Oggetto e campo d’applicazione della proposta, definizioni utilizzate, la base giuridica per il trattamento dei dati, sfocatura della distinzione tra trattamento dei dati personali e non, condizioni per il riutilizzo dei dati: sono le cinque principali incongruenze con il GDPR che EDPB ed EDPS hanno riscontrato nell’analizzare la proposta del Data Governance Act avanzata dalla Commissione europea.
Le autorità infatti nel corso dell’iter di approvazione del regolamento sono state interpellate per fornire un’opinione. Dal loro controllo è emerso il disallineamento con il GDPR su alcuni fronti. Nel seguito, un’analisi sintetica delle cinque principali osservazioni contenute nel parere.
Indice degli argomenti
Gli obiettivi del Data Governance Act
Ricordiamo che il Data Governance Act (o DGA) si inserisce all’interno della più generale Strategia Europea dei dati, cui fa parte anche il più noto GDPR. La Commissione Europea ritiene fondamentale, per l’Unione, perseguire una strategia comune e condivisa, in quanto “i cittadini si fideranno e adotteranno l’innovazione basata sui dati solo se sono fiduciosi che qualsiasi condivisione di dati personali nell’UE sarà soggetta al pieno rispetto delle severe norme dell’UE in materia di protezione dei dati”. Gli obiettivi che il DGA persegue nella complessiva strategia europea sono molteplici:
- Consentire di rendere disponibili al riutilizzo i dati raccolti dal settore pubblico, nel caso in cui tali dati siano oggetto di diritti di soggetti terzi (non esclusivamente connessi alla tutela dei dati personali o alle persone fisiche ma anche riferiti a soggetti giuridici);
- Condividere in modo più semplice i dati fra le società, a fronte di una remunerazione in qualsiasi forma;
- Consentire che l’utilizzo dei dati personali sia semplificato da un intermediario appositamente designato, che faciliti anche l’esercizio dei diritti di cui al GDPR da parte degli interessati.
La disponibilità dei dati sarà essenziale anche al fine di consentire un più semplice sviluppo di sistemi di intelligenza artificiale: l’accrescimento del data set “dato in pasto” alle IA permetterebbe alle stesse di generare previsioni e assumere decisioni molto più precise e affidabili rispetto agli standard odierni.
Oggetto e campo d’applicazione della proposta
Il primo profilo di criticità sollevato dalle Autorità riguarda la formulazione dell’art. 1, per il quale si raccomanda l’introduzione di una disposizione che lasci intendere “in modo chiaro e inequivocabile che la proposta lascia intatto e non influisce in alcun modo sul livello di protezione della persona per quanto riguarda il trattamento dei dati personali ai sensi delle disposizioni del diritto dell’Unione e nazionale e che la proposta non modifica gli obblighi e i diritti stabiliti nella legislazione sulla protezione dei dati”.
Tale aggiunta garantirebbe non solo una maggiore certezza del diritto ma, altresì, la non compromissione del diritto fondamentale alla protezione dei dati personali.
Definizioni incompatibili con i concetti chiave del GDPR
Con riferimento alle definizioni ed ai termini utilizzati nella Proposta, le Autorità rilevano quanto segue:
- Titolare dei dati (o data holder, identificato come la persone giuridica o l’interessato che ha il diritto di concedere l’accesso o la condivisione di determinati dati, personali o non personali): piuttosto che affermare che una persona giuridica ha il diritto di concedere l’accesso o condividere dati personali, sarebbe più appropriato fare riferimento alle ipotesi in cui è possibile, e a quali condizioni, svolgere un determinato trattamento di dati o meno. Peraltro, occorre ricordare come anche l’accesso e la condivisione siano trattamenti di dati ai sensi dell’art 5 GDPR, e come, in quanto tali, debbano essere fondati su precise basi giuridiche ai sensi dell’art. 6 GDPR;
- Considerando 14: si rileva l’assenza di una precisa distinzione, in termini di diritti, fra i dati appartenenti a persone fisiche e i dati appartenenti a persone giuridiche, disciplinati da norme ben differenti. Ciò non solo comporta confusione in sede applicativa ma appare anche manifestamente contrario a quanto indicato dal GDPR.
- L’utilizzatore dei dati (o “data user”): non appare chiaro il rapporto fra la definizione di data user come “persona fisica o giuridica autorizzata ad utilizzare i dati per scopi commerciali e non” e le nozioni di titolare del trattamento, responsabile del trattamento, contitolare, previste dal GDPR. Inoltre, la Proposta fa riferimento a una possibile qualifica dei fornitori di servizi di data-sharing come titolare o responsabile del trattamento e ai loro obblighi ai sensi del GDPR, ma non estende tale possibilità ai data user o ad altre organizzazioni di “data altruism”. Per tale ragione la proposta dovrebbe indicare con precisione i ruoli che ciascun tipo di “attore” ha nel trattamento dati ai sensi del GDPR, per evitare che si creino ambiguità e incomprensioni in merito al significato del testo normativo.
- Data sharing: non è chiaro l’inquadramento di tale attività (definita come “uso congiunto o individuale di dati condivisi”) all’interno delle prescrizioni normative del GDPR;
- Assente la definizione di cosa possa definirsi come “permission” al riutilizzo dei dati da parte delle persone giuridiche;
- Metadata: la definizione attualmente fornita includerebbe al suo interno anche dei dati personali, ma non si precisa, all’interno del testo, la necessitò, per il service provider, di condividere tali dati sulla scorta di una precisa base giuridica individuata ai sensi dell’art. 6 GDPR.
Le basi giuridiche del trattamento dati
In merito a tale profilo, sono molteplici le censure svolte dalle Autorità. In primis, si osserva come la proposta di DGA non specifichi quale sia la base giuridica applicabile ai trattamenti di dati personali disciplinati nella stessa, facendo esclusivo riferimento, in via generica, al “consent or permission of data holders” per l’uso dei dati. Siffatta stesura è da ritenersi del tutto contraria al GDPR, oltre che estremamente oscura.
Non è chiaro, infatti, se l’oggetto del “permesso” sarebbe il riutilizzo di dati personali o dei dati non personali, oppure se detto “permesso” si estenderebbe indiscriminatamente ad entrambi. Il “permesso” cui ci si riferisce nella proposta, tuttavia, non può in alcun modo rimpiazzare il principio per cui il trattamento di dati personali debba sempre essere fondato su una base giuridica appropriata ai sensi dell’art. 6 del GDPR. Nell’attuale stesura, infatti. Sembrerebbe addirittura che in alcuni casi si sostituisca alla necessità di una base giuridica tale permesso, in una visione del tutto contraria ai principi contenuti nel GDPR.
Occorre, inoltre, che sia chiarita la relazione tra i diversi scenari di trattamento indicati nella Proposta e l’Articolo 6, paragrafo 4 del GDPR, di modo da regolare le situazioni in cui il trattamento dei dati possa essere svolto per una finalità ulteriore rispetto a quella per la quale i dati sono stati originariamente raccolti in virtù di una base giuridica differente dal consenso. A tal riguardo, l’EDPS e l’EDPS ritengono che la proposta non possa essere invocata come “atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1”. Le disposizioni della proposta, infatti, non forniscono una base giuridica autonoma che legittimi il riutilizzo dei dati personali degli utenti per le attività di trattamento svolte dai fornitori di servizi di condivisione dei dati o da altri organismi, in quanto non soddisfa i criteri di cui all’articolo 6, paragrafo 3, per il trattamento di cui all’articolo 6, lettera c ed e , del GDPR.
Assenza di una distinzione chiara fra il trattamento di dati personali e non
Le Autorità rilevano, inoltre, l’assenza di disposizioni che distinguano in modo chiaro e non confusionario cosa possa ritenersi un dato personale o non personale. Nella pratica, infatti, vi sono situazioni nelle quali anche una combinazione di dati non personali consente di dedurre o generare dati personali (c.d. inferred data), specialmente quando i dati non personali sono il risultato di attività di anonimizzazione; ipotesi, queste, che richiederebbero in egual modo la rigorosa applicazione dei principi di cui al GDPR, essendo elevatissimo il rischio che, a seguito della condivisione o del riutilizzo dei dati, vi possa essere una nuova associazione degli stessi ad una specifica persona fisica.
Allo stesso tempo, vi potrebbero essere casi in cui il trattamento sia riferito a dati esclusivamente non personali che non ricadono nella sfera di applicazione del GDPR (ad esempio, dati di vibrazione dei sensori nei macchinari industriali che vengono combinati con la geolocalizzazione del macchinario stesso). Tali trattamenti non richiederebbero lo stesso livello di garanzie dei trattamenti di dati anonimizzati, non essendo possibile alcun tipo di re-identificazione di persone fisiche.
Pertanto, si raccomanda la revisione della proposta tenendo conto non solo della distinzione fra le due categorie di dati, ma anche delle ipotesi in cui ci si trovi innanzi a dataset misti, come tali soggetti al GDPR, al fine di rendere gli strumenti di garanzia proporzionati al rischio per gli interessati connesso allo specifico trattamento preso in esame.
Riutilizzo dei dati
Le Autorità evidenziano come non sia chiaro il rapporto fra la Proposta e la Open Data Directive, in quanto nessuna distinzione di sorta viene posta fra i diritti di proprietà intellettuale e i diritti di protezione dei dati personali, regolati da principi del tutto differenti. Una formulazione simile è da ritenersi, pertanto, contraria al principio di libero scambio dei dati, oltre che inaccurata, in quanto la Open Data Directive non esclude i dati personali dal proprio ambito applicativo, bensì prevede che non possa ritenersi applicabile a “documenti che contengano dati personali il cui riutilizzo sia stato definito incompatibile con i principi e con le previsioni normative delle leggi poste a tutela dei dati personali e degli interessati”.
I dati personali che non rientrano in tale eccezione sono da ritenersi liberamente accessibili ai sensi di quanto disposto dal diritto dell’Unione e, pertanto, riutilizzabili per scopi compatibili, che non ledano il diritto alla privacy degli interessati. L’intero Capitolo III della Proposta deve, quindi, essere riscritto al fine di renderlo allineato alle previsioni contenute nel GDPR e nella Open Data Directive, così da assicurare che il livello di protezione dei dati all’interno dell’UE sia elevato anche nel settore pubblico.
Le condizioni per il riutilizzo dei dati
Il riutilizzo dei dati personali, inoltre, dovrebbe sempre rispettare i principi contenuti all’interno dell’art. 5 GDPR. Sulla base della definizione di “riutilizzo” dei dati individuata all’art. 2 della Proposta, tale attività deve ritenersi, ove riguardi dati personali, come un trattamento ulteriore dei dati personali svolto dagli enti pubblici per scopi non meglio definiti (commerciali o non commerciali). Non si prevede, infatti, alcuna indicazione in merito ai possibili scopi per i quali il riutilizzo dei dati da parte dei soggetti pubblici potrebbe essere definito legittimo, ai sensi di quanto contenuto all’art. 6 GDPR. Taled aspetto dovrà essere rivisto dalla Proposta, al fine di chiarire se il riutilizzo dei dati possa essere garantito solo nel caso in cui sia previsto da una norma dell’Unione o di uno Stato Membro, come indicato al paragrafo 4 del citato art. 6 GDPR.
Inoltre, le Autorità raccomandano di includere nella Proposta un riferimento esplicito:
- agli obblighi di informazione posti in capo agli enti pubblici nei confronti degli interessati ai sensi del GDPR, in modo da favorire l’esercizio dei diritti loro conferiti dalla normativa sulla protezione dei dati, in particolare il diritto di opporsi al trattamento ex art. 21 GDPR;
- agli strumenti di partecipazione degli interessati al processo di consenso al riutilizzo dei propri dati personali.
Ulteriori condizioni dovranno essere previste per il riutilizzo di dati personali in settori “sensibili”, come il settore sanitario; in accordo con quanto indicato all’art. 35 del GDPR, dovrà prevedersi anche l’obbligo di porre in essere una DPIA (Data Protection Impact Assessment) per assicurare che i diritti e le libertà degli interessati siano adeguatamente tutelati. Da ultimo, sebbene il considerando 11 della proposta preveda che gli enti pubblici possano subordinare il riutilizzo dei dati alla conclusione di un “accordo di riservatezza che vieti la divulgazione di qualsiasi informazione che metta a repentaglio i diritti e gli interessi di terzi”, EDPB ed EDPS raccomandano di includere un riferimento a tale accordo di riservatezza anche nel testo normativo della proposta, nella parte in cui si enunciano le condizioni per il riutilizzo dei dati. L’accordo di riservatezza dovrebbe anche vietare di porre in essere attività di re-identificazione di qualsiasi individuo cui i dati originariamente si riferiscono.
Eventuali violazioni dei dati che comportano la possibile re-identificazione delle persone interessate devono essere notificare ai sensi degli articoli 33 e 34 del GDPR, oltre che all’ente pubblico interessato. All’interno delle condizioni per il riutilizzo dei dati, inoltre, manca una disposizione che specifichi in che termini.