1 memorandum, 46 considerando, 8 capitoli e 35 articoli: questi sono i numeri che caratterizzano la recentissima proposta della Commissione Europea, datata 25 novembre 2020, per il Data Governance Act, che potrebbe rappresentare una fondamentale svolta in tema di governance dei dati a livello europeo, proseguendo la rivoluzione scatenata dal GDPR (Regolamento Europeo 679/2016). La proposta non è un’azione isolata, bensì è uno dei passi compiuti nell’ambito della “Strategia Europea dei dati 2020”, un pacchetto di misure annunciate il 19 febbraio 2020, pensate per scongiurare rischi di frammentazione del mercato unico digitale europeo.
I timori a riguardo nascono dalla frastagliata e complessa normativa che regola questo determinato settore, rappresentata da una serie eterogenea di riferimenti quali:
- GDPR: Regolamento UE 676/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
- Direttiva “e-Privacy”: direttiva 2002/58/CE per le comunicazioni elettroniche;
- Direttiva “sui dati aperti”: direttiva UE 1024/2019;
- Regolamento UE 1807/2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione Europea.
Analisi della proposta di Data Governance Act: i punti fondamentali
A fronte, quindi, di un quadro normativo di questo tipo, il Data Governance Act vuole essere uno strumento diretto all’armonizzazione e al coordinamento dei vari interventi normativi statali in materia di digital policy, al fine di evitare divergenze tra le disposizioni dei diversi Stati membri e che potrebbe determinare un indebolimento del mercato unico digitale europeo.
I principi e gli obiettivi, che guidano ed ispirano questa proposta, sono contenuti ed esplicati nel suo incipit, il memorandum, che li sintetizza in quattro specifici punti:
- “Rendere disponibili i dati del settore pubblico per il riutilizzo, in situazioni in cui tali dati sono oggetto di diritti altrui” (ad esempio diritti relativi alla protezione dei dati personali);
- “Condividere dei dati tra le imprese, a fronte di remunerazione in qualsiasi forma”;
- “Consentire l’utilizzo dei dati personali con l’aiuto di un “personal-data sharing intermediary”, designato per aiutare le persone a esercitare i loro diritti ai sensi del GDPR”;
- “Consentire l’utilizzo dei dati per motivi altruistici”.
Il contenuto della proposta, articolandosi in diversi capi e articoli, risulta complesso e corposo, ma ricco di novità e nuovi spunti operativi.
Oltre al già citato meccanismo del riutilizzo dei dati in possesso delle autorità pubbliche, sono alla base della proposta stessa la volontà di introdurre uno specifico regime che regoli tutte le attività inerenti al data sharing, dalle notifiche ai vari controlli, la previsione dell’istituzione di particolari autorità o soggetti competenti e l’individuazione di un team di soggetti esperti, European Data Innovation Board.
L’utilizzo dei dati per motivi altruistici
Altro aspetto che suscita molto interesse è relativo al concetto di “altruismo” in materia di dati, espressione estranea alle altre previsioni normative, espressione evocativa, ma che non deve trarre in inganno e portare a conclusioni fuorvianti. Il c.d. “altruismo dei dati” è riferibile all’utilizzo dei dati per scopi non legati ad aspetti economici, dato il carattere gratuito, ma a obiettivi di natura scientifica, legata all’upgrade di servizi di interesse pubblico o anche semplicemente per scopi di ricerca.
Detto meccanismo ovviamente non è automatico, ma è sotteso all’espressione di una manifestazione di consenso da parte dell’interessato o all’espressione di un’autorizzazione da parte del titolare.
Vi sono, al riguardo, anche specifiche previsioni in merito alle caratteristiche dovrà soddisfare un soggetto qualora voglia operare nell’ambito dell’”altruismo dei dati”. Nello specifico:
- Perseguire obiettivi di interesse generale;
- Svolgere la propria attività senza scopo di lucro e non essere collegato in nessun modo con soggetti che svolgono attività a tale scopo;
- Qualora si svolgano altre attività, diverse da quelle che interessano “l’altruismo dei dati”, esse devono essere giuridicamente separate da quest’ultima, la quale deve avere una sua struttura autonoma e indipendente.
Poste a salvaguardia del corretto svolgimento di tali attività dovranno essere predisposte delle specifiche Autorità di Controllo, incaricate, tra l’altro, di mantenere un apposito registro relativo alle attività di “altruismo dei dati”. Sempre un registro verrà predisposto per permettere le iscrizioni ai soggetti che intendono svolgere questo tipo di attività, uno per ogni stato membro; qualora la sede non sia collocata in uno degli stati membri, ma in un paese extra UE, sarà necessario nominare un legale rappresentante in uno degli stati membri.
La condivisione dei dati
Anche lo sharing acquista un ruolo centrale nella proposta di Data Governance Act, che come si era accennato, verrà contraddistinto da nuove figure preposte, gli intermediari per la condivisione dei dati. Questi soggetti saranno incaricati di facilitare e coordinare le procedure di raccolta, aggregazione e condivisione dei dati stessi, quali soggetti totalmente indipendenti e avulsi dagli utenti o dai detentori dei dati. Queste attività, come previsto anche ad esempio per il meccanismo del riutilizzo dei dati presso enti pubblici, dovranno essere puntualmente regolamentate con specifiche previsioni, quali un regime di notifica per i soggetti che vogliano compiere attività di intermediazione tra i detentori dei dati e gli utenti, di supporto ai soggetti (utenti/aziende ecc.), di intermediazione tra gli interessati e gli utenti, qualora i primi avessero intenzione di rendere disponibili i propri dati.
I fornitori di tali servizi dovranno peraltro rispettare una serie di obblighi nell’esercizio delle loro attività, ad esempio:
- Neutralità rispetto ai dati in oggetto;
- Predisposizione di una specifica procedura di accesso al servizio erogato, che rispetti i criteri di equità, trasparenza e non discriminazione;
- Impossibilità di utilizzo dei dati in oggetto per finalità e scopi diversi;
- Previsione di procedure volte alla prevenzione di attività abusive e/o fraudolente ai danni dei dati in oggetto;
- Mantenimento di un elevato livello di sicurezza durante le attività di archiviazione e trasmissione dei dati.
A tutela di ipotesi di violazione, poi, verrà istituita un’Autorità preposta alla repressione di tali circostanze, anche mediante l’irrogazione di sanzioni o l’imposizione di obblighi quali la cessazione o il rinvio di una determinata attività.
Conclusioni
Tutta questa serie di interventi e di strumenti sarà inserita in un contesto di armonizzazione e promozione, culminante nell’istituzione di uno “Spazio dei dati Europeo” per specifici settori di preminente importanza, quali i servizi finanziari, la sanità, attività produttive e altri, cercando di incrementare la fiducia dei soggetti coinvolti e quindi una maggiore propensione a meccanismi e strumenti di scambio nell’ambito dell’UE.
Gli obiettivi a cui mira la proposta della Commissione, qualora soddisfatti, rappresenterebbero un punto di svolta e sicuramente un’occasione importante per rafforzare la cooperazione tra gli stati membri in settori e per attività connaturate da una intrinseca natura peculiare e delicata, meritevole di strumenti precisi ed efficaci.
L’Europa, quindi, dimostra, come altre volte, di voler essere un esempio e un precursore per gli altri attori internazionali, promuovendo oltre che iniziative e strumenti normativi, veri e propri principi e valori da seguire e perseguire nei rapporti tra Stati Membri e Unione.
Per conoscere gli esiti di questa vicenda bisognerà ancora attendere, ma sicuramente le basi predisposte sembrano poter far ben sperare.