Data Governance Act: al via la piena applicazione del Regolamento UE per la valorizzazione dei dati protetti della PAFonte: Reg. 30 maggio 2022 n. 868
25 Settembre 2023
Una scommessa sostenibile sul valore dei dati pubblici Nell'ambito della più ampia “Strategia europea dei dati”, un importante passo avanti è oggi rappresentato dal Data Governance Act (DGA), il regolamento UE applicato dal 24 settembre 2023 e che promette di sprigionare il valore potenziale dei “dati protetti” detenuti dagli enti pubblici. Per “dati protetti” si intendono quelle informazioni non liberamente accessibili e aperte (quelle aperte, infatti, sono e rimangono regolate dalla differente disciplina degli open data di cui alla Direttiva (UE) 2019/1024), e in particolare quei dati che sono vincolati per motivi di: a) riservatezza commerciale, compresi i segreti commerciali, professionali o d'impresa; b) riservatezza statistica; c) protezione dei diritti di proprietà intellettuale di terzi; o d) protezione dei dati personali, salvo nei casi in cui questi ultimi siano già ricompresi nel perimetro della normativa in materia di open data. In buona sostanza, il legislatore europeo – preso atto dell'obiettiva insufficienza degli effetti della disciplina sul riutilizzo dei dati pubblici “aperti”, pur migliorata negli anni ma ancora frenata dal fatto che la maggior parte delle informazioni detenute da enti pubblici ricade in categorie protette e non liberamente accessibili, per ragioni di privacy, proprietà intellettuale, segreto, ecc. – ha voluto porre rimedio, identificando soluzioni per facilitare la trasformazione e il “riciclo valorizzante” dei dati pubblici protetti. Il DGA è - possiamo affermarlo proprio in questi termini - una forma di combinazione tra dati e sostenibilità. Come ribadito nel Considerando 2 del regolamento in questione, non a caso, nel XXI secolo “le tecnologie digitali hanno trasformato l'economia e la società, influenzando tutti i settori di attività nonché la vita quotidiana. I dati sono al centro di tale trasformazione: l'innovazione guidata dai dati genererà benefici enormi sia per i cittadini dell'Unione che per l'economia, ad esempio migliorando e personalizzando la medicina, fornendo nuove soluzioni di mobilità e contribuendo alla comunicazione della Commissione dell'11 dicembre 2019 sul Green Deal europeo”. Ebbene, con il DGA si affrontano i principali ostacoli e freni che finora hanno bloccato la valorizzazione secondaria di quella immensa mole di dati che, pur generati e conservati dagli enti pubblici, sono rimasti “chiusi nei cassetti” per evitare di violare diritti altrui od obblighi di riservatezza. Il DGA - pur non introducendo nuove basi giuridiche rispetto a quelle contemplate dagli articoli 6-10 GDPR, porterà comunque più certezza del diritto e migliori incentivi agli enti pubblici che intenderanno condividere all'esterno il proprio patrimonio di informazioni, anche chiarendo quando e come operare per la trasformazione dei dati in forma anonima e rispettosa dei diritti di terzi. Va detto che il DGA introduce e regola la facoltà e non l'obbligo di consentire il riutilizzo dei dati detenuti da enti pubblici, ma ammette che un siffatto obbligo, in determinati casi, sia previsto dal diritto degli Stati membri. Il regime di riutilizzo previsto dal regolamento in questione dovrebbe applicarsi a dati la cui fornitura è parte dei compiti di servizio pubblico degli enti pubblici coinvolti. Il DGA, ciò nonostante, non si applicherà a tutti i dati protetti detenuti in ambito pubblico: rimangono esclusi da questa innovativa disciplina: a) i dati detenuti da imprese pubbliche; b) i dati detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate e da altri organismi o relative società controllate per l'adempimento di un compito di radiodiffusione di servizio pubblico; c) i dati detenuti da enti culturali e di istruzione (come le scuole); d) i dati detenuti da enti pubblici e protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale; o e) i dati la cui fornitura è un'attività che esula dall'ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dal diritto o da altre norme vincolanti nello Stato membro interessato o, in mancanza di tali norme, quali definiti in conformità delle comuni prassi amministrative in tale Stato membro, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione. Anche lo scambio di dati, esclusivamente nell'adempimento dei rispettivi compiti di servizio pubblico, tra enti pubblici nell'Unione o tra enti pubblici nell'Unione ed enti pubblici in paesi terzi o organizzazioni internazionali, nonché lo scambio di dati tra ricercatori a fini di ricerca scientifica non commerciale, non dovrebbe essere soggetto alle disposizioni del DGA. Il controllo sul rispetto della normativa introdotta dal DGA è demandato alle autorità competenti in materia di protezione dei dati ai sensi del Regolamento (UE) 2016/679 (in Italia, dunque, al Garante per la protezione dei dati personali). Assist al mercato: riutilizzo non solo per obiettivi d'interesse generale Il riutilizzo dei dati, ammesso dal DGA, contempla la loro accessibilità da parte di altri soggetti pubblici (per finalità diverse dagli scambi già normativamente previsti per i loro compiti di servizio pubblico) ma anche di soggetti privati, quali imprese a scopo di lucro e organizzazioni del terzo settore. I soggetti terzi che accedono ai dati sono definiti “utenti”, mentre gli enti pubblici che detengono i dati sono definiti “titolari dei dati”: questi termini non vanno confusi con i “titolari del trattamento” di cui al GDPR, né con gli “utenti” di cui alla disciplina e-privacy. Ciò che può variare sono le condizioni economiche dell'accesso ai dati, che potranno consistere in tariffe più favorevoli o perfino gratuite nel caso di riutilizzi a fini non commerciali, quali la ricerca scientifica (ma non ricerca e sviluppo profit), o da parte delle PMI e delle start-up, sebbene nei limiti della disciplina sugli aiuti di Stato, della società civile e degli istituti di istruzione. Le condizioni per il riutilizzo Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l'accesso per il riutilizzo di dati protetti, se lo fanno, devono rendere pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo. Le condizioni per il riutilizzo non possono limitare la concorrenza e devono essere non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Gli enti pubblici possono concedere l'accesso per il riutilizzo dei dati soltanto qualora l'ente pubblico o l'organismo competente abbia garantito, in seguito alla richiesta di riutilizzo, che i dati sono stati: i) anonimizzati, nel caso di dati personali; e ii) modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione, nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale. È inoltre necessario che l'accesso ai dati e il riutilizzo degli stessi da remoto avvenga all'interno di un ambiente di trattamento sicuro, fornito o controllato dall'ente pubblico; in alternativa, l'accesso ai dati e il riutilizzo degli stessi deve realizzarsi all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, rispettando rigorose norme di sicurezza, a condizione che l'accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi. Oltre a una serie di ulteriori condizioni e requisiti, fissati dall'art. 5 DGA, i riutilizzatori hanno il divieto di reidentificare gli interessati cui si riferiscono i dati e adottano misure tecniche e operative per impedire la reidentificazione e notificare all'ente pubblico qualsiasi violazione dei dati che comporti la reidentificazione degli interessati. In caso di riutilizzo non autorizzato di dati non personali il riutilizzatore informa senza ritardo, se opportuno con l'assistenza dell'ente pubblico, le persone giuridiche i cui diritti e interessi possono essere riutilizzati. Sportelli unici e organismi competenti Per semplificare i flussi informativi sui dati disponibili e riutilizzabili presso i vari enti pubblici e agevolare domanda e offerta, gli Stati membri provvedono affinché tutte le informazioni pertinenti siano disponibili e facilmente accessibili attraverso uno “sportello unico”. Gli Stati membri, a tale scopo, possono istituire un nuovo ente o designare un ente o una struttura esistente quale “sportello unico”, che a sua volta può essere collegato a sportelli settoriali (i quali diverranno presumibilmente necessari con l'avvento dei futuri “spazi europei dei dati”), regionali o locali. Lo sportello unico sarà competente per il ricevimento delle richieste di informazioni e delle richieste di riutilizzo dei dati protetti, e le trasmetterà, ove possibile e opportuno con mezzi automatizzati, agli enti pubblici competenti o, se del caso, agli organismi competenti. Lo sportello unico metterà inoltre a disposizione, per via elettronica, un elenco consultabile delle risorse che comprende una panoramica di tutte le risorse di dati disponibili, tra cui quelle disponibili presso gli sportelli settoriali, regionali e locali, contenente informazioni pertinenti che descrivono i dati disponibili, compresi almeno il formato e le dimensioni dei dati e le condizioni per il loro riutilizzo. Ogni sportello unico potrà istituire un canale di informazione distinto, semplificato e ben documentato per le PMI e le start-up, che risponda alle loro esigenze e capacità di chiedere il riutilizzo dei dati protetti. Sempre nell'ottica della razionalizzazione e della facilitazione dei processi - probabilmente presumendo che i singoli enti pubblici, se lasciati da soli, non sarebbero in grado di impostare e gestire adeguatamente le opportunità di riutilizzo dei propri dati protetti, anche alla luce della difficile esperienza avuta con gli open data – il legislatore europeo ha previsto che ciascuno Stato membro designi uno o più “organismi competenti”, anche solo per specifici settori, per assistere gli enti pubblici che concedono o rifiutano l'accesso al riutilizzo di dati. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dal DGA, e i primi organismi andavano notificati alla Commissione europea entro il 24 settembre 2023. Gli organismi competenti possono essere abilitati a concedere l'accesso per il riutilizzo dei dati, a norma del diritto dell'Unione o nazionale che preveda la concessione di tale accesso, e devono disporre di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affidati, comprese le conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso ai dati protetti. Tra i compiti degli “organismi competenti” vi saranno quelli di: a) fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell'accesso ai fini del riutilizzo dei dati; b) fornire orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per renderli facilmente accessibili; c) fornire assistenza tecnica per la pseudonimizzazione e garantire il trattamento dei dati in modo da tutelare efficacemente la vita privata, la riservatezza, l'integrità e l'accessibilità delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali o altri metodi all'avanguardia di tutela della vita privata, e la cancellazione di informazioni commerciali riservate, tra cui segreti commerciali o contenuti protetti da diritti di proprietà intellettuale; d) se del caso, fornire assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l'autorizzazione al riutilizzo, in linea con le loro decisioni specifiche, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e fornire assistenza agli enti pubblici nell'istituire meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica; e) fornire assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore. Gli intermediari dei dati, nuove imprese in arrivo Una novità di estremo interesse riguarda l'introduzione di nuove figure imprenditoriali, gli “intermediari dei dati”, i quali – verosimilmente – andranno nascendo e specializzandosi in differenti ambiti di riutilizzo e valorizzazione dei dati, anche seguendo il progressivo avvento dei regolamenti sugli “spazi europei dei dati” (che costituiranno anche forme di declinazione verticale, settore per settore strategico, di quanto previsto in via generale dal DGA). Se, da un lato, gli “sportelli unici” nazionali e gli “organismi competenti” saranno cruciali per abilitare i flussi informativi e fissare i requisiti e le condizioni del riutilizzo, oltre che per orientare e dare assistenza agli enti pubblici in materia, gli “intermediari dei dati”, dall'altro lato, saranno la chiave per attuare concretamente lo scambio dei dati e la loro previa trasformazione sicura (per esempio, applicando le tecniche di anonimizzazione o, in taluni casi, di pseudonimizzazione dei dati resi accessibili ai terzi). I fornitori di servizi di intermediazione dei dati dovranno rispettare una serie di requisiti – da soddisfare entro il 24 settembre 2025 – e saranno sottoposti al controllo da parte delle autorità competenti per i servizi di intermediazione dei dati (che potrebbero essere differenti dalle autorità di protezione dei dati personali). In realtà, le tipologie di intermediazione dei dati saranno tre, differenti fra loro: a) servizi di intermediazione tra i titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l'utilizzo congiunto dei dati, nonché l'istituzione di altra infrastruttura specifica per l'interconnessione di titolari dei dati con gli utenti dei dati; b) servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali o persone fisiche che intendono mettere a disposizione dati non personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, permettendo in particolare l'esercizio dei diritti degli interessati di cui al regolamento (UE) 2016/679; c) servizi di cooperative di dati. La fornitura di servizi di intermediazione dei dati è soggetta alle seguenti condizioni: a) il fornitore di servizi di intermediazione dei dati non utilizza i dati per i quali fornisce servizi di intermediazione dei dati per scopi diversi dalla messa a disposizione di tali dati agli utenti dei dati e fornisce servizi di intermediazione dei dati attraverso una persona giuridica distinta; b) le condizioni commerciali, compresa la fissazione del prezzo, per la fornitura di servizi di intermediazione dei dati a un titolare dei dati o a un utente dei dati non sono subordinate al fatto che il titolare dei dati o l'utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, e, in caso affermativo, in che misura il titolare dei dati o gli utenti dei dati utilizzano tali altri servizi; c) i dati raccolti su qualsiasi attività di una persona fisica o giuridica ai fini della fornitura del servizio di intermediazione dei dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio di intermediazione dei dati, sono utilizzati solo per lo sviluppo di tale servizio di intermediazione dei dati, il che può comportare l'uso di dati per l'individuazione di frodi o a fini di cibersicurezza, e sono messi a disposizione dei titolari dei dati su richiesta; d) il fornitore di servizi di intermediazione dei dati agevola lo scambio dei dati nel formato in cui li riceve da un interessato o da un titolare dei dati, li converte in formati specifici solo allo scopo di migliorare l'interoperabilità a livello intrasettoriale e intersettoriale, se richiesto dall'utente dei dati, se prescritto dal diritto dell'Unione o per garantire l'armonizzazione con le norme internazionali o europee in materia di dati e offre agli interessati o ai titolari dei dati la possibilità di non partecipare a tali conversioni, a meno che la conversione non sia prescritta dal diritto dell'Unione; e) i servizi di intermediazione dei dati possono comprendere l'offerta di strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione, fermo restando che tali strumenti e servizi sono utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell'interessato e gli strumenti di terzi offerti in tale contesto non utilizzano i dati per altri scopi; f) il fornitore di servizi di intermediazione dei dati provvede affinché la procedura di accesso al suo servizio sia equa, trasparente e non discriminatoria sia per gli interessati e i titolari dei dati sia per gli utenti dei dati, anche per quanto riguarda i prezzi e le condizioni di servizio; g) il fornitore di servizi di intermediazione dei dati dispone di procedure per prevenire pratiche fraudolente o abusive in relazione a soggetti che richiedono l'accesso tramite i suoi servizi di intermediazione dei dati; h) in caso di insolvenza, il fornitore di servizi di intermediazione dei dati garantisce una ragionevole continuità della fornitura dei suoi servizi di intermediazione dei dati e, nel caso tali servizi di intermediazione dei dati garantiscono la conservazione dei dati, dispone di meccanismi che consentano ai titolari dei dati e agli utenti dei dati di ottenere l'accesso ai loro dati o il trasferimento o il recupero degli stessi, e che consentano agli interessati, nel caso in cui tale fornitura di servizi di intermediazione dei dati sia fornita tra interessati e utenti dei dati, di esercitare i propri diritti; i) il fornitore di servizi di intermediazione dei dati adotta misure adeguate per garantire l'interoperabilità con altri servizi di intermediazione dei dati, tra l'altro mediante norme aperte di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati; j) il fornitore di servizi di intermediazione dei dati mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati non personali o l'accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell'Unione o del diritto nazionale dello Stato membro interessato; k) il fornitore di servizi di intermediazione dei dati informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso; l) il fornitore di servizi di intermediazione dei dati adotta le misure necessarie per garantire un adeguato livello di sicurezza per la conservazione, il trattamento e la trasmissione di dati non personali, e il fornitore di servizi di intermediazione dei dati assicura inoltre il massimo livello di sicurezza per la conservazione e la trasmissione di informazioni sensibili sotto il profilo della concorrenza; m) il fornitore di servizi di intermediazione dei dati che offre servizi agli interessati agisce nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare informandoli e, se opportuno, fornendo loro consulenza in maniera concisa, trasparente, intelligibile e facilmente accessibile sugli utilizzi previsti dei dati da parte degli utenti dei dati e sui termini e le condizioni standard cui sono subordinati tali utilizzi, prima che gli interessati diano il loro consenso; n) qualora un fornitore di servizi di intermediazione dei dati fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, esso specifica, se del caso, la giurisdizione del paese terzo in cui si intende effettuare l'utilizzo dei dati e fornisce agli interessati gli strumenti per dare e revocare il consenso e ai titolari dei dati gli strumenti per dare e revocare le autorizzazioni a trattare i dati; o) il fornitore di servizi di intermediazione dei dati tiene un registro dell'attività di intermediazione dei dati. Da sottolineare la creazione di una nuova figura giuridica, di estremo rilievo e su cui il legislatore sembra avere puntato molto, in prospettiva: l'altruismo dei dati, una sorta di possibilità di “donazione” delle informazioni personali - detenute da enti pubblici - da parte degli interessati, per fini nobili d'interesse generale. Si tratta cioè di abilitare la raccolta di consensi individuali, resi volontariamente e liberamente, alla condivisione dei dati personali nella titolarità di enti pubblici per obiettivi di interesse generale che comprendono la ricerca scientifica, l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche europee, il miglioramento della fornitura dei servizi pubblici, o delle politiche pubbliche. Per questo, si costituiranno apposite “organizzazioni per l'altruismo dei dati riconosciute dall'Unione Europea”, senza scopo di lucro, giuridicamente indipendenti da qualsiasi entità che operi a scopo di lucro, che svolgano le proprie attività di altruismo dei dati mediante strutture funzionalmente separate dalle loro altre attività. Un'organizzazione per l'altruismo dei dati riconosciuta non può utilizzare i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati o i titolari dei dati acconsentono al trattamento, e non deve ricorrere a pratiche commerciali ingannevoli per sollecitare la fornitura di dati. Le organizzazioni in questione sono monitorate da apposite autorità, designate dagli Stati membri, che potrebbero non coincidere con le autorità di protezione dei dati personali – come avviene nel caso del monitoraggio dei prestatori di servizi di intermediazione dei dati. Le organizzazioni per l'altruismo dei dati forniranno strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati, nonché gli strumenti per l'agevole revoca di tale consenso o autorizzazione. È previsto che la Commissione europea adotti atti di esecuzione per l'istituzione e l'elaborazione di un modulo europeo di consenso all'altruismo dei dati, previa consultazione del comitato europeo per la protezione dei dati, tenendo conto del parere del comitato europeo per l'innovazione in materia di dati e coinvolgendo opportunamente i pertinenti portatori di interessi. Il modulo permette di raccogliere il consenso o l'autorizzazione in un formato uniforme in tutti gli Stati membri. Il modulo europeo di consenso all'altruismo dei dati (da prodursi in un formato stampabile e facilmente comprensibile nonché in un formato elettronico predisposto per la lettura automatica) dovrà predisporsi alla personalizzazione in funzione di settori specifici e finalità diverse. Qualora siano forniti dati personali, il modulo europeo di consenso all'altruismo dei dati garantisce che gli interessati possano dare e revocare il proprio consenso a una specifica operazione di trattamento dei dati conformemente alle prescrizioni di cui al regolamento (UE) 2016/679. In conclusione Il potenziale innovativo del Data Governance Act è grande, sia con riferimento alle opportunità di utilizzo secondario dei dati pubblici protetti per fini di interesse generale (in primis, la ricerca scientifica e l'istruzione), sia per quanto riguarda i versanti della ricerca e dello sviluppo in ambito industriale e commerciale. Obiettivo di questa normativa non è la trasparenza, bensì la valorizzazione dei dati a favore dell'innovazione e del progresso sociale, economico, istituzionale. Quando saranno approvati e diverranno applicabili gli ulteriori regolamenti UE sugli spazi europei dei dati – primo fra tutti quello dei dati sanitari – il quadro generale e orizzontale introdotto dal DGA si completerà e integrerà verticalmente, in ciascun settore strategico, dispiegando, verosimilmente, in modo ancora più significativo i propri effetti. |