Data Governance Act, la UE impone fiducia e altruismo per lo scambio dei dati
Lo scorso il 24 settembre è entrata in vigore la legge sulla governance dei dati (Data Governance Act), il regolamento che crea una nuova modalità europea di governance dei dati basata su una maggiore fiducia nella condivisione. In molti ritengono che le iniziative dell’Unione Europea limitino la circolazione dei dati, pensando per esempio a tutte le restrizioni al trattamento dei dati personali imposte dal GDPR. in questo caso, invece, l’obiettivo è quello di creare un ambiente sicuro per la condivisione dei dati tra settori e Stati membri, a beneficio dei cittadini e delle imprese.
Oggi, il potenziale economico e sociale dei dati è enorme: usati in modo adeguato permettono di creare nuovi prodotti e servizi basati su tecnologie innovative, possono rendere la produzione più efficiente e fornire strumenti per combattere le sfide sociali. I dati possono contribuire a fornire una migliore assistenza sanitaria, migliorando i trattamenti personalizzati e aiutando a curare malattie rare o croniche. Possono poi essere un potente motore per l’innovazione e la creazione di nuovi posti di lavoro e possono rivelarsi una risorsa fondamentale per le start-up e le PMI.
La gran parte di questo potenziale non viene però sfruttata, perché la condivisione dei dati nell’UE è limitata a causa di una serie di ostacoli: anzitutto problemi di natura tecnica, ma anche per una scarsa fiducia nella condivisione, per problemi legati al riutilizzo dei dati del settore pubblico e alla raccolta per il bene comune. Nasce così la necessità di rendere disponibili più dati, condividerli con fiducia e riutilizzarli in modo tecnicamente semplice.
Cos’è il Data Governance Act
La risposta della UE a tali necessità è il Data Governance Act (DGA). Si tratta di un pilastro fondamentale dell’European Strategy For Data e consiste in uno strumento intersettoriale che ha l’obiettivo di rendere disponibili più dati regolamentando il riutilizzo di quelli pubblici/conservati e protetti, incentivando la condivisione attraverso la regolamentazione di nuovi intermediari e incoraggiando la condivisione per scopi altruistici.
Alla base del DGA c’è la creazione di uno spazio comune europeo dei dati, un mercato unico in cui i dati possano essere utilizzati indipendentemente dal luogo fisico di conservazione nell’Unione, nel rispetto della normativa vigente. Più in dettaglio, la strategia della UE propone di istituire spazi comuni di dati europei specifici per ogni settore, come modalità concrete di condivisione e messa in comune dei dati. Come previsto dalla strategia, tali spazi comuni di dati europei possono riguardare settori come la salute, la mobilità, la produzione, i servizi finanziari, l’energia o l’agricoltura o aree tematiche, come l’European green deal o gli spazi di dati europei per la pubblica amministrazione.
Sia i dati personali sia quelli non personali rientrano nell’ambito di applicazione del DGA e, nel caso di dati personali, si applica il GDPR. Oltre al GDPR, le salvaguardie integrate aumenteranno la fiducia nella condivisione e nel riutilizzo dei dati, un prerequisito per renderne disponibili di più sul mercato.
Le caratteristiche del DGA
Sono essenzialmente tre gli aspetti che caratterizzano il Digital Governanace Act: gli intermediari dei dati, l’altruismo dei dati e un uso più esteso dei dati della PA.
- I nuovi intermediari di dati possono agire come attori affidabili nell’economia dei dati.
- Le organizzazioni si possono impegnare e registrare volontariamente al fine di avere il massimo livello di fiducia con il minimo onere amministrativo.
- In aggiunta a ciò, attraverso nuove norme relative all’altruismo dei dati, il DGA intende aiutare i singoli e le aziende a donare i dati in modo sicuro e affidabile per contribuire a obiettivi sociali più ampi, come la lotta alle pandemie.
Viene poi migliorato il riutilizzo dei dati del settore pubblico che non possono essere resi disponibili come dati aperti.
IL DGA porta anche all’istituzione del Consiglio europeo per l’innovazione dei dati (European Data Innovation Board). Questo organismo definirà le linee guida per lo sviluppo di spazi comuni di dati europei e individuerà gli standard e i requisiti di interoperabilità per la condivisione di dati intersettoriali (ne parliamo più avanti in dettaglio).
Vediamo più in dettaglio questi aspetti che caratterizzano il Data Governance Act.
Servizi di intermediazione dei dati
Molte aziende ritengono che condividere i propri dati comporti una perdita di vantaggio competitivo e rappresenti un rischio di abuso. Per mettere fine a questo modo di vedere le cose, il DGA definisce precise regole per i fornitori di servizi di intermediazione di dati (i cosiddetti data broker, come, per esempio, i marketplace di dati) in modo da garantire che operino in tutta fiducia come organizzatori della condivisione o del raggruppamento di dati all’interno degli spazi comuni europei. Per aumentare la fiducia nella condivisione dei dati, questo nuovo approccio propone un modello basato sulla neutralità e sulla trasparenza degli intermediari di dati, consentendo al contempo agli individui e le aziende di mantenere il controllo dei loro dati.
Gli intermediari di dati funzionano come parti neutrali che mettono in contatto individui e aziende con gli utenti dei dati. Possono chiedere un compenso per facilitare la condivisione dei dati tra le parti, ma non possono utilizzare direttamente i dati che intermediano per ottenere un profitto finanziario (per esempio, vendendoli a un’altra azienda o utilizzandoli per sviluppare un proprio prodotto basato su tali dati).
Per garantire questa neutralità ed evitare conflitti di interesse, gli intermediari di dati devono assicurare una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito (devono essere giuridicamente separati). Inoltre, le condizioni commerciali (compresi i prezzi) per la fornitura di servizi di intermediazione non devono dipendere dal fatto che un potenziale detentore o utente di dati utilizzi altri servizi. I dati e i metadati acquisiti possono essere utilizzati solo per migliorare il servizio di intermediazione dei dati.
Altruismo dei dati
Attraverso l’altruismo dei dati (data altruism) viene consentito ad aziende e privati di dare il consenso o l’autorizzazione a rendere disponibili i dati da loro generati per utilizzarli nell’interesse pubblico senza ricevere alcun compenso. Il DGA vuole creare strumenti affidabili che permettano di condividere facilmente i dati in modo così da far progredire la ricerca e sviluppare prodotti e servizi migliori, in particolare in ambito salute, ambiente e mobilità. Questo consentirà di produrre pool di dati di dimensioni sufficienti per consentire l’analisi e l’apprendimento automatico, anche a livello transfrontaliero.
Chi deciderà di mettere a disposizione dati rilevanti secondo quanto stabilito dall’altruismo dei dati potrà registrarsi come “organizzazione di altruismo dei dati riconosciuta nell’Unione” e potrà decidere di essere inserito nel registro pubblico delle organizzazioni riconosciute che la Commissione UE istituirà a livello europeo.
Tali realtà devono essere senza scopo di lucro e soddisfare i requisiti di trasparenza, oltre a offrire garanzie specifiche per proteggere i diritti e gli interessi dei cittadini e delle aziende che condividono i loro dati. Inoltre, dovranno conformarsi al regolamento (non oltre 18 mesi dalla sua entrata in vigore) che sarà realizzato dalla Commissione UE e che stabilirà requisiti tecnici e di sicurezza, tabelle di marcia per la comunicazione e raccomandazioni sugli standard di interoperabilità.
Per raccogliere in un formato uniforme i dati in tutti gli Stati membri, sarà disponibile un modulo di consenso europeo comune per l’altruismo dei dati, che potrà essere adattato alle esigenze di settori e scopi specifici. Questo garantirà a chi condivide i propri dati di poter dare e ritirare facilmente il proprio consenso. Inoltre, darà certezza giuridica ai ricercatori e alle aziende che desiderano utilizzare i dati sulla base dell’altruismo.
Riutilizzo di dati detenuti da enti pubblici
Un ambito nazionale che i DGA tocca direttamente è l’utilizzo dei dati gestiti dalla Pubblica amministrazione. Il facile accesso agli open data è un fatto assodato. Il Data Governance Act va però oltre e considera una serie di dati protetti (come i dati personali e quelli commercialmente confidenziali) che sono in possesso del settore pubblico ma non possono essere riutilizzati come open data. Tuttavia, potrebbero essere riutilizzati in base a una specifica legislazione europea o nazionale. L’UE afferma che da questi dati si può estrarre una grande quantità di conoscenze senza comprometterne la natura protetta. A tal fine, il Data Governance Act prevede regole e salvaguardie per facilitare questo riutilizzo ogni volta sia possibile in base ad altre legislazioni.
In pratica, gli Stati membri dovranno essere tecnicamente attrezzati per garantire il pieno rispetto della privacy e della riservatezza dei dati nelle situazioni di riutilizzo. Ciò può comprendere una serie di strumenti, dalle soluzioni tecniche, come l’anonimizzazione, la pseudonimizzazione o l’accesso ai dati in ambienti di elaborazione sicuri (come le sale dati) sotto la supervisione del settore pubblico, ai mezzi contrattuali, come gli accordi di riservatezza conclusi tra l’ente pubblico e il riutilizzatore. Quest’ultimo deve poter essere assistito dall’ente pubblico nella ricerca del consenso dell’individuo per il riutilizzo dei suoi dati personali qualora l’ente stesso non possa concedere l’accesso a determinati dati per il loro riutilizzo.
Gli enti pubblici possono chiedere un corrispettivo per consentire il riutilizzo dei dati, purché le tariffe non superino i costi necessari sostenuti. Tuttavia, per incentivare il riutilizzo dei dati per la ricerca scientifica e altri scopi non commerciali, nonché per le PMI e le start-up, il DGA auspica che gli enti pubblici riducano o addirittura azzerino le tariffe.
Per aiutare i potenziali riutilizzatori a trovare informazioni su quali dati sono detenuti e da quali autorità pubbliche, gli Stati membri devono istituire un punto informativo unico. Un punto di accesso unico europeo (con un registro ricercabile delle informazioni compilate dai punti di informazione unici nazionali) facilita ulteriormente il riutilizzo dei dati nel mercato interno e oltre.
Un ente pubblico ha fino a due mesi di tempo per prendere una decisione su una richiesta di riutilizzo.
Comitato europeo per l’innovazione dei dati
La Commissione UE istituirà il Comitato europeo per l’innovazione dei dati (European Data Innovation Board) per rendere più semplice condividere le best practice in tema di intermediazione dei dati, altruismo dei dati e uso dei dati pubblici non disponibili quali open data. A ciò si aggiunge la priorità degli standard di interoperabilità intersettoriale.
Il Comitato europeo per l’innovazione dei dati sarà composto da rappresentanti delle seguenti entità:
- autorità competenti degli Stati membri per l’intermediazione dei dati
- autorità competenti degli Stati membri per l’altruismo dei dati
- Comitato europeo per la protezione dei dati
- Garante europeo della protezione dei dati
- Agenzia dell’Unione europea per la sicurezza informatica (European Union Agency for Cybersecurity, ENISA)
- Commissione europea
- Rappresentante dell’UE per le PMI oppure rappresentante nominato dalla rete di rappresentanti delle PMI
La rete opererà attraverso tre sottogruppi: uno composto dai rappresentanti delle autorità competenti degli Stati membri, uno per le discussioni tecniche su standardizzazione, portabilità e interoperabilità, e un ultimo sottogruppo per il coinvolgimento delle parti interessate.
Data Governance Act e condivisione dati con paesi extra UE
Un concetto chiaramente espresso dalla Commissione UE è che i trasferimenti internazionali di dati possono sbloccare il significativo potenziale socioeconomico della vasta quantità di dati generati all’interno dell’Unione, aumentando così la competitività internazionale e contribuendo alla crescita economica.
Così, se da una parte il DGA svolge un ruolo fondamentale nel rafforzare l’autonomia strategica aperta dell’Unione europea, dall’altra parte contribuisce a creare fiducia nei flussi di dati internazionali.
Il GDPR ha messo ha attuato tutte le garanzie necessarie nel contesto dei dati personali. Ora, grazie al Data Governance Act, esistono garanzie simili per le richieste di accesso da Paesi terzi nel contesto dei dati non personali. Tali garanzie riguardano tutti gli scenari e le disposizioni previste dal DGA, in particolare per i dati del settore pubblico, i servizi di intermediazione dei dati e l’altruismo dei dati. Il riutilizzatore nel Paese terzo dovrà garantire, in relazione ai dati in questione, lo stesso livello di protezione garantito dal diritto dell’UE, nonché accettare la rispettiva giurisdizione dell’UE.
Se necessario, la Commissione può adottare ulteriori decisioni di adeguatezza per il trasferimento di dati pubblici protetti per il riutilizzo quando si tratta di una richiesta di accesso a dati non personali proveniente da un Paese terzo.
Infine, il DGA concede alla Commissione di mettere a disposizione degli enti pubblici e dei riutilizzatori modelli di clausole contrattuali per tutti gli scenari in cui i dati del settore pubblico sono coinvolti in trasferimenti di dati con Paesi extra UE.