Data Governance Act: la nuova proposta di Regolamento della Commissione europea
Tratto da “Il Quotidiano Giuridico”, il quotidiano di informazione giuridica del gruppo Wolters Kluwer Italia e curato da Cedam, Utet Giuridica, Leggi d’Italia e Ipsoa.
La Commissione europea ha presentato, il 25 novembre 2020, una nuova proposta di regolamento in materia di governance dei dati, denominata “Data Governance Act”.
La proposta è la prima di una serie di misure annunciate dalla nuova Commissione che mira a promuovere la disponibilità di dati da poter utilizzare per lo sviluppo economico europeo e, in particolare, quello della cosiddetta “data economy” e dei modelli di business basati sui dati, nonché dell’intelligenza artificiale, che necessità di un’ampia disponibilità dei dati per un migliore e più diffuso sviluppo.
L’obiettivo è, quindi, quello di migliorare le condizioni e i meccanismi per la condivisione dei dati nel mercato interno, creando un quadro armonizzato per lo scambio di dati, sia per l’accesso che per il riutilizzo. In particolare, il nuovo regolamento andrà a stabilire un quadro giuridico comune intervenendo sulla condivisione dei dati nel settore pubblico, sui servizi di intermediazione per la condivisione di dati tra imprese e interessati forniti a fronte di remunerazione e sul “data altruism”, ovvero la raccolta e il trattamento dei dati messi a disposizione per scopi altruistici da persone fisiche e giuridiche.
Il regolamento si applicherebbe senza pregiudizio per il regolamento 679/2016, cosiddetto GDPR, tuttavia già le definizioni aiutano a comprendere il cambio di paradigma rispetto alla normativa per la protezione delle persone fisiche con riguardo al trattamento dei dati personali.
In primo luogo, l’applicazione è estesa a tutti i dati, personali e non personali.
In secondo luogo, le parole chiave sono “riutilizzo”, “condivisione” e “accesso”. Per “riutilizzo” s’intende l’uso da parte di persone fisiche o giuridiche di dati detenuti da enti del settore pubblico, per scopi commerciali o non commerciali diversi dallo scopo iniziale nell’ambito del compito pubblico per il quale i dati sono stati prodotti; per “condivisione dei dati”, la fornitura da parte di un titolare dei dati a un utente dei dati ai fini dell’utilizzo congiunto o individuale dei dati condivisi, sulla base di accordi volontari, direttamente o tramite un intermediario. “Accesso”, infine, indica “processing by a data user of data that has been provided by a data holder”, in conformità a specifici requisiti tecnici, legali o organizzativi, senza che ciò necessariamente implichi la trasmissione o il download di tali dati.
Le figure principali delineate sono il “data holder” e il “data user”. Il primo, definito come la persona giuridica o una persona interessata che, in conformità con il diritto dell’Unione o nazionale applicabile, ha il diritto di concedere l’accesso o di condividere determinati dati personali o non personali sotto il suo controllo. Il secondo come la persona fisica o giuridica che ha accesso legale a determinati dati personali o non personali ed è autorizzata a utilizzare tali dati per scopi commerciali o non commerciali.
Tra le disposizioni proposte possono essere identificati tre interventi principali:
(a) disposizioni sulle condizioni per il riutilizzo, all’interno dell’Unione, di determinate categorie di dati detenuti da enti del settore pubblico;
(b) un quadro di notifica e vigilanza per la fornitura di servizi di condivisione dei dati;
(c) un quadro per la registrazione volontaria delle entità che raccolgono ed elaborano i dati resi disponibili per scopi altruistici.
Con riguardo ai dati pubblici, viene introdotto meccanismo per il riutilizzo di determinate categorie di dati del settore pubblico, applicabile ai dati detenuti da enti del settore pubblico protetti da: a) riservatezza; (b) “riservatezza statistica”; (c) tutela dei diritti di proprietà intellettuale di terzi;(d) protezione dei dati personali.
È stabilito un divieto di accordi che concedono diritti esclusivi o che hanno per oggetto o effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di soggetti diversi dalle parti di tali accordi, salvo che ciò sia necessario per la fornitura di un servizio o prodotto nell’interesse generale. Il periodo di esclusiva non può comunque, superare i tre anni. Sono, inoltre, applicabili i principi di trasparenza, uguaglianza e non discriminazione.
L’ente pubblico può stabilire le condizioni per il riutilizzo – purchè sempre in modo non discriminatorio, oggettivo e proporzionato -sia rispetto alle modalità di trattamento sia rispetto alle finalità, potendo anche imporre l’anonimizzazione o la pseudonimizzazione.
Possono essere previste delle fees, ma devono essere predeterminate in anticipo per tutti i potenziali contraenti e devono essere comunque previste delle misure volte a facilitare i riutilizzi per scopi non commerciali e per le PMI.
Si prevede l’individuazione di autorità competenti per supportare e vigilare su tali meccanismi di condivisione, nonché l’introduzione di un unico “information point” a livello nazionale per la tenuta di un registro che descriva i set di dati disponibili e riscontri le richieste di “data re-use”.
Ulteriori disposizioni specifiche sono previste per il trattamento in third-countries.
Per i servizi per la condivisione dei dati, “data sharing services”, sono individuate tre categorie, sottoposte al regime di notifica: servizi di intermediazione tra persone giuridiche e potenziali data users, servizi di intermediazione tra interessati che cercano di rendere disponibili i propri dati personali e potenziali data users, data cooperatives.
I primi possono comprendere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentano lo scambio o lo sfruttamento congiunto dei dati, nonché la creazione di un’infrastruttura specifica per l’interconnessione dei titolari dei dati e degli utenti dei dati. I secondi comprendono i servizi volti ad abilitare e supportare l’esercizio dei diritti dell’interessato ai sensi del GDPR, in particolare il diritto alla portabilità dei dati.
Le cooperative dei dati, infine, sono servizi a supporto degli interessati o di ditte individuali o di micro, piccole e medie imprese, i quali conferiscono alla cooperativa il potere di negoziare i termini e le condizioni per il trattamento dei dati rappresentandone gli interessi.
Oltre all’obbligo di notifica e alla vigilanza su tali attività, sono previsti requisiti di indipendenza e terzietà.
Infine, per “data altruism” s’intende il consenso degli interessati al trattamento dei dati personali che li riguardano, o le autorizzazioni di altri data holder per consentire l’uso dei loro dati non personali senza chiedere una retribuzione, per scopi di interesse generale, come scopi di ricerca scientifica o migliorare i servizi pubblici.
Tali scopi includerebbero l’assistenza sanitaria, la lotta al cambiamento climatico, il miglioramento della mobilità, l’agevolazione della creazione di statistiche ufficiali o il miglioramento della fornitura di servizi pubblici. Anche il sostegno alla ricerca scientifica, compresi, ad esempio, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati, dovrebbero essere considerati scopi di interesse generale.
Sono, quindi, introdotte misure per facilitare la circolazione dei dati per fini altruistici ed è istituito un registro per le organizzazioni che si dedichino a tali utilizzi altruistici, corredato da misure per il monitoraggio e la vigilanza.
Inoltre, è prevista l’introduzione di un modulo di consenso europeo per l’altruismo dei dati per la concessione e la revoca del consenso, in particolare nel contesto della ricerca scientifica e dell’uso statistico. Per tenere conto delle specificità dei singoli settori, anche dal punto di vista della protezione dei dati, si prevede la possibilità di adeguamenti settoriali.
Viene, inoltre, istituito un European Data Innovation Board, per supportare la Commissione nel coordinare le pratiche e le politiche nazionali e promuovere l’uso intersettoriale dei dati, anche lavorando sulla standardizzazione.