Normative europee

Regolamento sulla governance dei dati: qual è la strategia dell’Europa

Lo scorso 10 dicembre è stato raggiunto un accordo fra Parlamento europeo e Stati membri. Ora manca il voto per l’approvazione finale

Pubblicato il 14 Feb 2022

Il ruolo chiave dei 5v Big Data nella trasformazione digitale

La proposta di Regolamento relativa alla governance europea dei dati, presentata dalla Commissione il 25 novembre 2020, è stata oggetto, il 10 dicembre 2021, dell’accordo tra il Parlamento Europeo e gli Stati Membri (“Regolamento”). Gli ultimi step mancanti, prima dell’approvazione finale, sono, dunque, il voto in Parlamento e in Consiglio.

Il Regolamento in un quadro normativo variegato

Si tratta di un Regolamento che si inserisce in un contesto normativo ormai composito e variegato che comprende, non soltanto il Regolamento UE 679/2016 (il “GDPR”) e la direttiva 2002/58/CE (“Direttiva ePrivacy” che sarà sostituita dal Regolamento ePrivacy), ma anche la direttiva UE 2019/1024 relativa all’apertura dei dati e al riutilizzo delle informazioni del settore pubblico e un ulteriore proposta normativa di prossima pubblicazione (cd. Data Act, ancora non pubblicato al momento in cui si scrive, atteso il 23 febbraio 2022) e di future discipline settoriali orizzontali relativamente all’utilizzo dei dati sanitari e all’accesso ai dati dei veicoli[1].

A queste normative, si aggiungono, inoltre, la disciplina europea in materia di proprietà intellettuale e, in particolare, tra le altre, la Direttiva 2001/29/CE del Parlamento europeo e del Consiglio e la Direttiva (UE) 2019/790 in materia di diritto d’autore e la Direttiva 2004/48/CE.

Lo scopo del Regolamento

In primo luogo, è opportuno precisare che la proposta di Regolamento interessa una nozione di dato ampia costituita da “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni anche sotto forma di registrazione sonora, visiva o audiovisiva[2].

Non a caso, dunque, il focus del Regolamento è assicurare che gli scambi di dati siano rispettosi non soltanto della normativa in materia di dati personali ma anche della legislazione relativa alla tutela della proprietà intellettuale.

L’obbiettivo principale, in particolare, è regolare l’intermediazione e il riutilizzo dei dati, incentivando la circolazione degli stessi e la creazione di un ecosistema fondato sulla fiducia di imprese e persone fisiche. A tal fine, il Regolamento è strutturato su tre colonne portanti:

  1. la disciplina del riutilizzo dei dati cd. protetti detenuti da enti pubblici (Capo II);
  2. la disciplina dei fornitori di servizi di condivisione dei dati (Capo III);
  3. l’altruismo dei dati (Capo IV).

La disciplina del riutilizzo dei dati detenuti da Enti pubblici

Lasciare che i dati generati dal settore pubblico rimangano sottoutilizzati, significherebbe lasciare che un incredibile patrimonio informativo venga sprecato nonostante le sue enormi potenzialità, soprattutto, per imprese e per la società.

È interessante notare che la versione di compromesso si focalizza proprio sulla necessità che tali dati siano di beneficio per le piccole e medie imprese e per le start-up[3].

Si tratta, infatti, di quelle realtà che potrebbero essere accelerate in modo esponenziale dai dati e che, allo stesso tempo, non hanno le risorse per poter accedere agli stessi. Infatti, sebbene il Regolamento consenta agli enti pubblici di condizionare il riutilizzo al pagamento di una tariffa, la versione di compromesso prevede anche la possibilità prevedere sconti nei confronti delle piccole e medie imprese, delle startup e delle organizzazioni senza scopo di lucro che perseguono scopi scientifici[4].

In particolare, il Regolamento si occupa di dettare le condizioni per il riutilizzo di quei dati che sono generati dal settore pubblico ma che, allo stesso tempo, richiedono particolari cautele, trattandosi di dati commerciali riservati, dati statistici protetti dal segreto, dati oggetto di diritti di proprietà intellettuali di terzi o dati personali non accessibili ai sensi della normativa in materia di protezione dei dati personali o di altre legislazioni nazionali[5].

Agli enti pubblici spetterà il compito di indicare le condizioni per il riutilizzo ma anche di assicurarsi che sia tutelata la protezione dei dati personali e della proprietà intellettuale, ad esempio, attraverso meccanismi di anonimizzazione, aggregazione e de-identificazione dei dati. Gli Stati Membri dovranno, a tal fine, individuare un’autorità competente che si occuperà anche di decidere sulle richieste di riuso[6].

La disciplina relativa al riutilizzo dei dati è contraddistinta da un generale divieto di esclusiva mirato a instaurare un regime concorrenziale[7]. L’unica eccezione prevista è quella del perseguimento di un interesse generale che possa massimizzare i benefici sociali dei dati in questione.

Il Regolamento presta particolare attenzione ai casi in cui i dati oggetto di riutilizzo ricadano nella definizione di dato personale prevista dal GDPR. Nel caso in cui l’anonimizzazione non possa essere svolta, in ragione necessità dell’utente che riutilizzerà i dati, o nel caso di pseudonimizzazione dei dati, il Regolamento impone di effettuare una valutazione di impatto e una consultazione preventiva per poter verificare la sussistenza di rischi residui per gli interessati[8]. Allo stesso modo, la re-identificazione dei dati dovrebbe essere notificata come violazione dei dati. Fermo restando le condizioni previste per il riutilizzo, in ogni caso il trattamento dei dati personali dovrebbe essere basato su una valida base giuridica tra quelle previste dal GDPR.

Con riferimento ai dati che sono oggetto di obblighi di riservatezza, al contrario, il Regolamento prevede, inoltre, che le condizioni di utilizzo comprendano la firma di un accordo di riservatezza[9].

La versione di compromesso svolge un passo in avanti rispetto alla proposta della Commissione, prevedendo che l’ente pubblico ponga in essere i suoi “migliori sforzi” per consentire ai ri-utilizzatori di acquisire il consenso degli interessati e/o l’autorizzazione dei titolari dei diritti, andando nella direzione di agevolare la circolazione dei dati senza, tuttavia, imporre obblighi eccessivi sul settore pubblico[10].

Inoltre, il Regolamento prevede anche la possibilità di imporre limiti al trasferimento dei dati in paesi terzi che non presentino garanzie adeguate, estendendo dunque anche ad altre tipologie di dati un principio già consolidato in materia di trattamento dei dati personali,

Tale previsione si inserisce in quello che la stessa Commissione definisce “un approccio aperto, ma assertivo ai flussi di dati internazionali[11]. Le conseguenze di tale disciplina, tuttavia, potranno vedersi solo alla prova pratica effettiva. Indubbio è, certamente, che l’Unione Europea sempre di più si attribuisce il ruolo di legislatore del mondo digitale, con normative che producono effetti diretti e indiretti ben oltre i propri confini.

Inoltre, le condizioni dovranno evitare che il riutilizzo possa tradursi in una discriminazione o in una diminuzione di diritti fondamentali dei soggetti giuridici, specialmente quando il riutilizzo avvenga sulla base di un trattamento al di fuori del settore pubblico. In tal senso, la versione di compromesso del Regolamento precisa che gli enti pubblici non dovrebbero consentire il riutilizzo delle informazioni conservate in applicazioni di e-health da parte di società assicurative o di altri servizi che possano comportare una discriminazione nei prezzi, essendo in ogni caso predominante il diritto di accesso alla salute[12].

regolamento

La disciplina dei fornitori di servizi di condivisione dei dati

Il Regolamento introduce la definizione dei fornitori di servizi di condivisione dei dati, soggetti intermediari nella condivisione e nella circolazione dei dati in particolare:

  • servizi di intermediazione nei rapporti tra titolari dei dati e potenziali utenti degli stessi (sia attraverso scambi multilaterali, bilaterali che attraverso piattaforme, database, infrastrutture che consentano trasferimenti, usi congiunti e interconnessioni);
  • servizi di intermediazione tra interessati che vogliono mettere a disposizione i propri dati personali o altre persone fisiche che vogliono mettere a disposizione altre tipologie di dati e potenziali utenti di tali dati;
  • servizi di cooperative di dati [13].

Il Regolamento ha come destinatari marketplace per la condivisione dei dati, ecosistemi di condivisione dei dati, e data poll creati per licenziare l’utilizzo degli stessi e assicurare ai partecipanti una ricompensa per il contributo al pool[14].

Si tratta di servizi che svolgeranno un ruolo cruciale nei prossimi anni, essendo finalizzati a connettere i differenti attori sul mercato, facilitare la circolazione dei dati e efficientare gli scambi.

Tali fornitori svolgeranno il ruolo di agevolare l’instaurarsi di relazioni commerciali tra un numero indeterminato di interessati e titolari, da un lato, e utilizzatori, dall’altro lato, tramite strumenti tecnici e legali. Non solo, a tali soggetti è attribuito anche il ruolo di facilitatori per l’esercizio dei diritti sui dati personali[15].

I fornitori di servizi di condivisioni dati saranno soggetti a un regime di previa notifica all’autorità competente[16]. È apprezzabile la scelta fatta dal Legislatore Europeo che ha preferito introdurre un meccanismo di notifica, basato sul principio del paese di stabilimento, ad un regime di autorizzazione che avrebbe certamente rischiato di appesantire il sistema creando un ritardo e indebolendo un settore fortemente improntato alla dinamicità.

La fornitura di tali servizi di intermediazione, tuttavia, dovrà rispettare numerose condizioni, in particolari legate alla necessità di segmentare le finalità di utilizzazione dei dati.

La caratteristica principale di tali servizi dovrà essere, infatti, la neutralità. Tale principio, particolare, si sviluppa attraverso l’imposizione di una separazione strutturale tra servizi di intermediazione e altri tipi di servizi, al fine di evitare conflitti di interessi.

In particolare, i fornitori di servizi di condivisione dei dati non potranno utilizzare i dati per altri scopi, dovendo servirsi di una specifica entità dedicata esclusivamente a tali attività[17].Questi potranno utilizzare i metadati prodotti dall’intermediazione solo per migliorare il proprio servizio (ivi inclusi, nella versione di compromesso, per scopi di tutela da frodi e cybersecurity)[18]. Si tratta di un nuovo modello di circolazione dei dati che, non a caso, il Regolamento definisce “European way of data governance”, che si basa sulla separazione, nell’economia dei dati, tra fornitura, intermediazione e uso dei dati[19].

In questo senso, è apprezzabile l’importanza che il Regolamento attribuisce alla finalità di miglioramento dei servizi, unica deroga al regime di divieto di utilizzo dei dati, imposto ai fornitori di servizi di condivisione dei dati. Ciò, infatti, sembra chiarire definitivamente la primaria importanza che, in un contesto di competitività e sviluppo, la legislazione europea riserva alle attività di miglioramento dei servizi (che, peraltro, è inteso in senso tanto ampio da comprendere anche attività legate a cybersicurezza e antifrode). Si tratta di un’attività troppo spesso sottovalutata, in particolare con riferimento all’applicazione pratica del GDPR, dalle decisioni delle singole autorità di controllo europee.

I fornitori di servizi di intermediazione potranno, inoltre, offrire strumenti e servizi accessori come la temporanea conservazione, la cura, la conversione, l’anonimizzazione e la pseudonimizzazione, su richiesta e approvazione di titolari dei diritti e interessati[20].

Tali soggetti dovranno, altresì, assicurare la sicurezza dei servizi, la loro interoperabilità, tenere un log delle attività, e assicurare che il trattamento avvenga nel rispetto della normativa nazionale e europea[21].

Qualora offrano i loro servizi agli interessati, gli intermediari dovranno agire nel loro interesse, facilitando l’esercizio dei diritti, informandoli e fornendo consulenza rispetto alle modalità di trattamento dei loro dati, prima della prestazione dei consensi[22].

La figura degli intermediari potrebbe, dunque, essere particolarmente interessante per lo sviluppo delle prassi di applicazione del GDPR. Il Regolamento, infatti, suggerisce come queste figure possano diventare l’anello finale della normativa sulla protezione dei dati personali, consolidando il controllo dei singoli interessati sui loro dati personali. Questi fornitori, dunque, oltre a svolgere una funzione di intermediazione, potrebbero anche assumere un ruolo di agenti degli interessati nell’esercizio dei loro diritti. Allo stesso tempo, le funzioni a loro attribuite, dovrebbero esplicarsi non soltanto con un’attività di consulenza agli interessati circa le modalità di utilizzo dei dati ma anche attraverso una previa attività di due diligence sulle stesse.

Inoltre, il Regolamento suggerisce la possibilità che tali soggetti svolgano anche un ruolo tecnico, creando spazi di archiviazione e trasmissione dei dati, massimizzando la protezione dei dati personali. Tali archivi, potrebbero essere sia dedicati a dati statici (es. dati identificativi) si adatta dinamici come quelli creati dai dispositivi IoT e potrebbero essere utilizzati anche per scopi identificativi[23].

D’altra parte, anche la figura delle cooperative di dati, introdotta dal Regolamento, si propone proprio di rafforzare la posizione di individui, imprese individuali e piccole medie imprese, non soltanto al fine di raggiungere una maggiore consapevolezza degli stessi sull’utilizzo dei dati e sulle conseguenze di consensi e autorizzazioni ma anche aumentando il loro potere negoziale[24]. L’obiettivo del Regolamento è, infatti, che tali soggetti possano influire sui termini e condizioni relativi all’uso dei dati nell’interesse di individui e piccole e medie imprese[25].

Il Regolamento non si sofferma sul ruolo che tali intermediari svolgeranno limitandosi a prevedere che essi sono soggetti al GDPR e alle obbligazioni che competono al titolare o al responsabile[26]. La definizione dei ruoli nel trattamento di questi soggetti, ancorché da radicare nella concreta attività svolta, sarà certamente uno degli aspetti più complessi dell’applicazione pratica di tale disciplina.

regolamento

Altruismo dei dati

L’altruismo dei dati è la volontaria condivisione dei dati, basata sul consenso degli interessati o sul permesso dei titolari di altri dati, a consentire l’uso dei loro dati personali e non, senza chiedere o ricevere un compenso che vada oltre i costi in cui incorrono, mettendo i loro dati a disposizione, per scopi di interesse generale determinati dalla legge nazionale (in particolare, la salute, la lotta al cambiamento climatico, il miglioramento della mobilità, la creazione statistiche ufficiali, il potenziamento dei servizi pubblici, scopi di regolamentazione o di ricerca scientifica)[27].

Un efficiente sistema di condivisione di dati potrebbe consentire di raggiungere un maggior numero di decisioni basate su elementi concreti, di rispondere a emergenze quali inondazioni e incendi, migliorare il funzionamento della viabilità, delle città e dei servizi pubblici nonché di migliorare l’assistenza medica, promuovere la ricerca e trovare cure a malattie specifiche.

Le organizzazioni impegnate in attività di altruismo dei dati dovranno essere no profit e indipendenti da ogni altro ente commerciale e svolgere tale attività in modo esclusivo (separatamente da ogni altra). Gli Stati Membri saranno tenuti a tenere un registro pubblico delle società impegnate in attività di altruismo dei dati, sebbene la registrazione dovrebbe essere valida in tutta l’Unione per facilitare l’utilizzo transnazionale[28].

In particolare, tali enti saranno tenuti a garantire la trasparenza nell’utilizzo dei dati per finalità di interesse generale. Tale obiettivo è perseguito innanzitutto attraverso l’imposizione dell’obbligo di registrazione delle persone giuridiche e fisiche che hanno avuto accesso ai dati, della durata del trattamento/uso, dello scopo e della tariffa eventualmente pagata[29]. Inoltre, tali organizzazioni dovranno informare i titolari dei dati e gli interessati degli obiettivi di pubblico interesse e delle finalità per i quali consentono il riutilizzo, nonché del luogo in cui permettono il trattamento al di fuori dell’Unione. Tali enti saranno tenuti, inoltre, a implementare i meccanismi per la gestione dei consensi degli interessati e autorizzazioni di interessati e titolari[30].

Anche in questo caso, il Regolamento è silente sul ruolo che tali organizzazioni svolgeranno nel trattamento dei dati rinviando semplicemente alle disposizioni del GDPR[31].

Stante le finalità per le quali l’altruismo dei dati è possibile, qualora tali attività coinvolgano dati personali le previsioni del Regolamento dovranno essere coniugate con quanto previsto in materia di ricerca dagli articoli 5(1)(b) e 89 del GDPR.

In che direzione va l’Unione Europea

La nuova proposta di Regolamento relativamente alla governance dei dati si pone come una normativa di una società dell’informazione e dei dati ormai entrata in una sua fase più matura.

L’intero Regolamento si fonda, infatti, sulla consapevolezza del ruolo che le informazioni e i dati svolgono nella nostra società e nell’economia.

Si tratta di un atto legislativo che si inserisce in una società che sempre di più trae la sua linfa vitale dall’utilizzo ulteriore dei dati, dall’utilizzo di strumenti di analisi basati su Big Data e machine learning.

In questo senso, il Regolamento è solo un mattone di una struttura molto più complessa che verrà completata dall’emanazione di ulteriori strumenti legislativi, in particolare l’atteso Data Act e possibili future discipline settoriali relative all’utilizzo dei dati nel settore sanitario e automotive.

Inoltre, la Commissione prevede, come parte della sua strategia dei dati, la creazione di spazi europei dei dati permetteranno di scambiare i dati provenienti sia dal settore pubblico che dalle imprese di tutta l’Unione in modo affidabile e evitando costi esorbitanti, allo scopo di incentivare lo sviluppo di nuovi prodotti e servizi basati sui dati in particolare nei settori salute, ambiente, energia, agricoltura, mobilità, finanze, industria manifatturiera, pubblica amministrazione e competenze. A tal scopo si prevedono investimenti per 2 miliardi di euro.

Lo scopo è quello di consentire a cittadini e governi di accedere e controllare meglio i dati di Internet, del sistema IoT e le fonti di Big Data detenute dalle imprese, da un lato incentivando lo sviluppo di questi settori come base per la ripartenza dell’Europa e, dall’altro, assicurando la tutela dei dati personali e non personali.

Sarà, in ultima analisi, l’interazione tra tutte queste normative a determinare non soltanto il livello di tutela degli utenti ma anche gli effetti finali sulla competizione e sul mercato europeo digitale. L’auspicio è quello di ottenere un quadro normativo che, pur tutelando i diritti fondamentali alla privacy, alla riservatezza e alla proprietà intellettuale, sia flessibile, tecnologicamente neutro e improntato, in particolare, allo sviluppo dei servizi a beneficio non soltanto delle imprese ma soprattutto agli utenti finali che beneficiano dei servizi da loro offerti.

Note

  1. Considerando 3 del Regolamento. Sul Data Act si vedano i risultati della consultazione pubblica pubblicati il 6 dicembre 2021 https://digital-strategy.ec.europa.eu/en/news/data-act-businesses-and-citizens-favour-fair-data-economy
  2. Articolo 2(1) del regolamento
  3. Cfr. considerando 11 e 2 della versione di compromesso del Regolamento del 10 dicembre 2021 e testo proposto dalla Commissione del 25 novembre 2020
  4. Cfr. art. 6(4) della versione di compromesso del Regolamento
  5. Art 3 del Regolamento
  6. Art. 5 e 7 del Regolamento
  7. Art. 4 del Regolamento e considerando 9
  8. (considerando 11) della versione di compromesso del Regolamento
  9. Articolo 5(5a) della versione di compromesso del Regolamento
  10. Art. 3(6) della versione di compromesso del Regolamento e “Main Element of the Compromise” p. 2 para. 2
  11. Art. 3(11) della versione di compromesso del Regolamento e considerando 5 nonchéComunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni. Una strategia europea per i dati COM/2020/66 final
  12. Considerando 14 della versione di compromesso del Regolamento
  13. Articolo 9 del Regolamento
  14. Considerando 22a della versione di compromesso del Regolamento
  15. Articolo 9(1)(b) della versione di compromesso del Regolamento
  16. Relazione di accompagnamento alla proposta di Regolamento (p. 9), Articolo 10 del Regolamento
  17. Articolo 11(1) della versione di compromesso Regolamento e considerando 26 della versione di compromesso del Regolamento
  18. Articolo 11(1) e (2) della versione di compromesso
  19. Considerando 25 della versione di compromesso del Regolamento
  20. Articolo 11(4a) della versione di compromesso del Regolamento
  21. Articolo 11(4)(5)(6) (7a) (8) (11a) della versione di compromesso del Regolamento
  22. Articolo 11(10) della versione di compromesso del Regolamento
  23. Considerando 23 della versione di compromesso dl Regolamento
  24. Articolo 2(9a) e considerando 35 della versione di compromesso del Regolamento
  25. Considerando 24 della versione di compromesso del Regolamento
  26. Considerando 28 della versione di compromesso del Regolamento
  27. Articolo 2(10) della versione di compromesso del Regolamento
  28. Articolo 15 della versione di compromesso del Regolamento
  29. Articolo 18 della versione di compromesso del Regolamento
  30. Articolo 19 della versione di compromesso del Regolamento
  31. Considerando 38 della versione di compromesso del Regolamento

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2