei servizi, col Digital Services Act, quello delle piattaforme e della concorrenza, col Digital Market Act, quello della condivisione dei dati personali, e non, fra settore pubblico e privato, col Digital Governance Act, ed infine col Data Act (una sorta di summa, su cui infra), l’accessibilità al valore rappresentato da quei dati.
Serve, dunque, interrogarsi sul significato profondo di questa intensa stagione normativa, sull’impatto che essa avrà sui diritti e le libertà delle persone fisiche europee e residenti in Europa. Nella congerie contingente in cui tutto appare sdrucciolevole abbiamo bisogno di razionalizzazione, di semplificazione, di ottimo drafting, oltre a doverci ricordare in ogni momento quali sono i beni giuridici effettivamente tutelati, patrimonio intangibile e caratterizzante della nostra civiltà. Ecco perché, da giuristi, ci si deve chiedere se la scelta di non varare un unico corpus juris digitalis organico ed onnicomprensivo, ma tanti atti quante sono le prospettive ed i profili investiti dal fenomeno della digitalizzazione dell’economia, sia stata quella più coerente e, soprattutto, efficiente.
Uno stress test per il Gdpr
Si pongono già, infatti, questioni non banali di perimetrazione di ambiti e di interpretazione armonizzanti e non conflittuali non solo tra le normative in cantiere, ma anche tra queste ultime e quelle già esistenti. Il riferimento d’obbligo è alla disciplina della protezione dei dati personali. Certo, e dichiaratamente, Digital Service Act, Digital Market Act, Digital Governance Act e Data Act lasciano intatti ed impregiudicati i diritti e gli obblighi relativi ai trattamenti di dati personali ai sensi del GDPR. Il Legislatore ha precisato che tutta questa nuova normativa deve essere letta in parallelo al Regolamento europeo sulla protezione dei dati, ma in realtà essa fornisce regole molto più ampie che si applicano a tutti i “dati”[7].
Ciò significa che solo al momento della sua applicazione concreta emergerà con chiarezza – un vero e proprio “stress test” – quanto del GDPR riuscirà effettivamente a resistere. E ciò vale con la massima intensità per la spinta alla condivisione dei dati, fra i quali, inevitabilmente, anche quelli personali.
I dati e la loro condivisione: discipline settoriali e orizzontali
Quasi pleonastico ribadire che i dati (personali e non) sono una risorsa essenziale per l’innovazione, la crescita economica e il progresso sociale in vari campi: dalla salute all’agricoltura, dall’energia ai sistemi di trasporto intelligenti, dalla finanza alle smart cities. Non una mera commodity, ma il vero motore della crescita economica. Nel contesto di una “nuova” economia dei dati, anche il citato Regolamento UE n. 1807/2018, riguardante la libera circolazione dei dati non personali, riconosce l’importanza dei più recenti sviluppi della tecnologia dell’informazione e della comunicazione[8].
Il ruolo dei dati nell’economia e nella società è crescente in quanto possono essere raccolti a basso costo con l’implementazione di dispositivi connessi e possono essere analizzati in modo più vantaggioso con lo sviluppo di tecniche di intelligenza artificiale. Il valore e gli interessi suscitati dai dati risiedono nelle informazioni e nella conoscenza che possono esserne dedotte. Le scienze dell’informatica utilizzano il concetto di ‘piramide dei dati’ per spiegare la relazione tra dati, informazioni e conoscenza e tale piramide può essere applicata alla catena del valore dei dati come spiegato da Gal e Rubinfeld[9]. Tale catena comprende diversi livelli: (a) al primo stadio, dati personali grezzi e non personali sono raccolti direttamente o acquistati su un mercato di dati secondario; (b) al secondo stadio, i dati sono strutturati e trasformati in informazioni parlanti; (c) terzo, quei dati strutturati sono analizzati da algoritmi e le informazioni sono trasformate in conoscenza, come potrebbe essere una predizione; ed infine (d) l’analisi dei dati strutturati induce un’azione deliberata come, ad esempio il miglioramento dei prodotti o delle offerte.
Entrando più nel dettaglio, gli sforzi e gli investimenti del titolare dei dati aumentano e possono anche essere protetti dai diritti di proprietà intellettuale. Di conseguenza, aumenta l’interesse a tutelare la proprietà e gli incentivi agli investimenti, che rappresentano una parte dell’equilibrio quando si decide di imporre il diritto all’accesso. In pratica, una richiesta di accesso ai dati può avvenire a diversi livelli della catena del valore. Un richiedente accesso può domandarlo relativamente a dati grezzi e quindi eseguire altre operazioni a valle, ovvero strutturare, analizzare e utilizzare i dati. O può anche richiedere l’accesso alla struttura per poi eventualmente raccogliere e analizzare i dati. Il richiedente può anche esercitare l’accesso al set completo (ovvero i dati raccolti, strutturati e analizzati) per poi intraprendere la propria linea di azione.
Dati e big data
Dati e big data sono stati definiti in molti modi[10], ma quella proposta dall’OCSE[11] è una delle declinazioni più convincenti: i dati costituiscono un’infrastruttura o risorse infrastrutturali che soddisfano una serie di criteri: a) i dati sono un bene non rivale in quanto possono essere condivisi senza perdere il loro valore, quindi l’accesso ai dati è spesso equiparato alla condivisione dei dati; b) i dati sono un bene capitale in quanto vengono spesso utilizzati come input per lo sviluppo di altri prodotti. Questo è particolarmente vero per l’apprendimento automatico in cui i dati sono la materia prima per l’algoritmo; c) i dati sono un input a finalità generica che può essere utilizzato e riutilizzato per sviluppare prodotti diversi, ad esempio gli stessi dati comportamentali possono essere utilizzati per sviluppare un algoritmo di rilevamento delle frodi o un algoritmo di previsione dei gusti.
La raccolta, la strutturazione o l’analisi dei dati può essere soggetta a barriere di ingresso legali, tecnologiche, economiche. Per la raccolta dei dati, ostacoli giuridici possono essere rinvenuti nella legislazione (in particolare la disciplina sulla protezione dei dati che regola rigorosamente la raccolta dei dati personali), o nei contratti che possono contenere clausole di esclusività che vietano il trasferimento dei dati. Gli ostacoli possono anche essere tecnici, ad esempio quando i dati sono crittografati. Infine, le barriere possono essere economiche quando la raccolta dei dati è strutturata secondo economie di scala e di portata, o effetti di rete. Questo è il caso in pratica poiché molti dati vengono raccolti, in contesti di mercato con molteplici attori, a fronte di servizi “gratuiti” che mostrano, appunto, importanti effetti di rete. Ad esempio, è più semplice e meno costoso per un grande social network come Facebook raccogliere i dati perché in grado di attrarre utenti più facilmente visti gli effetti diretti della rete. Allo stesso modo, è meno costoso per un grande motore di ricerca come Google attrarre più query di ricerca perché possono coinvolgere utenti più facilmente dati gli effetti indiretti della rete. Per quanto riguarda la strutturazione dei dati, ostacoli giuridici possono essere riscontrati nella legislazione a tutela dei diritti di proprietà intellettuale (come banche dati o segreti commerciali) o nei contratti. Le barriere possono anche essere tecniche, ad esempio quando i dati strutturati non sono interoperabili. Infine, i limiti possono essere di carattere economico perché le strutture dei dati spesso presentano importanti effetti di rete in quanto consentono la comunicazione di dati tra diversi attori del mercato attivi a diversi livelli di valore della catena. Per quanto riguarda, infine, l’analisi dei dati, gli ostacoli possono essere giuridici, in particolare le norme sulla privacy che limitano il trattamento dei dati. Le barriere sono spesso economiche perché l’analisi dei Big Data mostra importanti economie di scala e di scopo. Il livello delle economie di scala (il volume dei dati) non è facile da determinare e dipende molto dal tipo di dati e dal tipo di analisi[12]. Economie di scopo (la varietà dei dati) possono essere anche più importanti delle economie di scala, ma sono ugualmente difficili da valutare[13].
Al fine di lasciar esprimere tutto il potenziale dei dati per l’economia, sono in fase di elaborazione meccanismi per creare una più ampia accessibilità e riutilizzo dei dati tra attori privati e pubblici in molte aree delle attività produttive e dei servizi. Si impiega la nozione di “condivisione dei dati” come termine generico in riferimento ai vari modi in cui i dati possono essere scambiati. Ciò include l’accesso (capacità di conoscere ed eventualmente utilizzare i dati, a seconda delle condizioni stabilite dal regime in questione), nonché la portabilità dei dati (capacità di ottenere la copia dei dati o di trasferirli). La direttiva sui dati aperti e l’informazione del settore pubblico[14] disciplina la condivisione dei dati tra Governi e imprese, ma altre dimensioni rilevanti della condivisione dei dati sono quelle relative alle seguenti relazioni: Business-to-Business, Business-to-Consumer e Business-to-Consumer-to-Business (dove, ad esempio, un consumatore richiede la portabilità dei dati che vengono poi condivisi con un altro fornitore).
Concorrenza, diritto dei consumatori e protezione dei dati
Il quadro normativo ottimale relativo alla condivisione dei dati dovrebbe massimizzare i vantaggi della condivisione dei dati riducendo al minimo i rischi connessi a siffatto trattamento.
Ciò si basa su una combinazione di numerosi strumenti giuridici, alcuni di natura settoriale (ad esempio negli ambiti finanziario, automobilistico, energetico o agricolo)[15], altri di carattere orizzontale (come la concorrenza, il diritto dei consumatori e la protezione dei dati). Le tre discipline contribuiscono all’integrazione del mercato interno e tutelano il benessere dei consumatori che, spesso – in quanto ‘persone fisiche’- sono anche ‘interessati’ ai sensi della normativa del GDPR. Sebbene vi sia una sovrapposizione di obiettivi, i mezzi con cui tali obiettivi vengono perseguiti differiscono: il diritto della concorrenza cerca di proteggere il benessere dei consumatori ma anche la libertà e l’operatività delle imprese, intervenendo contro i comportamenti anticoncorrenziali; il diritto dei consumatori mira ad assistere i consumatori in quanto parte più debole nelle transazioni di mercato; il diritto alla protezione dei dati personali fornisce agli interessati il controllo sui propri dati ed ha il suo fondamento nell’ineludibile necessità di tutela dei diritti fondamentali.
A causa del loro diverso ambito di protezione, le tre discipline possono completarsi a vicenda, come pure entrare in conflitto nel modo in cui regolano la condivisione dei dati. Per tale ragione risulta assolutamente rilevante che tali strumenti giuridici orizzontali e settoriali siano applicati in modo coerente. Ciò significa, da un lato, che qualsiasi conflitto debba essere attenuato o minimizzato e, dall’altro, che i diversi strumenti orizzontali (antitrust, diritto dei consumatori, o privacy) siano applicati più come complementi che come sostituti, basandosi su norme aperte che lasciano un importante margine di interpretazione alle Autorità di regolazione, le quali dovrebbero interpretare il diritto in modo da ridurre al minimo il conflitto e massimizzare la relativa ratio.
La condivisione dei dati presenta molte opportunità, in particolare per sfruttare i vantaggi dell’analisi dei Big Data, stimolare l’innovazione o garantire parità di condizioni per l’innovazione tra le imprese che dispongono di molti dati e quelle che ne dispongono di meno. Non sono, tuttavia, da sottovalutare i rischi, ad esempio di collusione esplicita o tacita tra imprese, lo sfruttamento dei consumatori, nonché lesioni della privacy, o quello di ridurre gli incentivi dei titolari dei dati a raccogliere, archiviare e analizzare i dati.
Data Act e Data Governance Act
Le proposte di Data Act e di Data Governance Act della Commissione sono testi complessi: mentre quest’ultimo crea procedure e strutture per facilitare la condivisione dei dati da parte di aziende, privati e settore pubblico, il Data Act dovrebbe chiarire chi può creare valore dai dati e a quali condizioni[16] ed entrambe le misure andrebbero lette in maniera complementare al GDPR[17]. In via di premessa non si può non leggere nel Data Governance Act e nel Data Act un tentativo di dettare le prime regole in materia di monetizzazione dei dati; speriamo il tentativo risulti coerente coi principi (anzitutto quello del consenso libero e specifico, ma anche quelli di finalità e minimizzazione del trattamento) ormai consolidati del GDPR e, prima ancora, sanciti dall’abrogata fondamentale direttiva 95/46/CE, in materia di protezione dei dati.
L’obiettivo dichiarato del Data Act
Da tempo l’Unione Europea sta cercando di ridisegnare il proprio ruolo nella digital economy, auspicando un rafforzamento della competizione tecnologica europea che favorisca l’istituzione di un mercato unico dei dati. L’obiettivo dichiarato del Data Act è rimuovere le barriere all’accesso ai dati il cui valore attualmente non verrebbe raccolto a causa di una serie di fattori. Le PMI, infatti, spesso non sono in grado di negoziare accordi equilibrati di condivisione dei dati con soggetti del mercato più forti; troppi ostacoli si frappongono al passaggio tra servizi cloud competitivi, affidabili ed all’avanguardia; e su tutto domina una limitata capacità di combinare dati provenienti da diversi settori.
Il Data Act mira, dunque, a chiarire chi può utilizzare e accedere ai dati generati in tutti i settori economici; a stimolare servizi nuovi e innovativi e prezzi più competitivi per i servizi c.d. «aftermarket», nonché per le riparazioni di oggetti connessi. Secondo la Commissione, questa è una normativa che svolgerà un ruolo chiave nella trasformazione digitale[18].
Il progetto di Regolamento chiede che i produttori permettano ai proprietari di dispositivi connessi di vedere quali dati stanno raccogliendo e trasmettendo e che i dati siano condivisi con terze parti. Mira anche a riequilibrare i contratti di condivisione dei dati che le aziende firmano, per assicurarsi che i termini non siano squilibrati a favore delle multinazionali. Vuole che gli enti governativi siano in grado di accedere ai dati detenuti dalle aziende in “circostanze eccezionali”, come nelle emergenze pubbliche (ad esempio inondazioni o incendi). Ed infine è inteso anche a imporre salvaguardie contro il trasferimento illegale di dati: una clausola che potrebbe colpire le aziende statunitensi o altre aziende straniere che cercano di trasferire i dati degli europei fuori dall’UE, in violazione del Regolamento sulla protezione dei dati personali.
Si tratta quindi di una legislazione che, insieme al Digital Governance Act, indurrebbe ad una maggiore condivisione dei dati tra le aziende in Europa, con ciò allentando la presa che, secondo la Commissione, alcune grandi realtà tecnologiche – in larga parte non europee – hanno su alcuni dati commerciali e industriali. Si garantirebbe in tal modo un processo virtuoso di crescente equità, ma anche di democraticità, nell’ambiente digitale, stimolando un mercato dei dati competitivo e rendendo i dati più accessibili per tutti; inoltre, si agevolerebbe l’innovazione basata sui dati, con le connesse chance di utilità varie e crescenti, per molti versi persino imprevedibili ed imponderabili, comunque accettando l’affascinante sfida postaci dalla dimensione digitale. L’Europa vuole insomma aiutare le aziende più piccole a tenere il passo con quelle grandi nella corsa al profitto ricavabile da una marea di dati, personali e non, generati da prodotti connessi alla Rete e/o interconnessi fra loro, che vanno dagli elettrodomestici intelligenti alle smart car[19].
Il Data Act evidenzia quindi come anche i dati non strettamente personali siano una risorsa importantissima per la crescita economica nell’Unione ed in tal senso non mira soltanto a potenziare i diritti del consumatore e dell’interessato, ma anche quelli delle aziende medie e piccole, che non potranno essere obbligate a condividere i propri dati con terzi più grandi e minacciosi, ma potranno, di contro, riceverli. Ciò rende chiaro l’intento del legislatore europeo, il quale vuole far sì che questa normativa non crei un ulteriore gap tra i gatekeeper (target già del Digital Markets Act) e le PMI ma anzi favorisca un accenno di riequilibrio.
Data act, i punti ancora da chiarire
Tuttavia, se, da un lato, prevede disposizioni sulla condivisione dei dati, le condizioni di accesso da parte degli enti pubblici, i trasferimenti internazionali di dati, il passaggio al cloud e l’interoperabilità, dall’altro restano ancora da chiarire le procedure di utilizzo e di accesso ai dati da parte del settore pubblico, l’interazione con le altre leggi in vigore, le criticità sollevate tanto dalle PMI, quanto dalle grandi compagnie tecnologiche, che lamentano di essere discriminate dalle misure protezionistiche del Data Act, il quale spingerebbe effettivamente molte aziende che operano in Europa a memorizzare più dati in Europa, con fornitori europei, piuttosto che inviarli all’estero o ricorrere ad aziende extra-UE.
Non mancano di suscitare preoccupazione le disposizioni che ordinano alle imprese di impedire ai Governi non-UE l’accesso a tutti i dati raccolti in Europa, per contrastare la sorveglianza straniera: un onere comunque significativo per le aziende, che dovranno determinare come affrontare le richieste di dati e quali dati sono obbligate a condividere, con evidenti complessità tecnico-giuridiche da affrontare e soprattutto con investimento di risorse ad hoc. È pur vero che il Data Act si concentra sui dati non personali, ma intersecandosi con le disposizioni del GDPR, le sue norme potrebbero creare incertezza giuridica, scoraggiando la condivisione transatlantica di dati.
Il Data Governance Act
Anche il Data Governance Act si applica ai “dati” in generale – “qualsiasi rappresentazione digitale di atti, fatti o informazioni…” – e non solo ai dati personali. Questa bozza di Regolamento incoraggia un più ampio riutilizzo dei dati detenuti dagli enti del settore pubblico, compresi i dati personali, utilizzando però ambienti di elaborazione sicuri e tecniche di anonimizzazione, come la c.d. differential privacy o la creazione di dati sintetici. La parte della bozza che tratta di questi temi può favorire un maggiore sviluppo e una guida sull’uso di tali tecniche che possono essere adottate in un settore più ampio, ben oltre l’obiettivo immediato del riutilizzo dei dati del settore pubblico. Col Digital Governance Act è istituito un regime di accreditamento per i c.d. “intermediari di dati”. Si tratta di organizzazioni che stabiliscono accordi commerciali tra titolari e utenti di dati ma che di per sé non aggiungono valore ai dati. Gli intermediari dei dati dovranno soddisfare condizioni di licenza volte a garantirne l’indipendenza e l’impossibilità per loro di riutilizzare direttamente dati e metadati. I requisiti influenzeranno coloro che forniscono digital markets o anche piattaforme di gestione del consenso. Tale disciplina incoraggia il c.d. “altruismo dei dati”, facilitando un accesso più ampio ai dati, in particolare per la ricerca scientifica. Coloro che operano senza fini di lucro per finalità di interesse generale potrebbero così considerare di diventare un’organizzazione riconosciuta e accreditata per la citata finalità solidale.
Anche il Data Governance Act contiene disposizioni mirate alla limitazione dei trasferimenti di dati non personali. Gli intermediari dei dati e i fornitori riconosciuti di altruismo dei dati dovranno valutare di volta in volta se i Paesi terzi offrono protezioni adeguate per i dati non personali e dovranno resistere ai tentativi delle autorità pubbliche dei Paesi terzi di accedere ai dati non personali provenienti dall’UE. Esistono ulteriori restrizioni applicabili a coloro che sono coinvolti nel riutilizzo dei dati del settore pubblico, nonché meccanismi per consentire alla Commissione di riconoscere i Paesi che offrono una protezione adeguata e di adottare clausole contrattuali standard per il trasferimento di dati non personali.
Il parere congiunto EDPB-EDPS sul Data Act e l’esigenza di ulteriori salvaguardie a tutela dei dati personali
Con il parere congiunto recentemente presentato il Comitato Europeo per la protezione dei dati (EDPB) ed il Garante Europeo per la protezione dei dati (EDPS) hanno inteso richiamare l’attenzione su una serie di preoccupazioni generali in merito alla proposta di Data Act e sollecitare i co-legislatori (Parlamento e Consiglio) a intraprendere un’azione decisiva. EDPB ed EDPS rilevano che la proposta si applicherebbe ad un’ampia gamma di prodotti e servizi, compresi gli oggetti interconnessi (Internet of Things), i dispositivi medici o sanitari e gli assistenti virtuali (Alexa, Siri, Google, etc.). Alcuni di tali prodotti e servizi possono anche trattare categorie particolari di dati personali, come dati relativi alla salute o dati biometrici. Poiché la proposta non esclude esplicitamente nessuna tipologia di dati dal suo ambito di applicazione, i dati che rivelano informazioni altamente sensibili su individui potrebbero diventare oggetto di condivisione e utilizzo dei dati.
Pur accogliendo favorevolmente gli sforzi compiuti (più dichiarati che effettivamente realizzati in concreto) per garantire che la proposta non incida sull’attuale quadro di protezione dei dati, l’EDPB e l’EDPS ritengono che siano necessarie ulteriori salvaguardie per evitare che nella pratica la protezione dei diritti fondamentali alla vita privata e alla protezione dei dati personali risulti significativamente ridotta.
In primo luogo, sono particolarmente necessarie ulteriori garanzie in quanto i diritti di accesso, utilizzo e condivisione dei dati ai sensi della proposta si estenderebbero probabilmente a soggetti diversi dagli interessati, aziende comprese, a seconda del diverso titolo giuridico in base al quale il dispositivo viene utilizzato. In secondo luogo, le Autorità hanno manifestato profonda preoccupazione per le disposizioni della proposta in merito all’obbligo di rendere disponibili i dati agli enti del settore pubblico e alle istituzioni, agenzie o organismi dell’Unione in caso di “necessità eccezionali” (l’eco pandemica è ancora troppo vicina e l’emergenza sanitaria, in vero, sembra avere smarrito il carattere di temporaneità, e così anche l’eccezionalità legittimante la circolazione dei dati, oltre che le gravi restrizioni alle libertà personali). Infine, EDPB ed EDPS temono che il meccanismo di controllo istituito dalla proposta possa portare a una vigilanza frammentata e incoerente.
Analizziamo questi tre punti.
I diritti di accesso, utilizzo e condivisione dei dati
Per limitare i rischi di un’interpretazione o attuazione della proposta che potrebbero pregiudicare fino a compromettere l’applicazione della normativa vigente in materia di protezione dei dati, EDPB ed EDPS invitano Parlamento e Consiglio a specificare in maniera esplicita che la normativa sulla protezione dei dati “prevale” in caso di contrasto con le disposizioni della Proposta per quanto riguarda il trattamento dei dati personali[20].
In linea di principio, il riuso dovrebbe riguardare dati non riferibili a persone identificate o identificabili (si pensi, ad esempio, a informazioni cartografiche, ambientali, ecc.) o comunque dati aggregati e opportunamente anonimizzati sì da eliminare (o comunque minimizzare) il rischio di reidentificazione degli interessati (rischio non trascurabile, considerata la possibilità di incrociare distinti dataset)[21]. Al fine di promuovere la ‘minimizzazione’ dei dati, i prodotti dovrebbero essere progettati in modo tale che agli interessati sia offerta la possibilità di utilizzare i dispositivi in modo anonimo o nel modo meno intrusivo possibile per la privacy, indipendentemente dal titolo in base al quale usano il dispositivo. I titolari dei dati dovrebbero quindi limitare il più possibile la quantità di dati in uscita dal dispositivo (ad esempio, rendendoli anonimi).
Inoltre, il rafforzamento del diritto alla portabilità dei dati, menzionato nel Considerando 31 come uno degli obiettivi della proposta, richiederebbe, nella misura in cui sono coinvolti dati personali, un effettivo potenziamento della posizione degli interessati (una vera e propria “emancipazione” dal titolare) in modo da conferire loro un maggiore controllo sui propri dati personali. Poiché la definizione di “utente” ai sensi della proposta comprende le persone giuridiche, in caso di esercizio di questo diritto da parte di un’impresa, ciò assume la forma di un obbligo ex lege per il produttore/titolare dei dati di fornire l’accesso ai dati alle imprese e di consentirne lo sfruttamento, piuttosto che il “diritto” degli individui di accedere e “portare” altrove i propri dati personali. Infatti, secondo la nozione di “utente” adottata nel Data Act, le persone fisiche possono esercitare il diritto alla portabilità solo incidentalmente, a seconda del titolo in base al quale utilizzano il prodotto o il servizio connesso (proprietà, noleggio o locazione) piuttosto che in base al loro rapporto diretto con le informazioni relative al proprio uso privato del prodotto o servizio. Pertanto, al fine di ottenere un’effettiva tutela delle persone fisiche in relazione ai loro dati personali, il concetto di ‘utente’ – di cui all’articolo 2, paragrafo 5, della proposta al pari del restante testo – dovrà essere integrato e specificato: (a) aggiungendo nella relativa definizione anche gli “interessati” (data subjects) e (b) differenziando chiaramente le situazioni in cui l’utente è un interessato (persona fisica tutelata dalle disposizioni del GDPR) da quelle in cui l’utente non lo è.
Inoltre, l’EDPB e l’EDPS raccomandano di specificare che, laddove l’utente sia un interessato, i dati personali generati dall’uso di un prodotto o servizio correlato siano messi a disposizione dell’utente solo in conformità con le disposizioni, in particolare, degli articoli 6 e 9 del GDPR, ovvero solo in presenza di un’adeguata base giuridica, differenziata a seconda che si tratti di dati comuni o di dati afferenti alle categorie particolari. Oltre alla condizione che, ove pertinenti, siano soddisfatti i requisiti dell’articolo 5, paragrafo 3, della direttiva 2002/58/CE (c.d. direttiva e-Privacy)[22], ovvero l’assicurazione che l’uso di prodotti e servizi per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un utente sia consentito unicamente a condizione che l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità del GDPR e che gli sia offerta la possibilità di rifiutare tale trattamento. Ciò non impedisce l’eventuale memorizzazione tecnica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’utente. Analoghe considerazioni valgono per la messa a disposizione di dati a terzi su richiesta di un utente-impresa (e non interessato-persona fisica).
EDPB ed EDPS sottolineano la necessità di garantire che l’accesso, l’utilizzo e la condivisione dei dati personali da parte di utenti diversi dagli interessati, nonché da parte di terzi e titolari di dati, avvengano nel pieno rispetto di tutte le disposizioni del GDPR , EUDPR (la normativa valevole per le istituzioni dell’UE) e direttiva e-Privacy, compresa la comunicazione agli interessati dell’accesso da parte dei titolari del trattamento ai loro dati personali e l’agevolazione dell’esercizio dei diritti degli interessati da parte dei titolari del trattamento. L’EDPB e l’EDPS hanno inoltre richiamato l’importanza di garantire che qualsiasi “trattamento ulteriore” (riutilizzo) dei dati personali sia conforme in particolare all’articolo 6, paragrafo 4, del GDPR (i.e. gli ulteriori limiti e condizioni introdotte o conservate dagli Stati membri nel diritto interno) e, con particolare riguardo alla possibilità di processi decisionali automatizzati, compresa la profilazione, con i pertinenti e stringenti obblighi previsti dall’articolo 22 GDPR, anche con riguardo al fondamentale presidio dell’intervento umano.
Comitato e Garante europeo hanno anche raccomandato di includere nella proposta chiare limitazioni o restrizioni all’uso dei dati personali generati dall’utilizzo di un prodotto o servizio da parte di qualsiasi entità diversa dagli interessati, in particolare quando i dati in questione possono consentire conclusioni precise da trarre sulla loro vita privata o il trattamento comporterebbe comunque rischi elevati per i diritti e le libertà delle persone interessate. In particolare, viene raccomandata l’introduzione di chiare limitazioni per quanto riguarda l’uso dei dati personali generati dall’utilizzo di un prodotto o servizio a fini di marketing diretto o pubblicità, monitoraggio dei dipendenti, scoring per l’accesso al credito o per determinare l’idoneità ad un’assicurazione sanitaria, per calcolare o modificare i premi assicurativi. Tale raccomandazione lascia impregiudicate, chiaramente, eventuali ulteriori limitazioni che potrebbero risultare opportune, ad esempio, per tutelare le persone vulnerabili, in particolare i minori, o per la natura particolarmente sensibile di alcune categorie di dati (es. dati relativi all’uso di un dispositivo medico o dati biometrici) e, più in generale, per garantire l’applicazione delle tutele offerte dalla normativa dell’Unione in materia di protezione dei dati.
L’obbligo di rendere disponibili i dati in caso di “necessità eccezionale”
Per quanto riguarda il capo V della proposta, le Autorità europee di protezione dati nutrono profonde preoccupazioni sulla liceità, necessità e proporzionalità dell’obbligo di rendere disponibili i dati agli enti del settore pubblico e alle istituzioni, agenzie o organismi dell’Unione in caso di “necessità eccezionali”. EDPB ed EDPS hanno quindi rammentato ai co-legislatori che qualsiasi limitazione al diritto ai dati personali deve fondarsi su una base giuridica adeguatamente accessibile (trasparente) e prevedibile e formulata con sufficiente precisione per consentire alle persone di comprenderne la portata. Conformemente ai principi di necessità e proporzionalità, anche la base giuridica deve definire la portata e le modalità dell’esercizio dei loro poteri da parte delle autorità competenti ed essere accompagnata da garanzie sufficienti a tutelare le persone da ingerenze arbitrarie.
È stato inoltre osservato come le circostanze che giustificano l’accesso non sono specificate in modo restrittivo e sia quindi assolutamente necessario che il legislatore definisca in modo molto più rigoroso le ipotesi di emergenza o di necessità eccezionale. EDPB ed EDPS ritengono correttamente che determinati organismi del settore pubblico e istituzioni, agenzie e organismi dell’Unione dovrebbero essere esclusi dall’ambito di applicazione del capo V in quanto tale e dovrebbero poter obbligare i titolari dei dati a rendere disponibili i dati solo in conformità dei poteri conferiti dalla normativa di settore.
Un’Autorità per l’attuazione e l’esecuzione
L’EDPB e l’EDPS hanno anche evidenziato il rischio di difficoltà operative che potrebbero derivare dalla designazione di più di un’Autorità competente responsabile dell’applicazione e dell’esecuzione del Data Act. Il Comitato ed il Garante europeo hanno espresso serie preoccupazioni sul fatto che una simile architettura della governance (più Autorità con competenze concorrenti e responsabilità condivise a seconda del profilo coinvolto: protezione dati, concorrenza, diritto dei consumatori, reti e comunicazioni, etc.) crei incertezza del diritto, e, conseguentemente, complessità e confusione sia per le imprese che per gli interessati, divergenze negli approcci di regolazione in tutta l’Unione, compromettendo così anche la coerenza della vigilanza e dell’applicazione.
EDPB ed EDPS accolgono con favore la designazione (potremmo anche dire il riconoscimento della ‘naturale’ competenza) delle Data protection Authorities quali Istituzioni cui è affidata la competenza di monitorare l’applicazione della proposta per quanto riguarda la protezione dei dati personali; il che è importante per evitare incoerenze e possibili conflitti tra le disposizioni della proposta e le norme del GDPR (oltre che, chiaramente, le derivate normative nazionali, quali il nostro “Codice Privacy”, d.lgs. n. 196/2003[23]), preservando il diritto fondamentale alla protezione dei dati personali sancito dall’articolo 16 del Trattato sul Funzionamento dell’Unione europea (TFUE) e dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.
L’EDPB e l’EDPS chiedono pertanto ai co-legislatori di designare le Autorità nazionali di controllo della protezione dei dati quali Autorità competenti anche per il coordinamento complessivo ai sensi della presente proposta. Ciò in quanto le Autorità di controllo della protezione dei dati hanno una competenza unica, sia giuridica che tecnica, nella sorveglianza e nella garanzia della conformità dei trattamenti di dati. Inoltre, considerando che il GDPR si applica anche quando dati personali e non personali sono indissolubilmente collegati in uno stesso set, l’EDPB e l’EDPS sono del parere che il ruolo delle Autorità di protezione dei dati dovrebbe in ogni caso prevalere nell’architettura di governance della proposta.
Conclusioni
Nell’introduzione del presente contributo ci si è già interrogati sul tipo di struttura della normativa in questione; al riguardo, non si può certo sottovalutare l’utilità che avrebbe probabilmente conseguito un unico corpus iuris, nel quale il legislatore europeo, pur con norme necessariamente generali e astratte, avrebbe potuto (provare a) disegnare un impianto complessivamente coerente e funzionale.
Stante la frammentazione normativa ormai delineatasi, pare opportuno evidenziare come, per cogliere appieno i benefici dell‘innovazione connaturata alla data economy, occorrano figure professionali specializzate e che i Paesi dell’UE dovrebbero impegnare risorse adeguate per formare nuovi e sempre più esperti data scientist e anche per ridurre – pur con le necessarie cautele e con le adeguate misure (v. anzitutto gli artt. 25 e 32 GDPR)- le barriere che ancora ostacolano il flusso di dati tra Paese e Paese.
Più in generale, rivestirà un ruolo decisivo la formazione, teorica e pratica, relativa alla sfera digitale, alle sue possibilità operative e ai connessi rischi, a partire dalle scuole e dai ‘nativi digitali’, che evidentemente possono far leva su opportunità e prospettive di condivisione sconosciute alle generazioni precedenti ma che, al contempo, scontano un utilizzo – quantitativamente smodato e soprattutto scarsamente qualitativo e consapevole – di tecnologie e Reti. Un’adeguata attività formativa è infatti chiaramente essenziale per educare al corretto uso della rete e delle piatteforme e, soprattutto, ad una condivisione – già originariamente (al momento del rilascio di informazioni personali in sede di registrazione ad un servizio o di acquisto di un prodotto) – consapevole, effettivamente voluta ed opportunamente ‘selettiva’, quanto a contenuti e a cerchia dei soggetti legittimati all’accesso (e in ipotesi all’ulteriore condivisione). In un’analoga ottica, sempre più rilevante diventerà il presidio informativo, con riferimento non solo all’aspetto della protezione dei dati ma anche ai termini di servizio/condizioni contrattuali, che necessariamente dovranno dotarsi di un linguaggio descrittivo chiaro, semplice e supportato da tutte le tecnicalità (icone, video, disclaimer) utili per renderlo immediatamente ed esattamente intellegibile. Come noto infatti, ove vi sia una condizione di asimmetria informativa, non può esserci un’effettiva capacità di esercitare il fondamentale diritto all’autodeterminazione, al fine di scelte effettivamente consapevoli ed effettivamente volute.
Solo così potremo provare a realizzare una vera strategia digitale europea che ci consenta di competere con le data economy extra-UE, al contempo rispettando i diritti e le tutele degli interessati e, conseguentemente, il meta-principio della ‘dignità’ della persona umana che permea l’ordinamento europeo, per l’essenziale tramite dei principi di proporzionalità e ragionevolezza, nel complessivo e complicato bilanciamento di tutti i diritti e libertà fondamentali in rilievo nelle varie fattispecie. Nell’ambito delle prassi di condivisione dei dati, occorrerà fare attenzione anche ai temi della web reputation e dell’identità digitale che necessariamente passa anche per la qualità dei dati condivisi (art. 5, par. 1, lett. d), GDPR).
In tale rinnovato e complesso contesto, tanto più risulta necessario ribadire come solo una Autorità di vigilanza e di regolazione, dotata delle necessarie risorse professionali umane e finanziarie – e davvero indipendente da ogni altro apparato ministeriale-governativo – sarà in grado di assolvere al ruolo fondamentale di presidio di garanzia[24]. Occorrerà inoltre che le varie Autorità competenti nei singoli Paesi UE si coordinino per un’azione coerente e soprattutto efficace. Ciò anche per il tramite di istruttorie congiunte, di tipo cartolare o ispettivo, in modo da avere una ‘fotografia’, più completa e nitida possibile, delle problematiche da affrontare e regolare. È peraltro innegabile che nell’operatività quotidiana possano emergere dubbi e difficoltà sul “come” conciliare il rispetto per i diritti individuali e la filosofia dell’open data, ma si deve mirare ad una, possibile quanto necessaria, convivenza virtuosa tra i valori in discussione. Già nel 2014 si diceva che: “In definitiva, la partita che, anche su questo terreno, la modernizzazione della società ci obbliga a giocare, può, operando con retta volontà e un pizzico di ambizione (realisticamente oltre che auspicabilmente) rivelarsi un gioco a somma positiva”[25]. Per dare concretezza a questo approccio bilanciato si rende essenziale l’individuazione – e l’adozione – di modelli organizzativi utili alla valutazione e gestione dei rischi, misure negoziali (licenze d´uso) e strumenti tecnologici per massimizzare i vantaggi dell’economia digitale nel pieno rispetto della dignità e dei diritti fondamentali delle persone. È scelta ineludibile, in particolare, incorporare le scelte normative a tutela dei diritti nelle tecnologie (in una costante ottica di privacy by design e by default), perché si pongano a strumenti “nuovi” di governance della dimensione digitale.
Note
- Sul tema Martusciello A., La nuova riforma europea sul digitale. La catena del valore delle piattaforme tra mercato e privacy, in wwwsmedialaws.eu, cui si rinvia per alcune considerazioni preliminari qui riportate. ↑
- Porter M.E., Competitive Advantage: creating and sustaining superior Performance, Free Press, 1985 ↑
- Evans D., Rivalità di attenzione tra piattaforme online, Riv. Dir. conc. econ. 2013, 31 ss.; Wu T., I commercianti dell’attenzione: Come il nostro tempo e la nostra attenzione sono raccolti e venduti (2017). ↑
- In tal senso, va richiamato il consolidato orientamento del Garante per la protezione dei dati personali in base al quale, in osservanza dei principi di correttezza e finalità (v. art. 5, par. 1, lett. a) e b), del GDPR – è illecito riutilizzare (ad es. a fini di marketing o di propaganda elettorale) i dati pubblicati on line dagli stessi interessati, in quanto tali ulteriori eventuali trattamenti devono ritenersi incompatibili con le originarie finalità di trasparenza (si pensi alla pubblicazione di dati relativi ad attività della PA, obbligatori per legge) o per agevolare la ricerca interpersonale (v. gli elenchi telefonici) o ancora le comunicazioni fra PA e imprese/professionisti, per le quali i dati sono resi pubblicamente disponibili. Si veda il provvedimento generale in materia di propaganda elettorale e comunicazione politica, 18 aprile 2019, pubbl. in GU n. 195, 7 maggio 2019. La verifica di ‘compatibilità’ del trattamento ulteriore rispetto alla finalità dell’originaria raccolta è disciplinata dall’art. 6, par. 4, del GDPR. ↑
- Simonetta B., Scandalo Cambridge Analytica. Così i nostri dati su Facebook finiscono nel mercato delle app, in https://www.ilsole24ore.com, 20 marzo 2018, ↑
- Commissione europea, (2020), A European strategy for data, Comunicazione, https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf, p. 5. ↑
- Si ricorda che nell’universo dei dati ci sono anche quelli ‘non personali’, definiti come i “dati diversi dai dati personali” di cui all’art. 4, punto 1, del GDPR. perché non riferibili ‘direttamente o indirettamente’ ad una persona fisica (‘interessato’). Essi, a far data dal 28 maggio 2019, sono oggetto del Regolamento UE n. 2018/1807, relativo alla libera circolazione dei dati non personali, applicabili in tutti gli Stati membri dell’Unione Europea. Contestualmente, la Commissione UE ha pubblicato il documento dal titolo “Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union”: linee guida il cui scopo è chiarire, anche attraverso esempi concreti, il rapporto tra il nuovo Regolamento ed il GDPR, quindi tra il trattamento di dati non personali ed il trattamento di dati personali (di seguito, le “Linee Guida”). Un elenco, chiaramente non esaustivo, contenuto nel Considerando 9, include gli insiemi di dati aggregati e anonimizzati utilizzati per l’analisi dei mega-dati, i dati sull’agricoltura che possono essere utili nel monitorare l’uso di pesticidi ed acqua, i dati relativi alla manutenzione effettuata sui macchinari e, in via generale, il “trattamento dei dati” deve essere inteso nella più ampia accezione possibile. ↑
- “L’economia si sta velocemente digitalizzando. Le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì sono la base stessa di tutti i sistemi economici e delle società innovativi e moderni. I dati elettronici sono al centro di tali sistemi e, quando sono analizzati o utilizzati in associazione a servizi e prodotti, possono generare un ingente valore. Allo stesso tempo, il rapido sviluppo dell’economia dei dati e di tecnologie emergenti come l’intelligenza artificiale, i prodotti e i servizi relativi all’Internet degli oggetti, i sistemi autonomi e la tecnologia 5G sollevano nuove questioni giuridiche relative all’accesso ai dati e al loro riutilizzo, alla responsabilità, all’etica e alla solidarietà” (cfr. Considerando 1, Regolamento 1807, cit.). ↑
- Michal Gal – Daniel L. Rubinfeld, Standardizzazione dei dati, 94 NYU Law Review (2019); NyU Law and Economics Research Paper No. 19-17, 14 Feb 2019, rev. 4 Lug 2019. ↑
- In materia è bene ricordare che l’Autorità Garante della Concorrenza e del Mercato, l’Autorità per le Garanzie nelle Comunicazioni, unitamente al Garante per la Protezione dei Dati Personali, hanno pubblicato le “Linee guida e raccomandazioni di policy” per i Big Data, reperibile in https://www.garanteprivacy.it, frutto dell’indagine conoscitiva avviata congiuntamente dalle tre Autorità con l’obiettivo di comprendere le implicazioni – per la privacy, la regolazione, la tutela della concorrenza e del consumatore – dello sviluppo di un’economia digitale fondata sulla raccolta e analisi di una mole sempre più ingente di dati. Nel corso dell’indagine sono state svolte circa quaranta audizioni, nell’ambito delle quali sono stati interpellati i principali operatori dell’economia dei dati, delle telecomunicazioni, dei settori finanziari e dell’editoria, nonché esperti e accademici. ↑
- Al riguardo v. Licata P., Big data leva di produttività, Ocse: “Ma i governi devono fare di più. https://www.corrierecomunicazioni.it/, 8 ottobre 2015. Secondo l’Ocse, le aziende che usano i dati per generare innovazione accrescono la loro produttività del 5-10% più velocemente di chi non usa i dati. Inoltre, i Paesi non riescono ancora a cogliere tutte le opportunità offerte dai Big data e dalla loro analisi e sostiene che i Governi dovrebbero incoraggiare maggiori investimenti in Big Data per favorire le trasformazioni e la crescita, promuovendo anche lo scambio e il riuso dei dati. Secondo l’altrettanto condivisibile definizione sintetica proposta da De Mauro A., Greco M. e Grimaldi M., A Formal Definition of Big Data Based on its Essential Features, Library Review, Vol. 65 Iss: 3, pp. 122-135, DOI: 10.1108/LR-06-2015-0061 – ripresa dall’Ocse stessa- sono Big Data gli “information assets” caratterizzati, a differenza di altre banche dati, da un volume, da una velocità e da una varietà tali da richiedere l’utilizzo di tecnologie e metodi di analisi specifici per estrarne valore. ↑
- Ad esempio, per l’algoritmo di ricerca, Microsoft ha sostenuto, in Microsoft v. Yahoo! Search Business, che su scala più ampia un motore di ricerca può eseguire test su come migliorare l’algoritmo e che è possibile sperimentare di più e più velocemente all’aumentare del volume di traffico perché il traffico sperimentale occupa una percentuale minore del traffico complessivo. ↑
- Già in Google v. DoubleClick, la Commissione osservava che: «la concorrenza basata sulla qualità dei dati raccolti non è quindi decisa solo in virtù dell’enorme dimensione dei rispettivi database, ma anche determinata dai diversi tipi di dati a cui i concorrenti hanno accesso e dalla domanda che determinerà quale tipo alla fine si rivelerà più utile ai fini della pubblicità su Internet». ↑
- Ci si riferisce alla direttiva UE 1024/2019 (la direttiva Open Data), che adegua il quadro legislativo ai progressi delle tecnologie digitali e prevede una maggiore apertura dei dati pubblici, abrogando la direttiva 98/2003 (direttiva PSI). ↑
- V. direttiva (UE) 2015/2366, del 25 novembre 2015 – che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010 e abroga la direttiva 2007/64/CE – relativa ai servizi di pagamento nel mercato interno e che consente l’accesso ai dati contabili. V. anche la direttiva (UE) 2019/944, 5 giugno 2019, relativa a norme comuni per il mercato interno dell’energia elettrica e che modifica la direttiva 2012/27/UE, imponendo alla Commissione di adottare requisiti di interoperabilità e procedure trasparenti e non discriminatorie per l’accesso ai dati relativi alla misurazione e al consumo di energia, nonché a quelli necessari per il cambio di utenza, la gestione della domanda e altri servizi. Inoltre, nel 2018 un codice di condotta sulla condivisione dei dati è stato adottato dagli operatori del mercato nel settore agricolo, rinvenibile in https://www.unacma.it/ e sono in corso discussioni sulla condivisione dei dati nel settore automobilistico. ↑
- La Commissione Europea, il 23 febbraio scorso, ha presentato la proposta per una legge europea sui dati volta a promuovere l’innovazione e la creazione di modelli di business, partendo dal presupposto che il volume dei dati è in costante crescita ma l’80 % dei dati industriali non viene mai utilizzato. La “Legge sui dati” (Data Act) disciplina l’accesso ai dati generati nell’UE in tutti i settori economici per poterli utilizzarli con lo scopo di: garantire equità nell’ambiente digitale; stimolare un mercato dei dati competitivo; creare opportunità per l’innovazione basata sui dati; rendere i dati più accessibili per tutti. Si tratta dell’ultimo elemento costitutivo orizzontale della strategia per i dati della Commissione e della trasformazione digitale, in linea con gli obiettivi digitali per il 2030. La legge sui dati affronta le questioni giuridiche, economiche e tecniche connesse al riuso dei dati con la finalità di: mettere una maggiore quantità di dati a disposizione per il riutilizzo; creare 270 miliardi di € di PIL aggiuntivo entro il 2028. Il Data Act mira a proteggere le PMI dalle clausole contrattuali abusive imposte dalla parte con una posizione contrattuale significativamente più forte e a definire un modello di clausole contrattuali per aiutare tali imprese a elaborare e negoziare (Fonte: Commissione Europea – Comunicato stampa, 23 febbraio 2022). ↑
- Non si possono ignorare le normative europee ancora in discussione che pur incrociano questi stessi temi. Si consideri: la bozza di Regolamento sull’Intelligenza Artificiale, che vive di connettività e condivisione di dati per alimentare gli algoritmi e la Big Data Analysis; il Regolamento ePrivacy, che aggiornerà la disciplina della protezione dei dati nelle comunicazioni elettroniche; la Direttiva c.d. NIS 2 sulla sicurezza delle reti e dei sistemi informativi europei che, inserendosi nella strategia di sicurezza informatica per il decennio digitale dell’UE, ha l’obiettivo di aggiornare la precedente Direttiva NIS nell’ottica di migliorare la resilienza europea nel campo del digitale. ↑
- Il Commissario all’industria Thierry Breton ha dichiarato che sarà sbloccata “una vasta gamma di dati industriali a vantaggio delle imprese, dei consumatori, dei servizi pubblici e della società nel suo insieme, poiché finora viene utilizzata solo una piccola parte dei dati industriali, mentre il potenziale di crescita e innovazione è enorme. Il Data Act garantirà che i dati industriali siano condivisi, archiviati ed elaborati nel pieno rispetto delle norme europee, costituendo la pietra angolare di un’economia digitale europea che forte, innovativa e sovrana”. ↑
- Connotate sempre più spesso da tecnologie, radicalmente innovative quanto di estrema utilità individuale e sociale, come i sistemi di Advanced Driver Assistance System (ADAS) , tra cui la frenata automatica di emergenza e la “blind spot detection”, o l’eCall installata per le chiamate al 112. ↑
- Invero, già la direttiva 2003/98/CE e, non diversamente, la direttiva 2013/37/UE sul riutilizzo dell´informazione del settore pubblico fanno espressamente salve le disposizioni sulla protezione dei dati personali: cosi il Presidente Antonello Soro, Tra privacy e open data intesa possibile, in Il Sole24Ore 13 ottobre 2014, e in www.gpdp.it.↑
- Soro A., cit., ibid. ↑
- Che trova la sua corrispondente norma dell’ordinamento nazionale nell’art. 122 del Codice Privacy (Informazioni raccolte nei riguardi del contraente o dell’utente): 1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. (………). 2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente. Vengono dunque in rilievo i cookies e gli atri strumenti di tracciamento, oggetto delle recenti “Linee guida cookie e altri strumenti di tracciamento, adottate dal Garante il 10 giugno 2021 [doc. web n. 9677876], che hanno sostituito il provv. gen. 8 maggio 2014 n. 229,“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.↑
- Come novellato dal d.lgs. n. 101/2018, nel recepimento della normativa del GDPR. ↑
- Sia consentito il rinvio a Cerrina Feroni G., “Solo un’Autorità indipendente può difendere i diritti di tutti. Ecco perché”, in www.agendadigitale.eu, 2 luglio 2021.↑
- Soro A., cit., ibid.↑