La normativa

Data Governance Act, via libera dal Consiglio UE alla nuova legge sul riutilizzo dei dati

Il Data Governance Act è stato approvato dal Consiglio Europeo, dopo aver ricevuto già il parere favorevole del Parlamento europeo: l’obiettivo della nuova normativa è quello di costruire un ambiente sicuro per il riutilizzo dei dati per fini di innovazione e ricerca, oltre a promuoverne la disponibilità

17 Mag 2022
C
Marina Rita Carbone

Consulente privacy

A seguito del voto favorevole espresso dal Parlamento Europeo, il Consiglio Europeo ha dato la sua approvazione al testo del nuovo Data Governance Act, il cui scopo è quello di promuovere la disponibilità dei dati e costruire un ambiente sicuro ed affidabile per il riutilizzo degli stessi a fini di ricerca e creazioni di nuovi servizi e prodotti innovativi.

All’interno del Data Governance Act, in particolare, si prevede l’istituzione di meccanismi di semplificazione per il riutilizzo di determinate categorie di dati nel settore pubblico, al fine di consentire alle istituzioni e ai ricercatori di operare in modo più efficace, oltre che in tempi maggiormente ridotti.

Il Data Governance Act, le cui norme diverranno applicabili 15 mesi dopo l’entrata in vigore del Regolamento, 20 giorni dopo la sua pubblicazione in Gazzetta Ufficiale, rappresenta uno dei pilastri fondamentali della strategia europea per i dati, e va ad integrare la direttiva sugli open data 2019/1024.

Approvato il Data Governance Act: ecco il primo pilastro della strategia digitale europea

Riutilizzo dei dati nel settore pubblico, cosa dice il Data Governance Act

All’interno del Regolamento si ribadisce la necessità di creare un libero e sicuro flusso di dati, anche nei confronti dei paesi terzi, al fine di favorire lo sviluppo in settori strategici come la salute, la mobilità, la produzione, i servizi finanziari, l’energia e l’agricoltura, o il clima.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Gli Spazi dati europei comuni, in particolare, “dovrebbero rendere i dati reperibili, accessibili, interoperabili e riutilizzabili (ai sensi dei principi FAIR, che richiedono che i dati destinati alla ricerca siano rintracciabili, accessibili, interoperabili e riutilizzabili), garantendo nel contempo un elevato livello di sicurezza informatica”. In presenza di una parità di condizioni nell’economia dei dati, infatti, le imprese competono non più sulla quantità dei dati che controllano, ma sulla qualità dei servizi che rendono sulla base dell’analisi di quegli stesi dati, con beneficio per l’industria tutta e per i cittadini che si trovano ad usufruire di quei servizi.

A tal fine, il Data Governance Act istituisce dei meccanismi di controllo sullo scambio dei dati, che lasciano impregiudicata la facoltà, per i singoli interessati, di esercitare i propri diritti. Ciò vale non soltanto per i dati personali, ma anche per tutte le informazioni inerenti a segreti industriali e commerciali, o a dati protetti da diritti di proprietà intellettuale, la cui indebita divulgazione avrebbe un impatto sulla posizione di mercato o sulla salute finanziaria dell’impresa cui si riferiscono.

Più nel dettaglio, agli enti pubblici che consentiranno il riutilizzo di determinate categorie “protette” di dati dovranno disporre di strumenti tecnici adeguati per garantire che la riservatezza dei dati sia preservata. Degli accordi esclusivi per il riutilizzo dei dati nel settore pubblico potranno essere conclusi soltanto in ipotesi giustificate e necessarie per la fornitura di un servizio di interesse generale, che altrimenti non sarebbe possibile fornire. La durata massima degli accordi esistenti sul tema sarà di 30 mesi e, per i nuovi contratti, di 12 mesi.

I poteri della Commissione Europea e degli Stati Membri

Alla Commissione Europea sarà affidato il compito di istituire un punto di accesso ai dati unico europeo, che offra un servizio di ricerca, mediante un registro elettronico, dei dati disponibili presso i punti unici di informazione nazionali (contenenti una panoramica di tutte le risorse dati disponibili). Nel punto di accesso saranno descritte anche le modalità di richiesta dei dati mediante i punti unici nazionali.

Inoltre, la Commissione potrà adottare decisioni di adeguatezza che dichiarano che specifici paesi terzi forniscono garanzie adeguate per l’uso di dati non personali trasferiti dall’UE. Si tratterebbe di decisioni simili alle decisioni di adeguatezza relative ai dati personali ai sensi del GDPR. Tali garanzie dovrebbero essere considerate esistenti “quando il paese in questione dispone di misure equivalenti che garantiscono un livello di protezione simile a quello previsto dal diritto dell’UE o degli Stati membri”. La Commissione può anche adottare delle clausole contrattuali standard per sostenere gli enti pubblici e i riutilizzatori dei dati nel caso in cui vi siano dei trasferimenti di dati non personali coperti dal DGA verso paesi terzi.

Agli Stati Membri, invece, viene affidato l’obbligo di designare uno o più organi competenti per assistere gli enti del settore pubblico che concedono o rifiutano l’accesso per il riutilizzo dei dati, fornendo supporto tecnico per la creazione di un ambiente di elaborazione sicuro, per la gestione dei profili tecnici legati all’archiviazione dei dati e alla loro anonimizzazione/pseudonimizzazione, per la gestione dei consensi e per la valutazione dell’adeguatezza degli impegni contrattuali assunti da un riutilizzatore.

Ricevuta la richiesta di riutilizzo, gli organi competenti dovranno pronunciarsi entro 60 giorni dalla ricezione della stessa. Detto termine è prorogabile di ulteriori 30 giorni, nel caso in cui la richiesta sia eccezionalmente estesa e complessa, previa comunicazione al richiedente della necessità di disporre di più tempo per la valutazione della richiesta, e delle motivazioni del ritardo.

La portata del DGA

Occorre evidenziare come il regolamento, secondo quanto espressamente affermato all’interno dell’art. 1 e del considerando 11, non crea alcun obbligo per gli enti pubblici di consentire il riutilizzo dei dati, né esonera gli enti pubblici dagli obblighi di riservatezza previsti dal diritto nazionale o unionale. “In particolare”, si legge, “ciascuno Stato Membro dovrebbe pertanto poter decidere se i dati sono resi accessibili per il riutilizzo, anche in termini di finalità e portata di tale accesso. Il presente regolamento dovrebbe integrare e lasciare impregiudicati gli obblighi più specifici degli enti pubblici di consentire il riutilizzo dei dati stabiliti dal diritto settoriale dell’Unione o nazionale […]. Tenendo conto del ruolo dell’accesso del pubblico ai documenti ufficiali e della trasparenza in una società democratica, il presente regolamento dovrebbe altresì lasciare impregiudicato il diritto dell’Unione o nazionale in materia di concessione dell’accesso ai documenti ufficiali e della loro divulgazione”.

Il regolamento, inoltre, come già anticipato, si applica ai dati detenuti dagli enti pubblici che sono protetti per motivi di:

  1. riservatezza commerciale, compresi i segreti commerciali, professionali e aziendali;
  2. segreto statistico;
  3. tutela dei diritti di proprietà intellettuale di terzi;
  4. protezione dei dati personali, nella misura in cui i dati esulano dall’ambito di applicazione della direttiva sugli open data.

Non sono compresi nell’ambito di applicazione del regolamento i dati detenuti da:

  1. imprese pubbliche;
  2. emittenti di servizio pubblico e loro controllate, e altri enti che operano nel servizio pubblico radiotelevisivo;
  3. istituzioni culturali e istituti di istruzione, quali biblioteche, archivi e musei, nonché orchestre, opere liriche, balletti e teatri, e da istituti di istruzione, in quanto “le opere e gli altri documenti in loro possesso sono prevalentemente coperti da diritti di proprietà intellettuale di terzi”;
  4. enti del settore pubblico protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale.

Le condizioni per il riutilizzo dei dati

All’art. 5 del Regolamento si prevede che le condizioni per il riutilizzo dei dati siano rese pubblicamente disponibili, e rispettino alcuni requisiti: le stesse, infatti, dovranno essere non discriminatorie, trasparenti, proporzionate e obiettivamente giustificate per quanto riguarda le categorie di dati e le finalità di riutilizzo e la natura dei dati per i quali è consentito il riutilizzo. Le condizioni non potranno essere utilizzate quale mezzo per alterare e restringere la concorrenza.

Più nello specifico, gli enti pubblici potranno prevedere i seguenti requisiti:

  1. concedere l’accesso per il riutilizzo dei dati solo se l’ente pubblico o l’organismo competente, a seguito della richiesta di riutilizzo, ha garantito che i dati sono stati anonimizzati o comunque modificati, aggregati o trattati con qualsiasi altro metodo di controllo della divulgazione (nel caso di informazioni commercialmente riservate, compresi segreti commerciali o contenuti protetti da diritti di proprietà intellettuale);
  2. accedere ai dati e riutilizzarli a distanza, all’interno di un ambiente di trattamento sicuro fornito o controllato dall’ente pubblico;
  3. accedere ai dati e riutilizzarli all’interno dei locali fisici in cui è stato costituito l’ambiente di trattamento sicuro, conformemente a norme di sicurezza elevate, fermo restando che l’accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi.

Le condizioni di riutilizzo dei dati dovranno preservare l’integrità del funzionamento dei sistemi tecnici dell’ambiente di elaborazione sicuro utilizzato, da intendersi come ambiente fisico o virtuale che permetta di garantire il rispetto dei principi di riservatezza, integrità e accessibilità, oltre che di supervisionare tutte le azioni di elaborazione dei dati, “inclusa la visualizzazione, l’archiviazione, il download e l’esportazione dei dati, oltre al calcolo di dati derivati mediante algoritmi computazionali”.

Il riutilizzo dei dati potrà essere garantito anche da parte di paesi terzi, previa definizione di atti esecutivi che determinino le modalità di utilizzo dei dati e garantiscano il pieno esercizio dei diritti da parte degli interessati i cui dati sono oggetto di scambio.

Delle commissioni potranno essere addebitate per il riutilizzo dei dati, proporzionate e giustificate, oltre che relative ai costi necessari per il regolare funzionamento del meccanismo di scambio dei dati (come, ad esempio, i costi di mantenimento dell’ambiente di trattamento sicuro).

I servizi di intermediazione dei dati

Al fine di promuovere il sicuro scambio dei dati, il DGA prevede che possano esserci dei fornitori di servizi di intermediazione dei dati, sia tra titolari e utenti dei dati, sia tra interessati e utenti.

“Per le imprese”, si legge nel comunicato stampa del Consiglio, “questi servizi possono assumere la forma di piattaforme digitali, che sosterranno la condivisione volontaria dei dati tra le imprese e faciliteranno l’adempimento degli obblighi di condivisione dei dati stabiliti non solo da tale legge, ma anche da altre normative, sia a livello europeo che nazionale. Utilizzando questi servizi, le aziende saranno in grado di condividere i propri dati senza timore che vengano utilizzati in modo improprio o di perdere il loro vantaggio competitivo”.

Non solo: in relazione ai dati personali, i fornitori di servizi di intermediazione aiuteranno le persone a esercitare i loro diritti ai sensi di quanto previsto dal GDPR: “questo aiuterà le persone ad avere il pieno controllo sui propri dati e consentirà loro di condividerli con un’azienda di cui si fidano. Ciò può essere fatto, ad esempio, mediante nuovi strumenti di gestione delle informazioni personali, come spazi di dati personali o portafogli di dati, che sono app che condividono tali dati con altri, in base al consenso del titolare dei dati”.

I fornitori di servizi di intermediazione dei dati dovranno essere censiti ed elencati all’interno di un apposito registro, secondo principi di trasparenza ed affidabilità nei confronti dei clienti e degli interessati. I fornitori di servizi non saranno autorizzati a utilizzare i dati condivisi per scopi diversi dalla messa a disposizione degli utenti dei dati e non saranno in grado di beneficiare dei dati, ad esempio commerciandoli. Detti soggetti, tuttavia, potranno addebitare dei costi per le operazioni che effettuano.

Digital Governance Act, gli obblighi per i provider

L’art. 12 del DGA prevede, inoltre, numerosi obblighi e facoltà per i fornitori dei servizi di intermediazione, tra cui:

  1. la facoltà di includere l’offerta di ulteriori strumenti e servizi specifici ai titolari o agli interessati allo scopo specifico di facilitare lo scambio di dati, quali la conservazione temporanea, la cura, la conversione, l’anonimizzazione e la pseudonimizzazione, tali strumenti sono utilizzati solo su esplicita richiesta o approvazione del titolare o dell’interessato e gli strumenti di terzi offerti in tale contesto non sono utilizzati per altri scopi;
  2. l’obbligo di disporre di procedure per prevenire pratiche fraudolente o abusive in relazione alle parti che cercano l’accesso attraverso i suoi servizi di intermediazione dei dati;
  3. l’obbligo di adottare misure tecniche, giuridiche e organizzative adeguate al fine di impedire il trasferimento o l’accesso a dati non personali illeciti ai sensi del diritto dell’Unione o del diritto nazionale dello Stato membro interessato;
  4. l’obbligo di informare senza indugio i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso;
  5. l’obbligo di conservare un log record dell’attività di intermediazione dei dati.

Ai fornitori riconosciuti di servizi di intermediazione dei dati sarà riconosciuto l’utilizzo di un etichetta e di un logo ufficiali, al fine di garantirne la facile identificabilità.

L’altruismo dei dati

Il DGA prevede, poi, all’art. 16, che gli Stati Membri possano disporre di dispositivi organizzativi e tecnici per facilitare l’altruismo dei dati. A titolo esemplificativo, possono introdurre politiche nazionali che consentano di assistere individui e aziende nella decisione di rendere i dati ad essi relativi volontariamente disponibili per fini di interesse comune, come progetti di ricerca medica.

Le organizzazioni che intendono raccogliere dati per scopi di interesse generale possono chiedere di essere iscritte all’interno di un registro nazionale degli organismi riconosciuti per l’altruismo dei dati, cui farà seguito il riconoscimento delle stesse in tutta l’UE, al fine di creare la necessaria fiducia nell’altruismo dei dati, “incoraggiando gli individui e le aziende a donare i dati a tali organizzazioni in modo che possano essere utilizzati per un più ampio bene sociale”.

Le organizzazioni di altruismo dei dati, al fine di poter ottenere il riconoscimento, dovranno rispettare le condizioni previste all’art. 18 del regolamento (come operare senza fini di lucro) e rispettare un regolamento appositamente adottato dalla Commissione Europea con atto delegato che stabilisce obblighi, requisiti tecnici e di sicurezza, raccomandazioni sull’interoperabilità e tabelle di marcia di comunicazione comuni.

Anche per le organizzazioni di altruismo dei dati viene prevista l’assegnazione di una etichetta dedicata e di un logo comune.

Al fine di agevolare la raccolta di dati basata sull’altruismo dei dati, la Commissione adotterà anche degli atti di esecuzione per l’istituzione e lo sviluppo di un modulo europeo di consenso all’altruismo dei dati, “previa consultazione del comitato europeo per la protezione dei dati, tenendo conto del parere del comitato europeo per l’innovazione dei dati e coinvolgendo debitamente le parti interessate”. Il modulo consentirà la raccolta del consenso o dell’autorizzazione al riutilizzo dei dati in tutti gli Stati membri secondo un modello uniforme.

Il modulo europeo di consenso all’altruismo dei dati dovrà utilizzare un approccio modulare che consenta la personalizzazione per settori specifici e per scopi diversi, ed essere reso in un formato stampabile e facilmente comprensibile, anche da strumenti elettronici.

Il Comitato europeo per l’innovazione dei dati

All’art. 29 si prevede l’istituzione di una nuova struttura, il Comitato europeo per l’innovazione dei dati, la cui funzione sarà quella, in particolare, di consigliare e assistere la Commissione nel processo di miglioramento dell’interoperabilità dei servizi di intermediazione dei dati e nell’emanazione di orientamenti su come facilitare lo sviluppo degli spazi di dati.

Il Comitato sarà formato da un gruppo di esperti composto da rappresentanti delle autorità competenti, tra cui ENISA, EDPB ed EDPS.

WHITEPAPER
Efficienza, sostenibilità e sicurezza con la gestione e tenuta dei libri sociali digitali
Dematerializzazione
Digital Transformation
@RIPRODUZIONE RISERVATA

Articolo 1 di 3