La proposta di Regolamento sulla gestione europea dei dati (Data Governance Act), pubblicata dalla Commissione europea il 25 novembre scorso, segna l’avvio di una serie di misure annunciate il 19 febbraio 2020 nella Strategia europea per i dati e volte alla realizzazione di un mercato europeo unico dei dati.
Molto del futuro dell’economia (digitale) del Continente passa da qui; è quindi opportuno seguire con attenzione, anche se non si fa parte degli addetti ai lavori.
Il data governance act
La proposta vuole integrare il framework giuridico europeo, composto di GDPR, Direttiva ePrivacy, Direttiva (UE) 2019/2014 (cd. Direttiva sui dati aperti) Regolamento (UE) 2018/1807 (sulla libera circolazione dei dati non personali all’interno dell’UE), che oggi disciplina le informazioni ed i dati tenuto conto degli impatti che le nuove tecnologie hanno avuto negli ultimi anni sull’economia e la società in generale.
Stante la competenza concorrente tra UE e Stati membri in materia di digital policy, il Data Governance Act si pone l’obiettivo di coordinare l’attività normativa die vari Paesi membri per evitare il rischio di una frammentazione del mercato unico digitale.
Come espresso nel memorandum esplicativo preliminare, il nuovo regolamento sulla governance dei dati, nel rispetto della disciplina sulla concorrenza ed ispirandosi ai principi elaborati in ambito dei dati della ricerca scientifica (cosiddetti principi “FAIR” in virtù dei quali i dati dovrebbero essere, generalmente, reperibili, accessibili, interoperabili e riutilizzabili), segue quattro linee direttrici:
- disponibilità dei dati del settore pubblico per il loro riuso, nelle ipotesi in cui sui dati stessi insistano diritti altrui (relativi a proprietà intellettuale, segreto aziendale, riservatezza, protezione dei dati personali);
- condivisione, a titolo oneroso, dei dati tra le imprese;
- possibilità di utilizzare i dati personali con l’ausilio di un soggetto designato (“Personal data-sharing Intermediary”) che ha il ruolo di assistere gli interessati nell’esercizio dei diritti previsti dal GDPR;
- utilizzo dei dati per scopi altruistici.
Il riuso dei dati pubblici e gli “European data spaces”
Il primo intervento, quindi, riguarda dati pubblici soggetti però a vincoli di riservatezza commerciale, statistica, proprietà intellettuale o sottoposti alla disciplina della protezione dei dati personali.
Il nuovo Regolamento proibisce agli enti pubblici di stipulare accordi di esclusiva su tali tipologie di dati o comunque accordi che ne restringano il riuso da parte di coloro che potrebbero esserne legittimati, consentendo in ogni caso di stipulare tali accordi in via eccezionale solo per servizi pubblici rilevanti e comunque per periodi di tempo non superiore a tre anni.
La Proposta di Data Governance Act, inoltre, stabilisce delle specifiche previsioni che gli enti pubblici devono rispettare nel momento in cui viene garantito il riuso per le tipologie di dati sopra descritte, con obbligo di rendere pubbliche le condizioni per tale riuso.
Inoltre, è anche prevista la possibilità per gli enti pubblici di imporre dei vincoli di previa anonimizzazione o pseudonimizzazione dei dati per il loro riuso, così come di eliminazione delle informazioni commerciali o di quelle che possono rientrare nell’ambito dei segreti industriali.
La particolare espressione “altruismo dei dati”, invece, si riferisce all’uso dei dati – a seguito di consenso da parte degli interessati o di autorizzazione dei titolari – a titolo gratuito, per scopi di interesse generale (quali scopi scientifici, di ricerca o di miglioramento dei servizi pubblici).
Per tali tipologie di dati dovranno essere istituite apposite Autorità di controllo con il ruolo di mantenere un registro monitorare le attività delle organizzazioni di “data altruism”.
Per poter raccogliere dati per scopi altruistici un’organizzazione deve: essere costituita per soddisfare obiettivi di interesse generale; operare senza scopo di lucro ed essere indipendente da qualsiasi entità che operi a tale scopo; garantire che le attività relative “all’altruismo dei dati” si svolgano attraverso una struttura giuridicamente indipendente, separata dalle altre attività che abbia eventualmente intrapreso.
Soddisfatte tali condizioni, dovrà richiedersi apposita iscrizione nel registro delle organizzazioni di “data altruism” in uno degli Stati membri dell’UE (se la sede è stabilita in un Paese terzo, dovrà essere nominato un Legale rappresentante in uno degli Stati membri).
L’intervento di armonizzazione è ritenuto necessaria per affrontare gli ostacoli al buon funzionamento di un’economia basata sui dati (come emerge dalla Valutazione di impatto effettuata il 9 settembre 2020) e mira a promuovere la disponibilità dei dati per un loro riutilizzo e, di conseguenza, ad accrescere la fiducia negli intermediari e a rafforzare i meccanismi di condivisione dei dati in tutta l’UE.
Nella prospettiva di promuovere la disponibilità dei dati per un riuso degli stessi, accrescendo così la fiducia negli intermediari e rafforzando i meccanismi di condivisione nell’Unione Europea, è prevista l’istituzione di “European data spaces” (in settori specifici quali sanità, mobilità, attività produttive, servizi finanziari, energia, agricoltura,..).
Tali spazi di condivisione garantirebbero la possibilità di consultare ed utilizzare i dati del settore pubblico, delle imprese e dei cittadini – che ne mantengono comunque il controllo – nel modo più efficace e responsabile possibile, facilitando la creazione di nuovi prodotti e servizi e favorendo progetti di innovazione e sviluppo scientifico dell’UE in modo più coordinato e uniforme.
È, altresì, previsto l’obbligo di istituire un cd. “Punto di informazione unico”, interfaccia all’interno della quale vengono ricevute le richieste di riutilizzo e trasmesse successivamente al settore pubblico competente, nonché il supporto da parte di organismi appositamente designati dagli Stati membri.
Il riutilizzo dei dati non personali in Paesi terzi è subordinato all’esistenza di un sistema di garanzia equivalente a quello europeo in tema di protezione della proprietà intellettuale e del segreto industriale e il soggetto pubblico ne deve fornire comunicazione al titolare.
I servizi di data sharing
Il regolamento istituisce formalmente dei nuovi soggetti, ossia i fornitori di servizi di condivisione dei dati (intermediari dei dati).
Il loro compito è quello di svolgere un ruolo chiave nell’economia dei dati, come strumento di facilitazione per l’aggregazione e lo scambio di quantità di informazioni rilevanti. Si tratta di soggetti neutrali e indipendenti sia dai detentori/titolari dei dati sia dagli utenti ed in favore dei quali offrono servizi di condivisione per i loro rapporti commerciali, legali o tecnici.
In particolare, viene stabilito un regime di notifica per le aziende che vogliano fornire servizi di:
- intermediazione tra i titolari di dati e gli utenti (compresa la creazione di piattaforme o banche dati che consentano lo scambio o la fruizione congiunta degli stessi);
- intermediazione tra gli interessati che vogliano rendere disponibili i propri dati personali e i potenziali utenti;
- supporto agli interessati, aziende, PMI, ad esempio per consentire scelte informate prima di prestare consenso al trattamento dei dati.
L’obiettivo perseguito è quello di incrementare la fiducia nella condivisione di dati personali e non personali e ridurre i costi di transazione B2B e C2B prevedendo un dettagliato regime di notifica standardizzata per i fornitori di tali servizi.
I servizi di data sharing dovranno soddisfare una serie di requisiti, ad esempio, l’obbligo di rimanere neutrali rispetto i dati scambiati; la non utilizzabilità dei dati o metadati per scopi diversi; la previsione di una procedura di accesso al servizio equa, trasparente e non discriminatoria anche in relazione ai costi; la garanzia di armonizzazione rispetto standard internazionali o europei sui dati; la predisposizione di procedure che prevengano attività fraudolente o abusive; la garanzia di un elevato livello di sicurezza per l’archiviazione e trasmissione di dati non personali.
È infine prevista la designazione, da parte degli Stati membri, di una o più Autorità competenti con potere di irrogare, in caso di violazioni ed a seguito di uno specifico iter, sanzioni pecuniarie dissuasive e di richiedere la cessazione o il rinvio della fornitura del servizio.
L’European Data Innovation Board
Il Data Governance Act, prevede inoltre l’istituzione di un European Data Innovation Board (art. 26), organo indipendente con funzioni, tra le altre, di garanzia di coerenza ed uniformità nell’applicazione del Regolamento, di supporto e assistenza alla Commissione europea, di facilitazione della standardizzazione della governance europea dei dati, di promozione della cooperazione tra le autorità competenti.
In conclusione
L’analisi delle disposizioni del Data Governance Act evidenzia di per sé la portata dirompente che tale strumento potrà avere nello scenario attuale dei dati.
L’armonizzazione del quadro normativo relativo alla condivisione e commercializzazione dei dati, infatti, ponendo precisi standard e regole di sicurezza e controllo, incentiva la fiducia dei cittadini e delle imprese in un modello di gestione alternativo a quello che oggi è appannaggio quasi monopolistico di aziende private e conferisce all’Unione europea, ancora una volta, quel ruolo di guida e garanzia a livello internazionale.
