UE – Focus sul Data Governance Act

di Francesco Sibilla e Giovanni Di Stefano

Il Data Governance Act (DGA) fa parte della nuova Strategia Europea per i Dati, presentata dalla Commissione europea nel febbraio 2020. Questa strategia mira a sviluppare un Mercato Unico dei dati sostenendo l’accesso, la condivisione e il riutilizzo dei dati personali ma facendolo in maniera responsabile, nel pieno rispetto dei valori dell’Unione europea e, in particolare, della normativa sulla protezione dei dati personali. L’obbiettivo dichiarato è quello di “stemperare” le disposizioni del GDPR, passate al vaglio della prassi applicativa come troppo restrittive nei confronti del commercio dei dati, senza tuttavia alterarne l’impianto fondamentale.

La Strategia, e il Data Governace Act che ne fa parte, si inseriscono, poi, nel più ampio contesto del piano d’azione della Commissione per assicurare il raggiungimento della sovranità digitale europea entro il 2030.

Il Regolamento sulla governance dei dati è stato adottato con il voto favorevole del Consiglio del 16 maggio 2022 e sarà applicabile a partire dal settembre 2023. Mira a promuovere la condivisione di dati personali e non istituendo delle strutture di intermediazione che consentiranno a creazione di ambienti sicuri al cui interno condividere i dati. Il Regolamento, in particolare, prevede: (i) l’orientamento e l’assistenza, sia tecnica che legale, per facilitare il riutilizzo di alcune categorie di dati protetti detenuti da operatori pubblici (come informazioni commerciali riservate, contenuti sottoposti a proprietà intellettuale, dati personali); (ii) la certificazione obbligatoria per i fornitori di servizi di intermediazione dei dati; (iii) una certificazione facoltativa per le organizzazioni che praticano l’altruismo dei dati.

L’atto normativo sulla governance dei dati creerà un meccanismo volto a consentire il riutilizzo sicuro di determinate categorie di dati che, detenuti da enti pubblici, sono l’oggetto di diritti di terzi come, ad esempio, segreti commerciali, dati personali e dati protetti da diritti di proprietà intellettuale. Gli enti pubblici che consentiranno tale riutilizzo dovranno, però, essere attrezzati adeguatamente, dal punto di vista tecnico, per poter garantire la piena tutela della privacy e della riservatezza dei .

A tal proposito, l’atto andrà anche ad integrare la Direttiva sull’apertura dei dati del 2019, che non contempla la condivisibilità di tali tipi di dati.

Gli accordi di esclusiva per il riutilizzo dei dati detenuti da enti pubblici saranno possibili ove giustificati dalla necessità di erogare un servizio di interesse generale. I contratti esistenti avranno una durata massima di 30 mesi, mentre quelli nuovi, conclusi dopo l’entrata in vigore, di 12 mesi.

La Commissione istituirà un punto di accesso unico europeo dotato di un registro elettronico consultabile relativo ai dati detenuti da enti pubblici, che sarà messo a disposizione attraverso gli sportelli unici nazionali.

Per quanto riguarda i dati personali, invece, i servizi di intermediazione e i relativi fornitori aiuteranno i cittadini a esercitare i loro diritti garantiti dal GDPR e ad avere, così, il pieno controllo sui propri dati, pur consentendo loro di condividerli con un’impresa in cui hanno fiducia. Tale risultato può essere ottenuto, ad esempio, mediante nuovi strumenti di gestione delle informazioni personali, quali spazi di dati personali o portafogli di dati: applicazioni che condividono le informazioni con terzi ma sempre sulla base del consenso del Titolare.

I fornitori di questi servizi di intermediazione dovranno essere iscritti in un apposito registro, in modo da garantire la loro affidabilità ed eventuale responsabilità agli occhi degli utenti.

I fornitori di servizi non saranno autorizzati a utilizzare i dati condivisi per altri scopi né potranno beneficiare in alcun modo degli stessi, ad esempio vendendoli o comunque trattandoli in ogni modo, mentre possono imporre tariffe per il servizio di intermediazione che offrono.

Secondo le previsioni svolte dalla Commissione, le nuove regole previste dal DGA avranno un impatto molto rilevante sull’economia e sulla società europee.

Si prevede, in particolare: (i) un incremento della produttività nel settore manifatturiero pari a 1,3 trilioni di euro, mediante lo sfruttamento dei dati provenienti dall’Internet of Things, entro il 2027; (ii) un incremento del volume dei dati globali fino a cinque volte il volume attuale entro il 2025, fino a un quantitativo di 175 zettabyte; (iii) 120 miliardi di euro di risparmi annui nel settore della sanità assicurati dalla condivisione, in modalità aggregata, dei dati dei pazienti; (iv) un PIL supplementare di 270 miliardi di euro entro il 2028; (v) una crescita della produttività, per le imprese che investono nell’innovazione basata sui dati, più rapida del 5-10% rispetto alle concorrenti; (vi) un risparmio, nei settori dei trasporti, dell’edilizia e dell’industria, grazie all’analisi in tempo reale dei dati condivisi, dal 10 al 20 per cento.

I consumatori e le imprese beneficeranno, quindi, di prezzi più bassi per i servizi post-vendita e per la riparazione degli oggetti connessi alla rete grazie alla più agevole condivisione dei dati, di nuove opportunità di utilizzo di servizi basati sull’accesso ai dati; accesso migliorato ai dati raccolti o prodotti da un dispositivo e, più in generale, dell’efficientamento dei mercati e delle prestazioni che la condivisione dei dati è in grado di causare.