Lo scorso 25 novembre, con l’intento di promuovere la fruibilità dei dati all’interno dell’Unione Europea, la Commissione ha pubblicato la propria proposta di regolamento in materia di data governance (più comunemente nota come “Data Governance Act”).
Alla base della Proposta, che mira a contribuire alla creazione di un vero e proprio Spazio Comune Europeo per i dati, uniformando le azioni dei singoli Stati membri in un ambito sempre più strategico e vitale per il tessuto sociale ed economico dell’UE, sussiste la diffusa consapevolezza circa l’enorme potenziale connesso ad un’efficace condivisione dei dati e delle informazioni.
Obiettivo certamente ambizioso, che non può sfuggire alle regole già vigenti in materia di protezione dei dati ma che, al contrario, richiederà una forte connessione tra le fonti normative applicabili.
“Data Governance” e obiettivo della Proposta
Preliminarmente si evidenzia che con il concetto di data governance si intende l’insieme di regole che disciplina l’utilizzo dei dati, anche attraverso appositi accordi e standard tecnici. Parallelamente al più ampio concetto di “utilizzo” dei dati si pone quello di “condivisione” degli stessi. Tale condivisione, punto focale del Data Governance Act, necessita evidentemente di strutture e processi che assicurino standard di sicurezza adeguati per tutti i soggetti coinvolti. Le descritte premesse si collocano alla base della Proposta formulata dalla Commissione europea.
Che cosa prevede il data governance act
Riutilizzo dei dati detenuti dagli enti pubblici
La Proposta mira, anzitutto, a disciplinare il riutilizzo di alcune categorie di dati originariamente detenute da parte degli enti pubblici. In particolare, proprio nel segno di quella condivisione che si pone alla base del Data Governance Act, si prevede che tale riutilizzo non possa essere vincolato a logiche di esclusività, che potrebbero sussistere solo in via eccezionale (per la tutela del pubblico interesse) e per un lasso temporale limitato.
Allo stesso tempo, le descritte finalità di condivisione non potrebbero compromettere i diritti e le libertà degli individui, con la conseguenza che risulterà necessario stabilire condizioni per il riutilizzo che risultino non discriminatorie, proporzionate rispetto alle categorie di dati impattati e agli scopi del riutilizzo, nonché, ove necessario, conformi alle prescrizioni proprie del GDPR. L’ente pubblico “cedente”, in particolare, dovrà essere in grado di verificare i risultati del trattamento dati effettuato dal “riutilizzatore”, riservandosi il diritto di vietarne l’utilizzo nel caso in cui si ravvisi un pericolo per i diritti coinvolti.
Nell’ambito di tali funzioni, gli enti pubblici potranno essere supportati da uno o più organismi competenti individuati dagli Stati membri. Gli Stati membri dovranno anche premunirsi di individuare un unico punto di contatto per la ricezione e conseguente valutazione delle richieste di riutilizzo pervenute.
La fornitura dei servizi di data sharing
Per data sharing si intende la libera condivisione dei dati nello spazio economico europeo tra soggetti pubblici e privati. La Proposta prevede che, al fine di garantire la protezione dei dati coinvolti in tale condivisione, è necessario che i soggetti fornitori dei servizi di data sharing siano sottoposti ad una rigida procedura di notifica. A tanto si aggiunga che, nella medesima ottica, i singoli Stati membri saranno chiamati a implementare strumenti e soluzioni tecniche uniformi (quali, a mero titolo esemplificativo, standard di anonimizzazione o l’adozione di appositi accordi di riservatezza) da predisporsi preliminarmente al trasferimento dei dati.
Superato il suddetto iter di notifica e verifica da parte delle autorità competenti, le figure dei data sharing providers, fornitori di servizi di condivisione dei dati, si occuperanno quindi di raccogliere ed organizzare i dati in modo neutrale, con espresso divieto di cessione dei dati per scopi propri (ad esempio vendendoli a un’altra impresa o utilizzandoli per sviluppare il proprio prodotto sulla base di questi dati). Le autorità pubbliche controlleranno il rispetto dei requisiti necessari per la fornitura dei servizi in esame e la Commissione terrà un registro dei fornitori autorizzati.
Dati messi a disposizione per “fini altruistici”
Il capitolo quarto della Proposta contempla le cosiddette “data altruism organisation”, entità giuridiche costituite per soddisfare interessi generali, che operano senza scopo di lucro e che svolgono attività relative all’“altruismo dei dati” attraverso una struttura giuridicamente indipendente. In buona sostanza, per “altruismo dei dati” si intende la circostanza in cui gli interessati al trattamento abbiano acconsentito al trasferimento ed alla condivisione di dati personali che li riguardano per finalità di interesse generale (quali la ricerca scientifica o il miglioramento dei servizi pubblici), senza richiedere alcun compenso.
Al pari dei fornitori dei servizi di data sharing, anche le organizzazioni in esame sono sottoposte a rigide procedure di accreditamento e controllo del proprio operato da parte delle autorità competenti.
European Data Innovation Board
La Proposta prevede anche la creazione di un Comitato europeo per l’innovazione dei dati per facilitare la condivisione delle migliori pratiche tra le autorità degli Stati membri, in particolare per quanto riguarda la condivisione a scopi altruistici. Tale Comitato dialogherà con la Commissione soprattutto per quanto attiene alla definizione degli standard che regoleranno le best practices per la materia in esame.
Come si colloca la Proposta all’interno del vigente quadro normativo comunitario?
Se, in un primo momento, l’Unione si è prefissata il compito di stabilire i pilastri in materia di trattamento dati (sia dati personali che non personali), mediante la formalizzazione della Proposta compie un passo in avanti, determinando le regole alla base dell’interazione e della condivisione del “mondo dati”.
Tale obiettivo deve però essere perseguito senza intaccare la fiducia dei soggetti coinvolti. Necessità che la Commissione pone chiaramente al centro della propria Proposta, all’interno della quale, in più di un’occasione, si prevedono misure a tutela della privacy degli interessati (persone fisiche), senza trascurare gli aspetti della riservatezza e dello sfruttamento economico dei dati tipici del mondo dell’impresa.
Anche la scelta di intervenire tramite lo strumento del “regolamento”, direttamente applicabile all’interno degli Stati membri, è un chiaro indicatore di come la Commissione non voglia in alcun modo compromettere l’uniformità di interventi necessaria per coronare un progetto così importante ed ambizioso.
Risulterebbe proprio l’affidabilità, infatti, frutto della necessaria coesistenza tra il Data Governance Act, il GDPR ed il vigente quadro normativo comunitario in materia, a favorire lo scambio di dati provenienti da tutta l’Unione Europea, sia dal settore pubblico che dalle imprese, per l’effetto stimolando così lo sviluppo di nuovi prodotti e servizi tali da rendere l’UE sempre più protagonista nello scacchiere internazionale.
Conseguenze e scenari ipotizzabili
Il Data Governance Act aspira a fornire uno strumento fondamentale per permettere all’Unione Europa di farsi trovare pronta nell’era della condivisione dei dati.
In primo luogo, si stima che la Proposta in esame dovrebbe garantire enormi benefici in termini economici alle imprese, le quali potranno beneficiare di costi ridotti per l’acquisizione, l’integrazione e l’elaborazione dei dati e, nell’ottica di implementare la “European competition policy”, di minori barriere all’ingresso nei mercati.
In egual modo, i singoli cittadini europei potranno beneficiare di soluzioni più efficienti alle sfide sociali. Nel settore della salute, ad esempio, la fruibilità e la condivisione dei dati all’interno dello European Data Space (“EDS”) contribuiranno a fornire una migliore assistenza sanitaria, a migliorare i trattamenti personalizzati e ad aiutare a curare malattie rare o croniche.
Tale obiettivo, certamente ambizioso, dovrà contare su una forte connessione tra le previsioni normative comunitarie in materia di dati, nonché su sostanziosi investimenti che possano fornire concretezza al testo di legge. In merito a quest’ultima circostanza, si segnala che, sin dal febbraio 2020, sono stati individuati nove settori strategici per l’EDS: energia, agricoltura, mobilità, finanza, produzione, pubblica amministrazione e competenze. Settori che potranno giovarsi dei finanziamenti disposto dal programma Digital Europe e dal Connecting Europe Facility, con una stima di investimento pari a 2 miliardi di euro per promuovere lo sviluppo di infrastrutture, strumenti, architetture e meccanismi per la condivisione.
