È stato approvato dal Parlamento europeo, nella seduta di ieri, il testo del Data Governance Act (o DGA). Si tratta del primo regolamento sui dati approvato nel contesto della Strategia sui dati dell’Unione Europea, finalizzata a creare uno spazio digitale europeo che consenta alle organizzazioni – siano esse di natura privata o pubblica – di condividere i dati, garantendo l’implementazione di prodotti e servizi forniti in settori strategici come sanità, ambiente, energia, agricoltura, mobilità, industria o finanza.
Nello specifico, il Data Governance Act, cui seguiranno una serie di ulteriori misure, già annunciate nel 2020, si pone quale scopo ultimo quello di aumentare la disponibilità dei dati all’interno dei settori considerati maggiormente strategici, e di accrescere la fiducia nei confronti degli intermediari che si occupano di facilitare lo scambio di detti dati.
Scambio dati EU-Usa, prudenza sul nuovo accordo: i timori di EDPB
Indice degli argomenti
Gli obiettivi del Data Governance Act
Come anticipato, il Data Governance Act è il primo strumento regolamentare approvato nell’ambito della strategia di creazione di uno spazio europeo di condivisione dei dati nei settori strategici, come la sanità o la mobilità.
Nello stesso testo della proposta, si specifica che il DGA “è volto a promuovere la disponibilità dei dati utilizzabili rafforzando la fiducia negli intermediari di dati e potenziando i meccanismi di condivisione dei dati in tutta l’UE”.
In particolare, l’obiettivo è quello di:
- mettere a disposizione dei dati del settore pubblico per il riutilizzo, nel caso in cui tali dati siano oggetto di diritti di terzi;
- condividere i dati tra le imprese, dietro la prestazione di un compenso in qualsiasi forma;
- permettere di prestare il consenso all’utilizzo dei dati personali, con l’ausilio di un “intermediario per la condivisione dei dati personali”, il cui compito consiste nell’aiutare i singoli individui a esercitare i propri diritti a norma del regolamento generale sulla protezione dei dati;
- permettere di prestare il consenso all’utilizzo dei dati per scopi altruistici.
Il Data Governance Act va ad integrare, poi, quanto già previsto dalla Direttiva UE 2019/1024, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico, ritenuta – nonostante le modifiche intercorse nel corso degli anni – non adeguatamente sufficiente a disciplinare le attuali necessità dei principali settori strategici, essendo profondamente mutati i contesti tecnologici e sociali, ed essendo intervenute ulteriori normative di settore che richiedono un’armonizzazione legislativa generale.
Inoltre, data la crescente digitalizzazione dell’economia e della società, “vi è il rischio”, si legge nel testo, “che gli Stati membri adottino normative in materia di dati prive di coordinamento, il che accentuerebbe la frammentazione del mercato interno. L’istituzione di strutture e meccanismi di governance volti a creare un approccio coordinato per l’utilizzo dei dati in tutti i settori e in tutti gli Stati membri aiuterà i portatori di interessi dell’economia dei dati a trarre vantaggio dalle dimensioni del mercato unico. Ciò contribuirà alla creazione del mercato unico per i dati, garantendo lo sviluppo e il funzionamento transfrontaliero di nuovi servizi mediante una serie di disposizioni armonizzate”.
Le imprese, infatti, hanno spesso bisogno di ottenere dati provenienti da diversi Stati membri al fine di sviluppare prodotti e servizi, non essendo sufficienti i dati disponibili a livello nazionale, o richiedendo il prodotto o il servizio di essere calibrato sulle preferenze dei clienti di un altro Stato membro. “È perciò necessario”, si afferma, “che i dati possano circolare facilmente attraverso catene del valore intersettoriali e a livello dell’UE ed è pertanto essenziale un contesto legislativo altamente armonizzato”.
Le misure di tutela dei dati previste dal DGA
Al fine di consentire lo scambio sicuro dei dati, il Data Governance Act introduce una serie di condizioni e di paletti da rispettare per consentire agli enti pubblici di riutilizzare determinate categorie di dati di cui dispongono per finalità diverse da quelle per le quali gli stessi dovrebbero essere riutilizzati: si tratta, in particolare, dei dati tutelati dal segreto commerciale, dal segreto statistico, dalle normative sulla tutela della proprietà intellettuale, o dalle leggi sulla protezione dei dati personali.
Vediamo, dunque, che oggetto del DGA non sono esclusivamente i dati personali (cui, invece, fa riferimento il GDPR, normativa di assoluto rilievo nel panorama legislativo europeo) ma tutti i dati ritenuti particolarmente “sensibili” per differenti motivazioni.
Nel testo del Data Governance Act, inoltre, si affronta anche il delicato tema della condivisione dei dati che non possono essere resi disponibili come “open data”: a tal riguardo si prevede che gli enti pubblici che consentano il riutilizzo dei dati devono garantire la tutela dei diritti e degli interessi di terzi, mediante l’implementazione di misure tecniche, come l’anonimizzazione o la creazione di ambienti di trattamento dei dati sicuri, oppure facendo ricorso a basi giuridiche che consentano il riutilizzo dei dati, come il consenso degli interessati.
Il consenso, inoltre, potrà essere raccolto mediante un modulo europeo comune, sviluppato dalla Commissione Europea, che consentirà di ridurre i costi di raccolta del consenso medesimo e semplificherà la portabilità dei dati.
A ciò deve aggiungersi il divieto di siglare accordi o altre prassi relativi al riutilizzo di dati detenuti da enti pubblici che concedono diritti esclusivi “o che hanno per oggetto o per effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di entità diverse dalle parti di tali accordi o altre pratiche”.
L’unico caso in cui può essere concesso un diritto esclusivo di riutilizzo dei dati riguarda la fornitura di un servizio o di un prodotto di interesse generale, seppur con delle limitazioni.
SI impongono, poi, degli obblighi in capo agli intermediari che si occupano di facilitare la condivisione e lo scambio dei dati, sia personali che non. “Un elemento essenziale per infondere fiducia e garantire maggiore controllo ai titolari e agli utenti dei dati nei servizi di condivisione dei dati” si legge nel testo, “è la neutralità dei fornitori del servizio di condivisione dei dati riguardo ai dati scambiati tra titolari e utenti dei dati. È pertanto necessario che i fornitori di servizi di condivisione dei dati agiscano solo in qualità di intermediari nelle transazioni e non utilizzino per nessun altro fine i dati scambiati. Ciò renderà altresì necessaria una separazione strutturale tra il servizio di condivisione dei dati e qualsiasi altro servizio fornito, in modo tale da evitare problemi di conflitto di interessi. Ciò significa che il servizio di condivisione dei dati dovrebbe essere fornito mediante un’entità giuridica distinta dalle altre attività di tale fornitore di servizi di condivisione dei dati. I fornitori di servizi di condivisione dei dati che agiscono da intermediari tra i singoli individui, quali i titolari dei dati, e le persone giuridiche dovrebbero inoltre avere l’obbligo fiduciario nei confronti dei singoli individui di garantire che agiscono nel migliore interesse dei titolari dei dati”.
Si richiede, dunque, agli intermediari di assumere un ruolo assolutamente neutrale, che eviti la nascita di figure “ibride” che rivestono sia il ruolo di intermediario nello scambio che di titolare dotato di interessi e finalità proprie.
Ad un’autorità competente designata dagli Stati membri sarà poi affidato il compito di garantire il rispetto del requisito di neutralità, e di irrogare le dovute sanzioni pecuniarie ed amministrative in caso di violazione delle prescrizioni normative (come ammende, penalità di mora, e provvedimenti di interruzione coatta del servizio).
Si prevede, poi, l’istituzione di un “registro delle organizzazioni per l’altruismo dei dati riconosciute” cui sarà possibile registrarsi solo in presenza di una serie di requisiti e dimostrando il rispetto di specifici obblighi di trasparenza e di tutela dei diritti e degli interessi degli interessati.
La creazione di un registro istituzionale di intermediari affidabili consentirà di far aumentare la fiducia nei confronti di dette organizzazioni, le quali si occupano di semplificare la condivisione volontaria dei dati perseguendo il bene comune. Nel caso in cui uno degli intermediari venga meno agli obblighi previsti dal DGA, potrà essere cancellato dal registro.
Infine, si prevede l’istituzione del “Comitato Europeo per l’innovazione in materia di dati”, un gruppo di esperti costituito da rappresentanti delle autorità competenti di tutti gli Stati membri, del Comitato Europeo per la protezione dei dati, della Commissione Europea “e degli spazi di dati pertinenti, nonché da altri rappresentanti di autorità competenti di settori specifici”.
A detto comitato vengono affidati compiti di consiglio e assistenza:
- nello sviluppo di prassi coerenti per l’applicazione delle disposizioni del regolamento;
- nella definizione delle priorità “da attribuire alle norme intersettoriali da utilizzare e sviluppare per l’utilizzo dei dati e la condivisione intersettoriale dei dati, alla comparabilità e allo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e alle procedure di accesso, tenendo conto delle attività di normazione specifiche per settore”;
- nel rafforzamento dell’interoperabilità dei dati e dei servizi di condivisione dei dati tra diversi settori e ambiti;
- nella definizione di metodi per lo scambio efficiente di informazioni relative alla procedura di notifica prevista in capo ai fornitori di servizi di condivisione dei dati (ossia, una dichiarazione dell’intenzione degli stessi di fornire tali servizi), e alla registrazione e al monitoraggio delle organizzazioni riconosciute nel registro precedentemente citato.
Il potenziale di crescita dei dati
Secondo le previsioni svolte dalla Commissione Europea e riassunte nelle infografiche sinora rese disponibili, le nuove regole previste dal DGA avranno un impatto rilevante sull’economia europea e sulla società.
Si prevede, in particolare:
- l’incremento delle produttività nel settore manifatturiero di 1,3 trilioni di euro, mediante i dati dell’Internet of Things, entro il 2027;
- un incremento del volume dei dati globali, entro il 2025, di cinque volte il volume attuale, fino a un quantitativo di 175 zettabyte;
- 120 miliardi di euro di risparmi annui nel settore della sanità;
- un PIL supplementare di 270 miliardi di euro entro in 2028;
- una crescita della produttività, per le imprese che investono nell’innovazione basata sui dati, più rapida del 5-10% rispetto alle concorrenti;
- un risparmio, nei settori dei trasporti, dell’edilizia e dell’industria, grazie all’analisi in tempo reale dei dati, dal 10 al 20 per cento.
I consumatori e le imprese beneficeranno, inoltre, grazie alla più agevole condivisione dei dati, di prezzi più bassi per i servizi post-vendita e per la riparazione degli oggetti connessi alla rete; nuove opportunità di utilizzare servizi basati sull’accesso ai dati; accesso migliorato ai dati raccolti o prodotti da un dispositivo.