Data Spaces: gli ecosistemi di condivisione e gestione dei dati digitali sono uno degli obiettivi chiave della Strategia Europea dei Dati, così come l’ambito di maggior disciplina del Regolamento UE 2022/868, il Data Governance Act (DGA).
Si prevede che faciliteranno l’innovazione, la crescita economica e la trasformazione digitale, ruotando attorno alla “creazione di un quadro per la condivisione dei dati che rispetti la privacy, la sicurezza e altre considerazioni normative applicabili, promuovendo al contempo la collaborazione intersettoriale e l’interoperabilità”.
Sono molto complessi da gestire, va dunque accolta favorevolmente la recente guida dell’ENISA denominata “Engineering personal data protection in EU Data Spaces”), ove si vuole contribuire all’ingegnerizzazione degli aspetti di protezione dei dati personali negli Spaces.
Un documento per incentivare all’uso degli strumenti di condivisione dei dati che l’UE auspica di sempre maggior impiego, come visto sopra, per concretizzare una vera economa digitale data-driven.
Il potenziale dei Data Spaces sulla carta è enorme, tuttavia vi sono interrogativi e considerazioni da sciogliere sulle misure tecniche e organizzative “adeguate” al contesto e su come attuarle in pratica, sia dal punto di vista della protezione dei dati che da quello della cybersecurity.
ENISA interviene così con questo primo indirizzo, sicuramente non l’ultimo sul tema, per contestualizzare i principali principi di progettazione in materia di protezione dei dati personali e dimostrare come progettarne la protezione.
Da ultimo, ci si permette di rinviare – per comprendere e inquadrare meglio l’intero fenomeno degli spazi di dati – ai precedenti articoli già divulgati in questa sede:
- “Il Data Governance Act è applicabile: nuove opportunità e rischi della data economy”;
- “Utilizzo dei dati non personali: così l’Europa può farne emergere i mercati”.
- “Data spaces: come l’Europa favorisce e incoraggia la condivisione dei dati all’interno degli spazi europei”.
- “Data Act e Data Spaces: una sinergia dal grande potenziale ma con alcune ombre, ecco perché”.
Indice degli argomenti
ENISA e la guida privacy nei Data Spaces
Il documento appena pubblicato da ENISA si articola così:
- Introduzione: fornisce una panoramica del contesto e degli obiettivi del documento, includendo l’importanza degli spazi dati per l’economia digitale dell’UE e la necessità di integrare la protezione dei dati fin dalla fase di progettazione.
- Considerazioni di Data Protection nei Data Spaces: questa sezione esamina le specifiche sfide e opportunità legate alla protezione dei dati all’interno degli spazi dati, delineando i principi chiave del GDPR che devono essere osservati.
- Linee Guida per l’ingegnerizzazione della protezione dei dati: offre raccomandazioni dettagliate su come implementare misure tecniche e organizzative per garantire la conformità al GDPR e al Data Governance Act all’interno degli spazi dati.
- Casi di studio e applicazioni pratiche: presenta esempi concreti di come le linee guida possono essere applicate nella creazione e gestione di spazi dati, fornendo insights pratici per gli operatori del settore.
- Conclusione e prospettive future: conclude il documento con una riflessione sul futuro degli spazi dati nell’UE, considerando l’evoluzione normativa e le potenziali aree di sviluppo.
Non ripetiamo in questa sede concetti già delineati nei precedenti contributi sopra elencati, a cui rinviamo. Qui riprendiamo solo quanto affermato da ENISA, cioè che gli Spaces possono: promuovere l’accesso e il riutilizzo di determinate categorie di dati detenuti da enti pubblici che non possono essere resi disponibili come open data a causa di criticità data protection; garantire che gli intermediari dei dati fungano da facilitatori affidabili della condivisione o della messa in comune dei dati negli spazi di dati dell’UE; facilitare la condivisione dei dati, in particolare per consentire l’uso dei dati nel più ampio novero di settori e fini.
ENISA ricorda che i Data Spaces europei opereranno nel quadro delle politiche e del diritto dell’Unione esistenti, quindi, “è fondamentale individuare i punti in comune intersettoriali, la terminologia, i quadri di progettazione e di conformità comuni e articolare strumenti di ingegneria dei dati adeguati”.
Più che mai, per essere “accessibili e utilizzati nel modo più efficace e responsabile possibile”, gli spazi di dati devono essere progettati, impostati e gestiti in modo da fornire “un ambiente di trattamento sicuro e controllato, oltre che tecnicamente interoperabili con gli altri spazi”.
Altresì garantendo, se necessario, il rispetto del segreto commerciale, la protezione dei diritti di proprietà intellettuale di terzi e la protezione dei dati personali.
Quanto ai soggetti coinvolti, riepiloghiamo in poche parole chi è della partita, come disciplinati dal DGA:
- I titolari dei dati (cioè i soggetti che detengono legalmente i dati) e che sono soggetti all’obbligo di promuovere l’interoperabilità degli stessi;
- I fornitori intermediari di servizi di condivisione dei dati “facilitano lo scambio dei dati nel formato in cui li ricevono dal titolare dei dati e convertono i dati in formati specifici solo per migliorare l’interoperabilità all’interno dei settori e tra i settori o se richiesto dall’utente dei dati o ove richiesto dal diritto dell’Unione o per garantire l’armonizzazione con le norme internazionali o europee in materia di dati” – l’interoperabilità dovrebbe essere definita a livello UE e tenendo conto degli standard applicabili; gli intermediari dovrebbero assistere i titolari dei dati “nell’anonimizzazione o nella pseudonimizzazione dei dati personali, nella redazione e nell’esecuzione di accordi sulla condivisione dei dati personali o nell’agevolazione dell’esercizio dei diritti delle persone”;
- gli utenti dei dati cioè le persone fisiche o giuridiche che hanno accesso legittimo a determinati dati personali o non personali e hanno il diritto di utilizzare tali dati – ottenuti dall’intermediario – per scopi commerciali o non commerciali prefissati.
Nel documento troviamo una rappresentazione grafica di questo ecosistema.
Privacy e Data Spaces: ruoli e flusso dei dati personali
ENISA invita a studiare soprattutto un punto chiave di tutto l’ambito Data Spaces, ovvero i ruoli privacy dei soggetti appena visti, da mappare preventivamente. Potrebbe non essere possibile stabilire, con sufficiente certezza, “chi agisce in qualità di titolare del trattamento, se vi è più di un titolare del trattamento, che agisce in qualità di contitolari del trattamento, se esiste un responsabile del trattamento e se gli utenti dei dati sono destinatari dei dati”.
Il che richiede un’attenta focalizzazione sia su chi definisce gli scopi del trattamento, quale titolare ai sensi del GDPR (evitando la possibile differenza con il titolare ai sensi del DGA vista sopra), sia come avvenga la condivisione dei dati.
Altro aspetto da indagare sono i rischi per i dati nel flusso di uno Space, in particolare:
- privacy degli input: l’obiettivo è sia quello di consentire il trattamento dei dati de-identificati che sono stati condivisi, sia di garantire che l’ambiente di condivisione non permetta di re-identificare gli interessati;
- privacy degli output: ovvero impedire la re-identificazione dopo che le operazioni eseguite nell’ambiente di condivisione (lo Space) hanno avuto luogo.
La fase ingegneristica della protezione dei dati negli spazi condivisi, secondo ENISA, non va intesa meramente quale “strumento di conformità” e accountability. Offre altresì ai titolari del trattamento le opzioni concrete, tecnico-organizzative, per la condivisione stessa dei dati – riducendo al minimo il rischio di uso improprio delle informazioni, violazioni dei dati o altre minacce alla sicurezza.
L’equilibrio, difficile e delicato, che, come usuale, va trovato è quello tra protezione dei dati e la maggior condivisione possibile degli stessi. Nel tempo saranno fondamentali standard e buone prassi, tuttora in evoluzione, a sostegno della necessaria fiducia in tutta l’operazione di condivisione dei dati negli Spaces.
In definitiva, l’ottica della strategia esposta da ENISA è quella della minimizzazione dei dati, in chiave privacy by design e by default, limitando al massimo possibile l’uso di dati identificativi, senza perderne un certo valore conoscitivo.
L’intermediario dei dati e i rischi
Un altro aspetto critico è il ruolo di un intermediario di dati, in uno scenario di condivisione degli stessi: a questo soggetto spetta un non facile processo decisionale, soprattutto, in materia di mitigazione dei rischi.
La fase di identificazione dovrebbe essere espletata dal titolare, come di prassi, in fase di valutazione di impatto (DPIA). E l’intermediario, chiamato a risponderne, dovrebbe implementare misure come le PETs e ripartizioni dei trattamenti tra più soggetti separati.
L’ENISA focalizza i rischi possibili nel delegare l’attività a intermediari che potrebbero dover sub-condividere i dati con terzi (es. sub-responsabili): un conto è che l’intermediario si occupi di pseudonimizzare previamente i dati prima di trasferirli, altro conto è se l’intermediario delega tale attività al terzo (possibilità che introduce un nuovo vettore di rischio e va pertanto computato nella valutazione).
La prima opzione, invece, esige che “i titolari del trattamento che interrogano le serie di dati dall’intermediario dei dati debbano indicare all’intermediario dei dati esattamente come eseguire lo specifico schema di pseudonimizzazione in esame.
Successivamente, l’intermediario dei dati dovrebbe creare un’istanza ed eseguire autonomamente la pseudonimizzazione dei dati, fornendo solo il set di dati pseudonimizzato all’utente dei dati che esegue la query”. Quindi il rischio è ridotto a fronte di una maggior complessità di gestione.
L’agenzia richiama un ulteriore esempio di attualità, in ambito di intelligenza artificiale: nel caso di machine learning tramite ambiente federato di addestramento, il tutto deve essere “attuato e coordinato dal titolare del trattamento, in stretta collaborazione con l’intermediario dei dati che fornisce l’accesso ai luoghi di archiviazione dei dati. Se si deve utilizzare uno schema di anonimizzazione o di privacy differenziale per proteggere i dati dalla divulgazione, tale tecnica deve essere implementata presso il sito di memorizzazione dei dati”.
DPIA olistiche per i Data Spaces
La complessità dei casi d’uso è evidente: si pensi alle complicazioni di dover così redigere una DPIA con più titolari e intermediari, e che dovrebbe essere improntata a una visione olistica del sistema.
L’intermediario dei dati può svolgere l’analisi dei rischi per i propri sistemi e servizi una sola volta, fornendo automaticamente i rischi identificati e le informazioni pertinenti correlate ai titolari del trattamento coinvolti. I titolari possono dunque incorporare questo elenco di rischi nella propria DPIA.
Tutto qua? Per niente: si richiede di più della semplice concatenazione di elenchi di rischi indicati da titolari e responsabili del trattamento dei dati. Ulteriori rischi, difatti, possono derivare “dalla costellazione di entità che collaborano tra loro, e che quindi dipendono dalle esatte interazioni comprovate nel trattamento”. Questi rischi “inter-organizzativi” possono essere esaminati solo tramite le attività e le condivisioni viste nel loro complesso.
Eloquente è un esempio indicato dall’ENISA: il caso in cui i dati personali crittografati siano archiviati presso un responsabile del trattamento, con la chiave di crittografia corrispondente archiviata presso un altro responsabile del trattamento dei dati.
È vero che l’esecuzione della DPIA per ciascuno di questi separatamente può comportare rischi ridotti, tuttavia “se questi due responsabili del trattamento dei dati utilizzano lo stesso responsabile del trattamento dei dati per l’archiviazione effettiva, la combinazione di entrambe le istanze può diventare un grave rischio per il trattamento dei dati, poiché ora sia la chiave di decrittazione che i dati crittografati sono nelle mani della stessa organizzazione (e di tutti i suoi potenziali hacker che hanno accesso ai dati)”.
Accountability secondo ENISA e DGA
Il documento ENISA espone infine il decalogo per i punti di attenzione di un progetto Data Spaces che coinvolge dati personali:
- Identificazione chiara delle responsabilità e degli obblighi: i titolari dei dati devono rispettare gli obblighi previsti dal GDPR, stabilendo una base giuridica prima di condividere i dati personali; gli utenti dei dati devono anch’essi stabilire la base giuridica per il trattamento dei dati ricevuti, e tali aspetti andranno trattati nell’accordo condiviso alla base del Data Space.
- Governance interna della condivisione dei dati personali: necessità di una gestione efficiente delle responsabilità e degli obblighi relativi alla condivisione dei dati, inclusa la redazione di accordi e l’adozione di ulteriori misure tecniche e organizzative.
- Governance esterna cooperativa della condivisione dei dati personali: cooperazione tra titolari dei dati all’interno di organismi settoriali, autorità competenti, la Commissione europea e altri stakeholder per inquadrare meglio il riutilizzo dei dati e la gestione delle eventuali violazioni.
- Attuazione del programma di condivisione dei dati: definizione di politiche, procedure e misure per mantenere i titolari dei dati accountable durante la condivisione dei dati personali, mitigando i rischi associati.
- Progettazione di strumenti mirati di Data Sharing Accountability: riduzione dei rischi nella condivisione dei dati personali attraverso meccanismi di sicurezza ad hoc, e imposizione di due diligence agli utenti o titolari dei dati.
- Bilanciare sicurezza/mitigazione del rischio e qualità dei dati: integrazione della protezione dei dati nella progettazione di applicazioni e sistemi, assicurando che le misure di protezione non compromettano la qualità dei dati condivisi.
- Valutazione etica delle pratiche di condivisione dei dati: considerazione dei rischi e dei benefici della condivisione dei dati, evitando pratiche illegali o ingannevoli e valutando l’interesse pubblico se sussistente.
- Condivisione trasparente delle informazioni tra titolari e utenti dei dati: valutazione dei rischi da parte del destinatario dei dati e comunicazione chiara delle finalità del trattamento al titolare dei dati, oltre a eventuali salvaguardie aggiuntive.
- Definizione contrattuale delle pratiche di condivisione dei dati: stabilire chiaramente responsabilità e obblighi attraverso accordi di condivisione dei dati, derivanti dall’analisi caso per caso.
- Trasparenza nei confronti delle persone interessate: garanzia che le persone siano informate su come i loro dati personali vengono condivisi e riutilizzati, oltre all’informazione su come esercitare i loro diritti, con particolare enfasi sulla trasparenza delle decisioni di condivisione dei dati.
Casi d’uso nel settore farmaceutico
Siamo arrivati ai casi d’uso finali esposti dall’ENISA per una comprensione di un possibile approccio applicativo. Non possiamo qui che rimandare alla lettura del documento stesso per approfondimenti.
Ci limitiamo a segnalare che i casi afferiscono al settore sanitario-farmaceutico, per scopi di ricerca e analisi.
L’agenzia chiude il documento con due casi d’uso, ove si espongono applicazioni del processo di ingegnerizzazione appena descritto al settore – caldissimo – sanitario/farmaceutico. Come noto e ribadito più volte, uno degli ambiti che hanno maggiormente incentivato la normazione del DGA e lo sviluppo dei Data Spaces è proprio quello della ricerca in ambito sanitario (v. il progetto di regolamento European Health Data Space).
Qui il documento suggerisce alcuni elementi di valutazione del caso, come la suddivisone e l’incrocio dei dati condivisi in un progetto di Data Space per la ricerca e l’analisi sull’efficienza dei prodotti farmaceutici.
L’esempio è quello di “uno scenario, si ipotizza la condivisione dei dati in cui il mascheramento e la generalizzazione sono eseguiti dai titolari dei dati, prima di condividere i set di dati con l’intermediario dei dati.
Uno degli obiettivi di progettazione è che “l’intermediario sia in grado di rispondere alle richieste dell’utente dei dati (autorità nazionale di regolamentazione), senza essere in grado di identificare o individuare le persone”.
Si delinea l’applicazione di tecniche di pseudonimizzazione, tenendo conto dei rischi residui di re-identificazione dei dati a causa dei quasi-identificatori (dati che, combinati, possono rivelare l’identità) – i quali vengono a loro volta mascherati con altre tecniche.
Non possiamo dilungarci in questa sede nelle analisi dei casi d’uso e alle tecniche di protezione ivi descritte, rinviando alla lettura della guida ENISA per approfondimenti.
Ci limitiamo a segnalare che per l’ENISA due obiettivi di progettazione chiave sono:
- che l’intermediario sia in grado di rispondere alle richieste degli utenti dei dati (istituti di ricerca, nel caso), senza essere in grado di identificare o individuare le persone;
- che gli utenti dei dati non siano in grado di identificare o isolare gli individui, ma non siano nemmeno in grado di correlare i dati. Il tutto “tramite tecniche specifiche di ingegneria della protezione dei dati di mascheramento, al momento della condivisione dei dati”.
Conclusioni
ENISA ha pubblicato un valido e utile documento che espone determinate, possibili criticità privacy nella gestione dei dati personali nei Data Spaces. Fornisce una disamina di alto livello che ben fa comprendere quali siano i necessari punti di riflessione nell’ambito di condivisione dei dati.
Il punto è – come si sarà intuito dalla lettura – che non rappresenta un vero e proprio framework, con il dovuto dettaglio, di gestione dei dati personali in maniera sicura. Bensì di un input “strategico” sul come strutturare un framework e un’analisi di un progetto di Data Space, oltretutto rinviando ad altri documenti ENISA per studiare e applicare le tecniche di protezione specifiche.
Rappresenta un autorevole punto di vista che fornisce importanti insight sul processo e attendiamo che l’agenzia prosegua questo percorso con ulteriori contributi, di maggior dettaglio, e che possano guidare più esaustivamente i partecipanti di un Data Space nella più corretta e ampia valutazione.
I rischi sono rilevanti e non avere maggiori certezze “autorevoli” in merito potrebbe rallentare i desiderati atti di condivisione dei dati come auspicata dalla politica UE.