L’Europa deve riguadagnare terreno sul fronte dei dati digitali. È il senso della Strategia europea in materia di dati presentata a febbraio dalla Commissione europea e naturale complemento della tutela su quei dati introdotta con il GDPR,
La Commissione guidata da Ursula von der Leyen sa di dover accelerare la spinta alla valorizzazione del “nuovo oro nero”. O perderà sempre più peso nel contesto economico e politico internazionale. Vediamo la nuova articolata strategia: tutti i passaggi e gli obiettivi.
La strategia europea in materia di dati
La strategia europea in materia di dati è uno dei quattro documenti della Commissione europea pubblicati lo scorso 19 febbraio nel pacchetto di misure per il futuro digitale dell’Europa. Essa integra, per quanto concerne i dati, la comunicazione generale su Shaping Europe’s digital future e si affianca al Libro Bianco sull’Intelligenza Artificiale (IA) e al Rapporto su sicurezza dei prodotti e regime di responsabilità alla luce degli sviluppi dell’IA, dell’IoT e della robotica.
Si tratta delle prime iniziative adottate dalla nuova Commissione europea per perseguire una delle sei priorità del programma politico 2019-2024 della Presidente Ursula von der Leyen, ossia assicurare che l’Europa sia pronta per l’era digitale. Il pacchetto è quindi di grande importanza in una prospettiva di politica pubblica. Al tempo stesso, non si tratta di documenti di facile lettura, in quanto il linguaggio è spesso più evocativo che tecnico e le linee di azione sono solo tratteggiate. Per poterne discutere occorre soffermarsi ad analizzare con attenzione l’impostazione della Commissione rispetto ai vari temi.
Un buon punto di partenza è proprio l’esame della comunicazione sulla strategia in materia di dati, che già delinea un’agenda abbastanza definita di misure per i prossimi mesi.
Innovazione e salvaguardia dei valori europei
Le premesse della comunicazione sono chiare. L’innovazione basata sui dati ha già portato, e può ulteriormente produrre, grandi benefici per l’economia e per la società, migliorando i processi decisionali nei vari ambiti, aumentando la produttività e la competitività e contribuendo alla qualità dei servizi pubblici e all’efficacia delle politiche a tutela della salute, della mobilità e dell’ambiente.
Al tempo stesso, vi sono valori fondamentali della società europea che vanno salvaguardati, dalla protezione dei dati personali alla tutela della concorrenza e dei consumatori, dalla sicurezza al pluralismo dell’informazione sino alla salvaguardia delle stesse istituzioni democratiche.
Priorità accelerazione, per la strategia europea per i dati
Negli anni passati l’Unione europea ha posto in essere numerose iniziative per governare la trasformazione dell’economia e della società basata sui dati. Con il GDPR è stata rafforzata la tutela dei dati personali nel mercato interno. Nell’ambito della Digital Single Market Strategy sono state adottate misure per favorire la circolazione dei dati (regolamento del 2018 sulla libera circolazione dei dati) e la loro condivisione (direttiva ‘open data’ del 2019 e regole settoriali in ambiti che vanno dai trasporti ai servizi di pagamento). Il tema del rapporto tra dati e potere di mercato è da tempo al centro delle riflessioni su come applicare le regole europee di concorrenza nell’era digitale.
Quanto intrapreso sinora, tuttavia, non appare sufficiente. In particolare, all’Europa corrisponde una quota dell’economia globale dei dati molto inferiore al suo peso economico.
La Commissione ritiene che sfruttando gli sviluppi tecnologici che porteranno nei prossimi anni a un aumento esponenziale del volume di dati prodotti, inclusi i dati industriali non personali, sia possibile recuperare posizioni.
È un’opportunità da cogliere per rafforzare la posizione geopolitica dell’Europa rispetto all’innovazione legata ai dati e per accrescere la nostra capacità di produrre di valore, attraverso l’innovazione, per i cittadini, le imprese e la società. La Commissaria Margrethe Vestager, in un discorso del 5 marzo scorso, illustra l’approccio con l’espressione ‘technology with purpose’, la tecnologia con un obiettivo.
Sfide per la strategia europea sui dati
La questione è come accelerare seguendo un modello europeo, diverso sia dal modello statunitense sia dal modello cinese, che valorizzi le peculiarità e i valori della nostra società e sia, al tempo stesso, competitivo a livello globale.
Sul piano interno, la Commissione vuole rimuovere gli ostacoli ingiustificati alla circolazione dei dati all’interno dell’Unione europea e tra i diversi settori. Nelle relazioni internazionali, la strategia prevede un approccio aperto ai flussi internazionali di dati ma, al tempo stesso, un atteggiamento proattivo nel promuovere i valori e le regole europee e nel fronteggiare gli ostacoli ingiustificati che incontrano le imprese europee operanti in paesi terzi.
Per conseguire gli obiettivi, secondo la Commissione bisogna affrontare una serie di problemi che impediscono all’Europa di sfruttare appieno il potenziale dell’economia dei dati.
Misure anti-frammentazione
Una criticità generale dipende dalla permanente frammentazione degli approcci degli Stati membri riguardo ad alcuni aspetti rilevanti per l’economia dei dati, quali le condizioni di accesso ai dati privati da parte del settore pubblico o l’applicazione delle regole di concorrenza.
Per quanto riguarda i problemi più specifici, la Commissione rileva anzitutto che in Europa non vi sono abbastanza dati disponibili per essere riutilizzati in modo innovativo, anche ai fini dello sviluppo dell’IA. Anche gli squilibri nel potere di mercato o nel potere contrattuale in relazione all’accesso e all’utilizzo dei dati costituiscono una criticità da gestire. La Commissione, oltre a fare riferimento alla capacità delle piattaforme online di accumulare enormi volumi di dati, menziona i possibili squilibri di potere nelle relazioni tra i soggetti rispetto all’accesso ai dati co-generati nel contesto dell’IoT (in particolare, tra il fornitore del dispositivo e il cliente che lo utilizza).
Per i dati personali, nonostante l’elevata protezione offerta dal GDPR, la Commissione ritiene che vi siano ancora criticità rispetto all’effettivo controllo da parte degli individui sui propri dati.
Un altro problema è costituito dalla mancanza di interoperabilità dei dati provenienti da fonti diverse all’interno dello stesso settore o tra settori. Per i servizi cloud, la Commissione segnala l’elevata concentrazione dell’offerta, la forte dipendenza da fornitori non stabiliti nell’Unione europea, le condizioni spesso inique applicate alle microimprese e alle PMI e la scarsa interoperabilità dei servizi, con particolare riguardo alla portabilità dei dati.
Infine, la Commissione menziona l’esigenza più generale di assicurare elevati standard di cybersecurity e il problema della scarsità di competenze professionali nell’area dei big data e dell’analisi dei dati.
Regole intersettoriali per la gestione dei dati
La strategia della Commissione prevede, come prima linea di azione, la definizione di un quadro intersettoriale per la governance dell’accesso e del riutilizzo dei dati.
Si tratta della parte più interessante della strategia, perché la questione è come promuovere una maggiore condivisione dei dati tenendo conto sia dei diritti fondamentali dei soggetti interessati, sia dell’impatto che obblighi indiscriminati di fornire l’accesso ai dati potrebbero avere sugli incentivi a produrre/raccogliere i dati, curarne la qualità e così via.
Il tema è complesso perché i dati sono una realtà estremamente eterogenea, sia nel contenuto (dato personale o meno, quale tipo di dato personale), sia per gli investimenti connessi alla creazione del dato (si pensi, ad esempio, ai dati di precisione sulla superficie del pianeta generati tramite satellite).
Dubbi sull’approccio “open” generalizzato
All’eterogeneità dei dati si associano diversi diritti/valori che non consentono, nella strategia europea, di richiedere in linea generale l’obbligo di condivisione del dato per aumentare il volume di dati a disposizione.
In primis, questo approccio non è perseguibile rispetto al dato personale. Il GDPR si fonda sul principio generale del controllo della persona sul dato; il trattamento è legittimo solo in presenza di specifiche basi giuridiche, rispettando il principio per cui il dato non va trattato oltre quanto strettamente necessario.
Anche per i dati non personali, peraltro, al controllo sul dato può corrispondere un valore da proteggere, in questo caso di natura prevalentemente economica. Alcune situazioni (trade secrets, banche dati) sono tutelate tramite diritti di proprietà intellettuale. Per altre, rientranti nella categoria più generale delle informazioni confidenziali, l’ordinamento europeo riconosce comunque una protezione rispetto a ipotesi di accesso generalizzato. Inoltre, per le applicazioni in cui più soggetti contribuiscono alla creazione del dato (si pensi all’IoT in agricoltura), si pone il problema non solo di preservare, ma anche di ripartire equamente il valore co-generato.
Dati digitali, 4 scenari
Essendo improponibile, anche per i dati non personali, uno scenario di condivisione generalizzata dei dati, nella strategia la Commissione adotta un approccio articolato, a seconda che si tratti o meno di dati personali e in relazione all’identità (pubblico o privata) del soggetto che detiene il dato e del potenziale riutilizzatore.
La strategia distingue quattro scenari: l’utilizzo da parte delle imprese delle informazioni nella disponibilità del settore pubblico (G2B); la condivisione di dati tra imprese (B2B); l’utilizzo da parre delle autorità pubbliche dei dati detenuti da privati (B2G) e la condivisione di dati tra pubbliche amministrazioni (G2G).
Per ciascuno dei quattro scenari la Commissione si propone di individuare, tenendo conto di quanto fatto in passato, possibili iniziative per favorire ulteriormente la condivisione dei dati tramite un mix di chiarimenti delle regole, misure abilitanti, incentivi e, in qualche caso, obblighi di condotta. Nonostante alcuni brani della comunicazione ( ‘data should be available to all’) possano suggerire il contrario, l’obbligo di condividere il dato non è la regola.
Accesso ai dati: le iniziative previste
La Commissione prevede anzitutto entro fine 2020 la definizione di un quadro legislativo per la governance degli spazi comuni europei di dati contenente misure orizzontali per l’accesso e l’utilizzo dei dati. Tale quadro dovrebbe:
- facilitare l’utilizzo intersettoriale dei dati e la loro interoperabilità, anche attraverso l’individuazione delle priorità delle attività di standardizzazione all’interno e fra i settori;
- semplificare le decisioni relative all’utilizzo dei dati per fini di ricerca scientifica nel rispetto del GDPR, in particolare con riguardo a dati personali sensibili contenuti in banche dati del settore pubblico non coperti dalla direttiva ‘Open Data’;
- dare la possibilità agli individui di consentire l’utilizzo per il bene pubblico dei dati da essi generati (c.d. data altruism), nel rispetto del GDPR.
In parallelo, la Commissione valuterà l’opportunità di rafforzare il diritto di portabilità dei dati personali, già previsto dall’articolo 20 del GDPR, per consentire agli individui un maggiore controllo, a livello granulare, sui propri dati (personal data spaces).
Sul fronte dei dati riconducibili al settore pubblico, la Commissione adotterà a inizio 2021, in attuazione della direttiva Open Data, un elenco dei data set di elevato valore socioeconomico per i quali le pubbliche amministrazioni e le imprese a controllo pubblico fornitrici di servizi di interesse economico generale dovranno assicurare in Europa l’accessibilità a titolo gratuito, in formato machine-readable e mediante API standardizzate.
La Commissione inoltre valuterà l’opportunità di introdurre, sempre nel 2021, un Data Act sulla condivisione dei dati detenuti dalle imprese. In questo contesto la Commissione intende sia promuovere la condivisione dei dati B2G a fini di interesse pubblico, sia sostenere la condivisione dei dati B2B, risolvendo le incertezze relative ai diritti di utilizzo per i dati co-generati, tipicamente oggetto di contratti privati. Riguardo alla condivisione B2B, comunque, la Commissione indica come regola generale la condivisione volontaria dei dati, precisando che un obbligo di concedere l’accesso potrebbe essere giustificato solo in circostanze specifiche e a livello settoriale, in presenza di un fallimento di mercato in un determinato settore, tenendo comunque conto degli interessi legittimi del detentore dei dati.
L’interfaccia con le regole di concorrenza
La realizzazione di data pools può costituire uno strumento importante per raggiungere in Europa i volumi di dati necessari all’innovazione. La Commissione, che tradizionalmente guarda con sospetto gli scambi di informazioni tra imprese per timore di distorsioni della concorrenza, si impegna a chiarire le condizioni per la compatibilità con il diritto antitrust della condivisione dei dati e dei data pools, sia nell’ambito della revisione delle linee guida sugli accordi di cooperazione orizzontale sia, eventualmente, fornendo orientamenti rispetto a specifici progetti.
Nel controllo delle concentrazioni, la Commissione presterà particolare attenzione all’impatto sulla concorrenza delle acquisizioni che comportano l’accumulo di dati su larga scala e all’utilità, al fine di rimuovere i problemi concorrenziali, di misure correttive consistenti nell’obbligo di concedere l’accesso ai dati o di condividerli.
Per gli aiuti di Stato, la Commissione valuterà inoltre se, per ritenere compatibili determinate forme di sostegno alle imprese (ad esempio, aiuti per la trasformazione digitale), possa essere richiesta la condivisione di dati ai beneficiari dell’aiuto. Si tratta di un’interessante estensione dell’idea, sottostante la direttiva Open Data, in base alla quale in cambio del beneficio del finanziamento pubblico può essere giustificato richiedere obblighi di condotta riguardo alla condivisione dei risultati.
Va comunque ricordato che la stessa direttiva Open Data non prevede un totale obbligo di apertura a titolo gratuito, ma segue il principio “as open as possible, as closed as necessary”. In particolare, per la ricerca finanziata dal settore pubblico resta possibile, in linea generale, il successivo sfruttamento economico dei risultati in base a un regime di privativa. Così come presumibilmente resterà possibile limitare gli obblighi di accesso ai dati prodotti con il finanziamento pubblico laddove l’apertura possa comportare rischi in termini di sicurezza o una significativa perdita di valore per l’investimento europeo.
Restano naturalmente impregiudicati gli obblighi di accesso già previsti dal diritto antitrust europeo, in base al quale se l’impresa è in posizione dominante il rifiuto di concedere l’accesso ai dati che siano indispensabili per competere può costituire, in presenza di specifiche condizioni, una condotta abusiva. Le ulteriori questioni relative al potere delle piattaforme e all’opportunità o meno di introdurre regole ex ante, saranno affrontate nell’ambito del Digital Services Act a fine 2020.
Fattori abilitanti e competenze
In aggiunta alle misure per l’accesso ai dati, la strategia prevede iniziative riguardo ai fattori abilitanti dell’economia dei dati e al rafforzamento delle competenze. Non si tratta più, per questi ambiti, di definire il quadro giuridico quanto di adottare appropriate politiche di sostegno. In particolare, la Commissione contribuirà nel periodo 2021-2027 al finanziamento di spazi comuni europei di dati interoperabili nei settori strategici e alla realizzazione di infrastrutture cloud interconnesse. Sono inoltre previste iniziative per migliorare le condizioni di offerta di servizi cloud (ricognizione in un ‘cloud rulebook’ dei codici di condotta e delle certificazioni esistenti, sviluppo di standard e requisiti comuni per gli appalti pubblici relativi ai servizi di trattamento dei dati, sviluppo di un marketplace per i servizi cloud).
Iniziative settoriali per spazi comuni dei dati
Oltre alle misure orizzontali, la strategia della Commissione prevede lo sviluppo di spazi comuni europei dei dati in alcuni settori strategici e ambiti di interesse pubblico: la produzione industriale; il Green Deal europeo; la mobilità; la salute; la finanza; l’energia; l’agricoltura; la pubblica amministrazione; le competenze digitali.
Dettagli sulle iniziative previste in ciascun ambito sono contenuti nell’allegato della comunicazione. Sul piano del metodo, l’importanza attribuita alla dimensione settoriale è uno degli elementi qualificanti della strategia della Commissione. Proprio per il fatto che i dati sono un insieme estremamente eterogeneo e diversi sono i processi produttivi e gli utilizzi di interesse pubblico nei vari contesti, soltanto accompagnando le iniziative generali con micro-strategie settoriali si può pensare di modellare la governance dei dati in Europa in modo da portare i massimi benefici per i cittadini, le imprese e la società.
In una prospettiva settoriale, ad esempio, possono risultare giustificati specifici obblighi di condivisione dei dati, come già avviene nel settore della mobilità. Anche per il trattamento dei dati personali, le modalità generali di applicazione del GDPR possono in alcuni casi essere adattate mediante regole settoriali alla luce delle caratteristiche dello specifico ecosistema. Ad esempio, per gli scambi di dati tra veicoli necessari per i sistemi di trasporto intelligenti l’approccio generale del GDPR, basato su obblighi di informativa su base bilaterale, difficilmente sarebbe applicabile. Nel settore della sanità, iniziative mirate possono riuscire a conciliare un’elevata protezione dell’interessato con la circolazione delle informazioni necessarie per un più facile accesso del cittadino a servizi in altri Stati membri e per favorire, in contesti strettamente controllati, la ricerca per la prevenzione, la diagnosi e il trattamento delle patologie.