Il 24 settembre 2023 ha segnato l'avvento di un nuovo capitolo nella storia della condivisione dei dati, grazie all'entrata in vigore del Regolamento UE 2022/868, conosciuto come "Data Governance Act" (“DGA” o il“Regolamento”). Il DGA è stato pensato per aumentare la fiducia nella condivisione dei dati, superare gli ostacoli tecnici e creare spazi comuni europei di dati, coinvolgendo attori privati e pubblici, in settori cruciali quali la sanità, l’ambiente, l’energia, l’agricoltura, la mobilità, la finanza, l’industria manifatturiera, la pubblica amministrazione e le competenze. L'obiettivo è favorire la libera circolazione dei dati a livello internazionale, adottando i principi FAIR (Facili da trovare, Accessibili, Interoperabili e Riutilizzabili), garantendo al tempo stesso un alto livello di cybersicurezza. Come affermato dalla Commissione europea, per lo sviluppo di un mercato unico che sia equamente concorrenziale, è necessario che “le imprese competano sulla qualità dei servizi e non sulla quantità dei dati che controllano”. Il DGA offre, quindi, l’opportunità per tutti coloro che vogliano accedere alla data economy, di utilizzare dati personali e non, che legittimamente detengono, e costituisce un pilastro fondamentale della strategia europea per i dati. Il DGA è, inoltre, strettamente correlato e connesso con la proposta di regolamento sulle norme armonizzate in materia di accesso equo ai dati e uso dei dati, noto anche come “Data Act” (il cui iter di approvazione non è ancora tuttavia terminato[1]). Mentre il DGA regola i processi e le infrastrutture giuridiche che agevolano la condivisione dei dati tra imprese, individui e il settore pubblico promuovendo e rafforzando i meccanismi di data sharing, il Data Act è orientato, invece, alla creazione di valore attraverso i dati e stabilisce le condizioni in cui questo processo può avvenire. I Pilastri del DGA: Riutilizzo, Intermediazione e Altruismo dei Dati Il DGA è strutturato su tre pilastri fondamentali: 1. Riutilizzo dei dati pubblici: il Regolamento stabilisce condizioni chiare per il riutilizzo dei dati detenuti dagli enti pubblici. Questi dati possono ora essere accessibili a enti pubblici e privati, purché vengano adottate specifiche tecniche e misure di protezione e svolte specifiche valutazioni che consentono di rendere disponibili i dati nel rispetto delle normative vigenti. L’articolo 5 del DGA detta le condizioni per consentire il riutilizzo garantendo la tutela della natura protetta dei dati: quando si tratta di dati personali, i dati dovranno essere anonimizzati in modo da impedire o da non consentire più l’identificazione dell’interessato; nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale, potranno essere modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione. L’accesso e il riutilizzo dovranno avvenire altresì all’interno di un ambiente di trattamento sicuro e controllato nel rispetto di rigorose norme di sicurezza. Gli enti pubblici depositari dei dataset hanno, inoltre, la facoltà di valorizzare il patrimonio informativo imponendo delle tariffe, tariffe ridotte ed esenzioni al pagamento delle tariffe per l’accesso e l’utilizzo dei dati, a condizione che le stesse siano trasparenti, eque, competitive e che consentano l’accesso alle PMI, le start-up e le istituzioni di ricerca scientifica. L’iter per l’ottenimento dell’accesso e del riutilizzo dei dati risulta semplificato dal DGA attraverso la creazione di sportelli unici responsabili della ricezione di richieste di informazioni e di riutilizzo, per conto degli enti pubblici competenti. Da ultimo, la facoltà di riutilizzo, da parte di soggetti privati, dei dati detenuti dagli enti pubblici e messi a disposizione da questi ultimi alle condizioni dettate dal DGA, consente alle imprese di accedere a dati anonimizzati o aggregati, preservando la privacy dei cittadini e la tutela dei diritti di proprietà intellettuale, determinando, così, una riduzione delle responsabilità e delle procedure necessarie per gestire i dati in conformità con le leggi applicabili e un maggior controllo sui dati ottenuti e trattati. 2. Servizi di Intermediazione: il secondo pilastro è rappresentato dai fornitori dei servizi di intermediazione dei dati. Gli intermediari dei dati giocheranno un ruolo chiave nel facilitare la condivisione volontaria dei dati tra imprese, fungendo da ponti affidabili, collegando titolari dei dati, utenti dei dati e interessati, consentendo un flusso più agevole delle informazioni. Il ruolo di intermediario può essere assunto dai soggetti che svolgono le attività di cui all’articolo 10 del DGA, risultando esclusi, in generale, “i servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati”. A titolo di esempio, quale fornitore di servizi di intermediazione dei dati, la Commissione menziona Deutsche Telekom, il quale assume il ruolo di fiduciario neutrale e che, tramite il suo Data Intelligence Hub, offre un mercato dei dati in cui le aziende possono gestire, fornire e monetizzare in modo sicuro informazioni di buona qualità, ad esempio i dati di produzione, al fine di ottimizzare i processi o l’intera catena del valore, garantendo la sovranità dei dati attraverso la gestione decentralizzata dei dati. Altro esempio è Dawex, azienda francese che si descrive come un “mercato globale di dati” che non acquista né vende dati, ma riunisce aziende interessate a monetizzare e riutilizzare i dati e promuove la trasparenza tra fornitori di dati e utenti, garantendo che comunichino e conducano la transazione direttamente sulla propria piattaforma, anche attraverso la creazione automatica di modelli contrattuali. Per poter essere qualificati come “intermediari di dati”, i soggetti interessati dovranno essere sottoposti alla procedura di valutazione e notifica da parte delle competenti autorità nazionali, nel rispetto delle condizioni stabilite dall’articolo 12 del DGA. La normativa in esame prevede, quindi, che gli intermediari dei dati fungano da organizzatori affidabili della condivisione o della messa in comune dei dati all'interno degli spazi comuni europei di dati, offrendo servizi che collegano i diversi soggetti coinvolti (titolari dei dati, utenti dei dati e interessati – come individuati dalle definizioni del DGA) e migliorando le possibilità di accesso e riutilizzo dei dati. I servizi contemplati prevedono l’instaurazione, attraverso strumenti tecnici, giuridici o di altro tipo, di rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche per l'esercizio dei diritti degli interessati in relazione ai dati personali. 3. Altruismo dei Dati: il terzo pilastro su cui si basa il Regolamento contribuisce, infine, alla creazione di pool di dati messi a disposizione sulla base dell’altruismo dei dati ovvero, l’utilizzo di dati per obiettivi di interesse generale messi a disposizione su base volontaria dagli interessati stessi, sulla base del loro consenso informato. Tali obiettivi di interesse generale comprendono l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche europee, il miglioramento della fornitura dei servizi pubblici, o delle politiche pubbliche. Anche il sostegno alla ricerca scientifica dovrebbe essere considerato un obiettivo di interesse generale. Gli articoli da 16 a 25 del DGA disciplinano le condizioni per facilitare l’altruismo dei dati da parte degli Stati membri. Il DGA, in particolare, istituisce le “Organizzazioni per l’altruismo dei dati”, inserite in un registro pubblico e finalizzate alla creazione di repository di dati che fungono da intermediari tra i titolari dei dati e coloro che li utilizzano. L’obiettivo del DGA è quello di creare organizzazioni conformi ai requisiti del Regolamento stesso che possano infondere fiducia quanto al fatto che i dati messi a disposizione a fini altruistici servano un obiettivo di interesse generale. A tal fine, le Organizzazioni devono essere senza scopo di lucro, devono rispettare determinati obblighi di trasparenza e adottare tutele specifiche volte a proteggere i diritti e gli interessi degli interessati e delle imprese. Un modulo europeo di consenso all’altruismo dei dati, ovvero un documento personalizzabile, anche in base al settore o all’obiettivo del trattamento, permetterà di ottenere (e revocare) il consenso ai sensi del Regolamento (UE) 2016/679 da parte degli interessati, in un formato standard valido in tutti gli Stati Membri. Ulteriori tutele dovrebbero comprendere la possibilità di trattare i dati pertinenti in un ambiente di trattamento sicuro gestito dalle organizzazioni per l'altruismo dei dati riconosciute, meccanismi di sorveglianza quali consigli o comitati etici, compresi i rappresentanti della società civile, per garantire che il titolare del trattamento mantenga standard elevati di etica scientifica e di protezione dei diritti fondamentali, strumenti tecnici efficaci e comunicati con chiarezza per revocare o modificare il consenso in qualsiasi momento, sulla base degli obblighi di informazione dei responsabili del trattamento dei dati a norma del Regolamento (UE) 2016/679, nonché strumenti che consentano agli interessati di essere informati circa l'utilizzo dei dati che hanno messo a disposizione. Quali sono i vantaggi? Il DGA mira a creare e a regolamentare sistemi e meccanismi funzionali a rendere disponibili più dati e a ottenere una maggior libertà nella condivisione di dati, riconoscendo, quale presupposto fondamentale, le potenzialità economiche e sociali derivanti da un corretto ed efficiente uso dei dati. La Commissione europea ha fornito già esempi pratici sugli effettivi obiettivi che possono essere perseguiti grazie al nuovo framework introdotto dal DGA: Quali sono i dubbi interpretativi e Ie principali problematiche? Il DGA è una normativa intersettoriale che tocca profili e ambiti già ampiamente regolati da diverse altre normative specifiche, tra le quali, ad esempio: il Regolamento UE 2016/679 in materia di protezione dei dati personali (“GDPR”); il Regolamento UE 2018/1807 sui dati non-personali, la normativa sugli Open Data della Pubblica Amministrazione (quali, il recente Regolamento di esecuzione 2023/138 e la Direttiva 2019/1024), nonché la normativa per la tutela giuridica delle banche dati (i.e. la Direttiva 96/9/CE). Se da una parte, il DGA lascia impregiudicati tali normative così come ogni altra disciplina settoriale dell’Unione che regolamenta l’accesso ai dati e il loro riutilizzo, dall’altro, la coesistenza con altre normative europee e nazionali, come il GDPR e le leggi nazionali sulla protezione dei dati che disciplinano profili comuni potrebbe dare adito a sovrapposizioni o discrepanze tra normative, generando confusione per gli operatori chiamati ad applicarle e incertezza. In materia di protezione dei dati personali, ad esempio, sono già stati sollevasti numerosi dubbi interpretativi circa le previsioni del DGA, in primis dall’EDPB e dall’EDPS che con il Parere congiunto 03/2021 “sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati”, avevano sottolineato l’importanza primaria di “evitare nel testo legislativo della proposta eventuali incoerenze e possibili conflitti con il GDPR”. Mentre alcuni dei dubbi espressi dalle citate Autorità sono stati chiariti, alcune delle incongruenze o incertezze rimangono ancora irrisolte (si pensi, ad esempio, ad alcune definizioni contenute all'interno del DGA, come quella di "titolare dei dati", che potrebbero risultare ambigue o troppo ampie, creando incertezze sulle persone o entità che ricadono effettivamente nell’ambito di applicazione del DGA; o ai meccanismi volti ad assicurare l’implementazione del principio di “altruismo dei dati” che potrebbero apparire ancora poco chiari, causando problemi nell'attuazione pratica; così come al ruolo degli Intermediari dei dati rispetto ai quali andrebbero forniti maggiori dettagli su come queste entità dovrebbero operare e interagire con i titolari dei dati e gli utenti dei dati). Concludendo Se da una parte si auspica che una maggiore chiarezza e certezza venga fornita dalle competenti autorità nell’ambito dell’applicazione pratica del nuovo regime introdotto dal DGA, dall’altra si può tuttavia affermare che il rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nel DGA assumerà sempre più maggiore importanza e costituirà, quindi, un presupposto necessario per poter trarre vantaggio dalle previsioni del DGA. Le misure tecniche e organizzative richieste dal GDPR, tra cui le misure di pseudonimizzazione e/o anonimizzazione così come le modalità per la raccolta e gestione dei consensi secondo i parametri indicati dall’art. 7 GDPR diverranno elementi essenziali per gli obiettivi di libera circolazione dei dati garantendo il rispetto delle previsioni in materia nonché il controllo da parte di interessati e titolari sui dati che li riguardano. Le imprese che si sono già adoperate per conformare le proprie attività alle previsioni del GDPR e delle altre disposizioni vigenti in materia di protezione dei dati personali saranno quindi in grado di prepararsi più facilmente e in anticipo al DGA e di sfruttare il potenziale di questa nuova normativa. [1] A seguito, infatti, dell’approvazione del testo di proposta da parte della Commissione il 23 febbraio 2022, il 28 giugno 2023, il Parlamento europeo e il Consiglio dell’UE hanno raggiunto un accordo politico sul Data Act; la legge è ora soggetta ad approvazione formale e, una volta adottata, entrerà in vigore 20 giorni dopo la pubblicazione della Gazzetta ufficiale, diventando applicabile dopo 20 mesi.