Sotto la guida della presidenza ceca, sarebbe stato raggiunto, stando a quanto riportato da Euractiv, un nuovo testo di compromesso per il Data Act, uno dei regolamenti che andranno a costituire, congiuntamente al Data Governance Act, al GDPR, al Digital Markets Act e al Digital Services Act, il quadro generale della Strategia digitale europea.
Uno degli obiettivi principali perseguiti dal Data Act è quello di favorire l’accesso, da parte dei soggetti pubblici, ai dati (non solo personali) detenuti dai privati, in casi di eccezionalità nei quali l’accesso al dato si riveli necessario “al fine di sostenere politiche e servizi basati su dati concreti, efficaci, efficienti e orientati ai risultati”.
Ad ogni modo, resta di primaria importanza garantire la tutela degli interessi delle imprese, evitando che dette ipotesi di accesso possano andare a configurare fenomeni di abuso; è proprio in questa direzione che si muove l’ultima modifica proposta al testo, finalizzata a ridurre il campo di applicazione del Capo V ove si indicano le ipotesi di accesso ai dati, oltre alla migliore definizione del concetto di “necessità eccezionale” che andrebbe a legittimare la condivisione dei dati.
È bene ricordare, inoltre, che il Regolamento non si applica nel caso in cui sia in gioco la sicurezza nazionale.
Tutela dei dati personali e altri diritti: ecco perché servono contemperamento ed equilibrio
Indice degli argomenti
Data Act: le condizioni per l’uso e l’accesso ai dati
Oggetto delle modifiche, come anticipato, è il capo V del Data Act, nel quale si indicano le condizioni per l’utilizzo, da parte degli enti e delle istituzioni, dei dati detenuti dalle imprese, oltre alle circostanze eccezionali che possono legittimare detto accesso.
Come riportato nel testo della proposta, dette disposizioni sarebbero applicabili “solo in caso di emergenze pubbliche o in situazioni in cui gli enti pubblici hanno la necessità eccezionale di utilizzare determinati dati che non possono essere ottenuti sul mercato, in modo tempestivo mediante l’adozione di un nuovo atto legislativo o mediante obblighi di comunicazione già vigenti”.
Trattasi, a titolo esemplificativo, di emergenze pubbliche eccezionali legate alla sanità pubblica, a catastrofi naturali o provocate dall’uomo, in presenza delle quali viene favorita la circolazione dei dati, gratuitamente o a fronte di un compenso “ragionevole” che copra i costi connessi alla messa a disposizione dei dati, in base alla gravità dell’emergenza cui gli enti devono far fronte.
Le richieste avanzate dagli enti, ad ogni modo, dovranno comunque rispettare principi di proporzionalità, e indicare chiaramente la finalità che si intende perseguire, oltre a rispettare gli interessi dell’azienda che ha messo a disposizione i dati. Alle autorità competenti, inoltre, si dà il compito di “garantire la trasparenza e la disponibilità pubblica di tutte le richieste e gestire gli eventuali reclami che ne conseguano”.
Le modifiche attuate al testo della proposta
Il compromesso parziale presentato dalla Presidenza ceca del Consiglio Europeo, che sarà discusso il 5 settembre, va a modificare la sezione del Capo V dedicata alla definizione delle condizioni alle quali gli enti pubblici possono richiedere l’accesso ai dati. Trattasi di una delle sezioni della proposta maggiormente criticata, dando potenzialmente il largo a forme di abuso dei dati; parte della dottrina ed esponenti del mondo imprenditoriale hanno affermato anche che dette disposizioni conferirebbero poteri arbitrari e sproporzionati agli enti pubblici.
In accoglimento alle censure mosse dagli stakeholders, oltre che dal parere congiunto reso dal Garante europeo della protezione dei dati e del Comitato europeo per la protezione dei dati è stato modificato, in primis, il testo del Capo, proprio al fine di ridurre il campo di applicazione del medesimo da “tutte le istituzioni dell’UE” alla sola Commissione europea e alle agenzie dell’UE.
Inoltre, si ribadisce che i dati in possesso di privati possano essere utilizzati dagli enti pubblici esclusivamente in casi eccezionali: il concetto di necessità “eccezionale”, maggiormente dettagliato, sarebbe ora limitato a circostanze che appaiano “imprevedibili” oltre che limitate, sia nel tempo che nella portata.
Una modifica è stata fatta anche alla definizione emergenze pubbliche, che ora includono sia i disastri naturali e causati dall’uomo che i gravi incidenti di sicurezza informatica, rendendosi comunque necessario interpretare l’eccezionalità dell’evento ai sensi del diritto procedurale dell’UE o dello Stato Membro coinvolto.
Ad ogni modo, si prevede comunque che le autorità pubbliche possano richiedere l’accesso ai dati, ivi compresi i relativi metadati, nel caso in cui l’accesso tempestivo agli stessi si renda assolutamente necessario all’adempimento di uno specifico compito di interesse pubblico previsto da legge per l’espletamento delle competenze legali affidate all’autorità medesima.
A titolo esemplificativo, la presidenza ceca ha precisato che detti compiti di interesse pubblico potrebbero riguardare settori come il trasporto locale, l’urbanistica e i servizi infrastrutturali.
Resta sempre fermo che le richieste di accesso debbano rispettare i principi di proporzionalità, trasparenza e limitazione delle finalità che sono stati fatti propri da tutte le normative di settore (ivi incluso il GDPR, seppur con riferimento quest’ultimo ai soli dati personali).
In relazione al principio di limitazione delle finalità, si precisa inoltre che lo stesso sarà applicabile anche nel caso in cui i dati ricevuti siano poi esternalizzati a un soggetto terzo, il quale sarà soggetto ai medesimi obblighi posti in capo all’ente pubblico, di preservazione della riservatezza e dell’integrità dei dati richiesti, oltre che di protezione dei segreti commerciali eventualmente contenuti nei dati.
L’applicazione del Data Act, infatti, non potrà pregiudicare gli obblighi già previsti dal diritto comunitario o nazionale relativi a finalità specifiche; tant’è che statistica e ricerca sono le uniche finalità per le quali i dati ottenuti possono essere riutilizzati, in deroga a quanto previsto dal Data Governance Act e alla Direttiva Open Data. Anche in questo caso, si precisa comunque che il secondary use dei dati deve essere esclusivamente di interesse pubblico, oltre che privo di alcuno scopo di lucro.
Ai soggetti che forniscono i dati dovrà essere poi fornita un’informativa che specifichi anche quali sono le misure adottate per proteggere i dati personali e i segreti commerciali.
Oggetto di ampliamento sono stati anche i requisiti che gli enti pubblici dovranno soddisfare per poter accedere ai dati: questi ultimi, infatti, dovranno esplicitare e chiarire lo scopo della richiesta anche nel caso in cui vi sia il coinvolgimento di terzi, oltre a specificare quali metadati devono essere forniti e qual è la base giuridica della richiesta di accesso.
Per i soggetti privati è possibile anche rifiutare una richiesta di dati, a determinate condizioni, tra cui rientra non solo l’indisponibilità dei dati richiesti, ma anche il fatto che l’organizzazione non ne abbia il controllo.
Nel caso in cui, poi, l’organizzazione in possesso dei dati intenda contestare la richiesta, sarà competente a decidere l’autorità competente dello Stato membro in cui l’organizzazione è stabilita, solo nel caso in cui la controversia non possa essere risolta mediante una modifica della richiesta. Allo stesso modo, è stato introdotto un articolo che autorizza l’ente pubblico a contestare l’importo o la debenza del risarcimento richiesto dall’organizzazione che detiene i dati, presso l’autorità competente del Paese in cui l’organizzazione è stabilita.
Data Act e dati personali: i nuovi obblighi
Nel testo emendato si prevedono anche ulteriori garanzie per le richieste di accesso che coinvolgano dati personali: in tali ipotesi, l’ente pubblico richiedente dovrà spiegare le motivazioni per le quali i dati personali si rendono necessari e quali sono le misure di sicurezza adottate per garantire ai dati personali adeguata tutela. La richiesta di dati dovrà poi essere resa pubblica, salvo che ciò non comporti un rischio per la sicurezza pubblica.
Secondo quanto affermato dalla presidenza ceca, infatti, gli enti pubblici dovrebbero comunque cercare di limitare il più possibile la richiesta di dati personali, cercando di utilizzare dati non personali. Nel caso in cui si renda necessario per l’organizzazione che detiene i dati provvedere alla loro anonimizzazione a fronte della richiesta di accesso, è possibile per la stessa richiedere un compenso, salvo che il soddisfacimento della richiesta non richieda la produzione espressa di dati personali.
Inoltre, nel caso in cui non sia possibile procedere con l’anonimizzazione dei dati, l’ente pubblico dovrà dimostrare che i dati richiesti sono strettamente necessari, e dovrà altresì attuare misure di sicurezza quali l’aggregazione e la pseudonimizzazione.
