normativa

Data Governance Act ora applicativo: così cambia l’economia digitale

Home
Indirizzo copiato

L’applicabilità del DGA rappresenta un passo verso la realizzazione di un framework normativo unitario per la realizzazione di una data economy europea

Pubblicato il 22 set 2023
Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Privacy,Concept:,Closed,Digital,Lock,Key,On,Digital,Background.,3d

Il 24 settembre 2023 con la piena applicabilità del Data Governance Act (DGA) entra vigore il framework normativo che farà da impalcatura al funzionamento dello Spazio comune europeo dei dati, già prefigurato nella Comunicazione della Commissione UE del 19 febbraio 2020 e richiamato nel considerando 2 del DGA.

Diversamente dal momento in cui il GDPR è diventato efficace e pienamente applicabile, il Data Governance Act non dispone degli obblighi di adeguamento nell’immediato, ma offre delle opportunità per tutti coloro che vogliano accedere alla data economy utilizzando i dati (personali e non personali) che legittimamente detengono.

dilaxia_ig_compliance

Privacy, anticipiamo il futuro: un nuovo approccio è necessario

Cosa prevede il DGA

Il Regolamento UE 2022/868, meglio noto come Data Governance Act, o DGA, definisce le regole e le condizioni che l’Europa ha adottato in materia di data sharing, individuando tre pilastri: il riutilizzo dei dati pubblici, i servizi di intermediazione di dati, l’altruismo dei dati. In altre parole, l’Europa fissa le modalità attraverso le quali i soggetti – pubblici e privati – che intendano contribuire alla creazione di una data economy, possano procedere alla condivisione dei dati (personali e non personali).

Gli obiettivi

La Commissione, infatti, nella sua comunicazione del 2020 ha anticipato l’intenzione di procedere alla creazione di spazi comuni europei di dati individuando una serie di settori quali “la sanità, la mobilità, l’industria manifatturiera, i servizi finanziari, l’energia o l’agricoltura, o una combinazione di tali settori, ad esempio l’energia e il clima, nonché ambiti strategici quali il Green Deal europeo o gli spazi europei di dati per la pubblica amministrazione o le competenze”. L’azione ha l’obiettivo di garantire all’interno dell’Unione il rispetto dei «principi FAIR per i dati», rendendo i dati reperibili (Findable), accessibili (Accessible), interoperabili (Interoperable) e riutilizzabili (Reusable), garantendo nel contempo un elevato livello di cybersicurezza.

L’assunto della Commissione per lo sviluppo del mercato unico è che, in un mercato dei dati che sia equamente concorrenziale, “le imprese competono sulla qualità dei servizi e non sulla quantità dei dati che controllano. Ai fini della progettazione, della creazione e del mantenimento delle condizioni di parità nell’economia dei dati, è necessaria una solida governance in cui i portatori di interessi di uno spazio comune europeo di dati devono partecipare ed essere rappresentati”.

In alcuni settori, come quello sanitario, sono stati presentati gli atti legislativi per la creazione degli spazi europei dei dati[1], mentre nel settore dei trasporti è stata avviata un’azione preparatoria per la costituzione del Mobility Data Space. Il Data Governance Act, pertanto, rappresenta solo l’inizio di un percorso molto più ampio e che comprende anche il Data Act, la cui proposta di regolamento non ha ancora completato l’iter legislativo.

Il riutilizzo di categorie di dati protetti detenuti da enti pubblici

Gli enti pubblici potranno, ad esempio, valorizzare il patrimonio informativo imponendo delle tariffe per l’accesso e l’utilizzo dei dati, a condizione che le stesse siano trasparenti, eque, competitive e che consentano l’accesso alle PMI, le start-up e le istituzioni di ricerca scientifica. Gli enti pubblici, naturalmente, già da tempo consentono l’accesso e il riutilizzo dei loro dati, sulla base delle norme sulla trasparenza amministrativa e all’interno del perimetro delineato dalla direttiva Open Data. Il DGA punta ad estendere tale perimetro e fissare le condizioni per l’accesso e il riutilizzo. Infatti, si tratta dei dati detenuti da enti pubblici, che attualmente sono protetti per motivi di:

  1. riservatezza commerciale, compresi i segreti commerciali, professionali o d’impresa;
  2. riservatezza statistica;
  3. protezione dei diritti di proprietà intellettuale di terzi;
  4. protezione dei dati personali, nella misura in cui tali dati non rientrano nell’ambito di applicazione della direttiva (UE) 2019/1024.

L’obiettivo della Commissione è quello di favorire la nascita di nuove imprese e l’offerta di nuovi servizi in una cornice regolatoria omogenea a livello europeo, ampliando gli effetti benefici che si sono prodotti con la direttiva (UE) 2019/1024.

Tale direttiva prevedeva fin dal considerando 13 che “L’informazione del settore pubblico o le informazioni raccolte, prodotte, riprodotte e diffuse nell’ambito di un compito di servizio pubblico o di un servizio di interesse generale sono un’importante materia prima per i prodotti e i servizi imperniati sui contenuti digitali e diventeranno una risorsa contenutistica ancora più importante con lo sviluppo di tecnologie digitali avanzate, tra cui l’intelligenza artificiale, le tecnologie di registro distribuito e l’Internet delle cose. In tale contesto sarà fondamentale anche un’ampia copertura geografica oltre i confini nazionali. Si prevede che maggiori possibilità di riutilizzo di tali informazioni consentano, tra l’altro, a tutte le imprese dell’Unione, incluse le microimprese e le PMI, come pure alla società civile, di sfruttarne il potenziale e contribuire allo sviluppo economico nonché alla creazione e alla salvaguardia di posti di lavoro di qualità, in particolare a vantaggio delle comunità locali, come anche a importanti obiettivi sociali quali la responsabilizzazione e la trasparenza”.

Il DGA, in questo senso, amplia lo spettro dei dati accessibili e riutilizzabili e potrebbe consentire lo sviluppo di altri servizi utili nella data economy.

I servizi di intermediazione e scambio di dati

Accanto al riuso dei dati degli enti pubblici, il DGA disciplina le modalità attraverso le quali potranno essere offerti i servizi di intermediazione e scambio di dati nonché i controlli sul settore al fine di garantire i requisiti di sicurezza fissati dal Regolamento. Le società che vorranno operare in tale settore dovranno notificare all’Autorità competente per i servizi di intermediazione dei dati la loro attività, seguendo la procedura descritta dall’art. 12 DGA.

La regolamentazione sui servizi di intermediazione dei dati è una delle novità più interessanti del DGA, in quanto, consente ai titolari dei dati di valorizzare il proprio patrimonio informativo attraverso la messa a disposizione dei dati personali e non personali che detengono e che, legittimamente, possono condividere.

All’interno del DGA mutano le definizioni dei soggetti e, in particolare, il titolare del dato è definito come “la persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l’interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell’Unione o nazionale applicabile, ha il diritto di concedere l’accesso a determinati dati personali o dati non personali o di condividerli”.[2]

Si comprende che il titolare dei dati è una categoria diversa rispetto titolare del trattamento disciplinato dal GDPR sia per la tipologia di dati (personali e non personali) sia per il perimetro stesso, costituito dai dati sui quali ha il diritto di concedere l’accesso o di condividerli.

Diversamente, il titolare del trattamento definito dal GDPR è il soggetto che, in relazione ai soli dati personali, definisce finalità e mezzi del trattamento (inteso come qualsiasi operazione su dati personali e non limitatamente all’accesso di terzi o alla loro comunicazione).

Nella definizione del titolare dei dati si intuisce il disegno del legislatore su come il DGA andrà ad intersecarsi con il GDPR e con il Data Act. Infatti, è il GDPR a definire le condizioni e il diritto per consentire l’accesso o la trasmissione dei dati personali, mentre il Data Act con la previsione del diritto di portabilità e di accesso dei dati generati dai dispositivi intelligenti, consentirà di valorizzarli, con il limite del rispetto del segreto industriale.

Il rapporto tra DGA e GDPR

In relazione ai dati personali, occorre ricordare il ruolo dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea da cui deriva l’impianto del GDPR che sottolinea la centralità dell’individuo e il diritto inalienabile di mantenere il controllo sui propri dati personali. Questa impostazione è presente nel DGA, prevedendo per ciascuna delle modalità di condivisione e riutilizzo dei dati che, laddove siano coinvolti dati personali, sia garantito agli interessati di essere informati nei casi in cui siano identificati nonostante le misure di pseudonimizzazione e/o anonimizzazione adottate e che sia chiesto loro il consenso laddove non vi siano altre basi giuridiche per il trattamento dei loro dati ai sensi del GDPR.

Lo sviluppo di soluzioni tecniche che siano in linea con le esigenze di sicurezza e riservatezza nonché di controllo dei dati da parte degli interessati è, nei fatti, un primo stimolo allo sviluppo del mercato digitale europeo, come suggerito dallo stesso DGA nella descrizione dei servizi di intermediazione dei dati. Questi sono, infatti descritti come “un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall’altro, anche al fine dell’esercizio dei diritti degli interessati in relazione ai dati personali”[3].

L’articolo 10 individua i servizi di intermediazione dei dati che sono soggetti alla procedura di notifica, individuando:

  • Servizi di intermediazione tra i titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l’utilizzo congiunto dei dati, nonché l’istituzione di altra infrastruttura specifica per l’interconnessione di titolari dei dati con gli utenti dei dati”.
  • Servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali o persone fisiche che intendono mettere a disposizione dati non personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, permettendo in particolare l’esercizio dei diritti degli interessati di cui al regolamento (UE) 2016/679.
  • Servizi di cooperative di dati, intesi quali “servizi di intermediazione dei dati offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, che sono membri di tale struttura, avente come obiettivi principali quelli di aiutare i propri membri nell’esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l’autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali.”

Un nuovo banco di prova per il GDPR

Il DGA rappresenta, a tutti gli effetti, un nuovo banco di prova per il GDPR in quanto fissa le condizioni giuridiche per la libera circolazione dei dati personali (e non personali) e la loro valorizzazione, con un approccio che mira a tutelare i diritti degli individui e al tempo stesso favorire la costruzione di un mercato accessibile, equo e contendibile.

Il mondo della data protection nella sua accezione più ampia, costituita da giuristi, interpreti, operatori, DPO, tecnici, avrà l’importante compito di individuare le modalità giuridiche e operative (tecniche e di processo) per consentire il perseguimento di tali finalità. Non è un caso che l’Autorità Garante per la protezione dei dati abbia inserito nel calendario ispettivo del secondo semestre del 2023 la verifica delle tecniche di anonimizzazione e pseudonomizzazione adottate nell’ambito del data sharing relativo ai settori della ricerca scientifica e statistica, in quanto sono settori strettamente legati alle nuove normative.

In tale contesto, le soluzioni tecniche e organizzative per garantire il rispetto dei diritti degli interessati e le modalità per la raccolta e gestione dei consensi secondo i parametri indicati dall’art. 7 GDPR rafforzeranno la loro centralità. La riuscita dello sviluppo dei tre pilastri individuati dal DGA, infatti, potrebbe consentire un domani agli operatori dei sistemi di intelligenza artificiale di poter accedere a banche dati che siano rispettose dei principi di protezione dei dati personali e, al tempo stesso, dei diritti di proprietà intellettuale. Su tale aspetto, rappresentato anche dalla qualità dei dati che l’Europa sarà in grado di offrire, si misurerà la riuscita della strada tutta europea di bilanciamento tra i diritti individuali, la tutela della proprietà intellettuale e la “fame di dati” dei nuovi sistemi.

Note

[1] Si veda la proposta di Regolamento COM(2022) 197 final – 2022/0140(COD) – sullo spazio dei dati sanitari.

[2] Art. 2 n. 8) DGA

[3] Art. 2 n. 11) DGA

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • algoritmi e Discriminazioni

    GiuriMatrix: un'IA imparziale per il settore legale

    07 Dic 2023

    di Pierluigi Casale, Francesco Cozza, Michele Filippelli e Luigi Viola

    Condividi

Prossimo

GiuriMatrix: un'IA imparziale per il settore legale

Articolo 1 di 2