Normative europee

Data Governance Act, da settembre al via la nuova disciplina

L’obiettivo principale perseguito dall’Unione Europea è incentivare e accrescere la libera circolazione dei dati. La nuova legislazione non si limita a disciplinare i dati personali ma ha un campo applicativo ben più ampio

Aggiornato il 05 Lug 2023

Elisabetta Nunziante

TMT Specialist, LLM in IT and IP law al King’s College London

Ue-digitale-e1688574544362

Il Data Governance Act è stato pubblicato e sarà efficace a partire dal 24 settembre 2023, data entro la quale gli Stati Membri dovranno disporre adeguati meccanismi sanzionatori e regolamentari per poter dare piena attuazione al primo dei pilastri della nuova European Digital Strategy.

Data Governance, obiettivi e scopo

L’obiettivo principale perseguito dall’Unione Europea con il Data Governance Act è incentivare e accrescere la libera circolazione dei dati. Il Data Governance Act, pertanto, si pone in continuità (e in un rapporto di complementarità) con il GDPR mirando a creare una rinnovata fiducia negli scambi di dati e a stabilire condizioni di sicurezza e libera concorrenza per gli stessi.

La nuova legislazione, tuttavia, non si limita a disciplinare i dati personali ma ha un campo applicativo ben più ampio, come si può evincere dalla generica definizione di dati che include “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva”.

Infatti, il Data Governance Act si occupa di disciplinare la circolazione e lo scambio di dati protetti non solo dalla privacy ma anche da altre normative come, ad esempio, la normativa in materia di proprietà intellettuale e segreti.

In particolare, tale Regolamento si fonda su tre colonne portanti: il riuso dei dati detenuti da enti pubblici, la disciplina dei servizi di intermediazione e il cd. Altruismo dei dati. Nel prosieguo ci si concentrerà principalmente sul secondo aspetto e sulla portata della nuova disciplina degli stessi.

Preliminarmente va evidenziato che sotto la categoria di “fornitori di servizi di intermediazione dei dati” rientreranno soggetti eterogenei, accomunati principalmente dalla finalità di mettere in contatto titolari/interessati e utenti dei dati, in un contesto commerciale.

I servizi di intermediazione dei dati

In via generale, i servizi di intermediazione dei dati, come definiti dal Data Governance Act, sono forniti con l’intento di instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati ovvero di consentire al fornitore di servizi di intermediazione dei dati di acquisire informazioni in merito all’instaurazione di rapporti commerciali ai fini della condivisione dei dati.

Il Data Governance Act, in particolare, individua tre tipologie di servizi di intermediazione dei dati:

  1. servizi di intermediazione tra i titolari dei dati e i potenziali utenti dei dati: tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l’utilizzo congiunto dei dati, nonché infrastrutture specifiche per l’interconnessione di titolari dei dati con gli utenti dei dati;
  2. servizi di intermediazione tra interessati/persone fisiche e potenziali utenti dei dati: tali servizi, oltre ad attività di assistenza, possono comprendere la messa a disposizione di mezzi tecnici permettendo in particolare l’esercizio dei diritti degli interessati ai sensi del GDPR;
  3. servizi di cooperative di dati: tali servizi sono offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, al fine di assistere i propri membri nell’esercizio dei loro diritti in relazione a determinati dati e nel negoziare termini e condizioni per il trattamento degli stessi.

Diversi esempi di intermediazione dei dati sono già presenti sui nostri mercati sia come piattaforme B2B che come piattaforme B2C[1].

Tra le piattaforme di data sharing presenti nel mercato B2B si sono, fino ad ora, distinti:

  • i marketplace of data dove i “titolari dei dati” possono offrire agli “utenti” diverse tipologie di dati, per diversi scopi, in diversi settori e industrie, tramite piattaforme svolgono un ruolo di veicolo facilitatore delle transazioni;
  • i data pools, intese come le infrastrutture tecniche in cui i partecipanti alimentano e sfruttano la piattaforma di scambio fornendo e acquisendo dati;
  • i cd. spazi dei dati che si caratterizzano come piattaforme di scambio in contesti industriali determinati.

Da tali servizi si distinguono le cooperative dei dati, che conservano e aggregano dati a livello settoriale solitamente connettendo piccole e medie e imprese per offrire assistenza e supporto in fase di negoziazione.

Lato B2C, invece, l’intermediazione dei dati è solitamente svolta da cd. “data trust” che promettono ai propri clienti di aumentare il controllo sui propri dati e sulle proprie preferenze privacy o di partecipare attivamente ai benefici dell’economia dei dati.

La forma più diffusa di data trust sono i cd. PIMS che assumono dai propri utenti il mandato a “negoziare” i loro interessi, per superare le asimmetrie relazionali che hanno sinora fatto dell’interessato il “contraente debole”[2]. I PIMS agiscono nell’interesse di propri clienti, esercitando per loro conto i diritti GDPR, tempo mettendo a disposizione strumenti di anonimizzazione e pseudonimizzazione e di assistenza. Il Regolamento al considerando 30 sembra ammettere diverse gradazioni di tali servizi che potrebbero offrire agli interessati un mero servizio di consulenza ovvero mettere a disposizione veri e propri “spazi di dati personali”, consentendo il trattamento dei dati senza trasmissione a terzi, e finanche conservare “informazioni verificate sull’identità”.

Notevoli “esclusi” dal Data Governance Act sono i più famosi “data brokers” che raccolgono e aggregano dati da diverse fonti per scopi di monetizzazione, senza assumere un ruolo mediano volto a “facilitare” transazioni tra due parti.

Anche le piattaforme che si limitano a servizi di archiviazione sul cloud, di analisi, di software per la condivisione dei dati, di web browser, di plug-in per browser o di un servizio di posta elettronica non sono comprese nel regolamento. Infatti, non sono considerati intermediari i servizi che si limitano a mettere a disposizione strumenti tecnici per gli interessati o per i titolari dei dati per finalità di condivisione.

Data Governance Act, la neutralità

La regolamentazione dei servizi di intermediazione dei dati si propone di limitare la costituzione di significativi poteri di mercato e allo stesso tempo di garantire la trasparenza contrattuale.

La disciplina di tali figure si basa su un generale obbligo di notifica accompagnato da requisiti volti a garantire la neutralità di tali soggetti.

In particolare, il Data Governance Act impone una separazione strutturale dei servizi di intermediazione stabilendo che essi debbano essere forniti “attraverso una persona giuridica distinta”. Lo scopo principale di tale disposizione è evitare che società che offrono determinati servizi della società dell’informazione possano avvantaggiarsi delle informazioni e dei dati raccolti tramite attività di intermediazione.

  1. L’art. 12, inoltre, insistendo sulla “neutralità” prevede che i fornitori di servizi di intermediazione:
  2. Non potranno utilizzare i dati per scopi diversi dalla messa a disposizione dei dati agli utenti;
  • Non potranno usare metadati e simili informazioni per finalità diverse dallo sviluppo e in particolare per l’individuazione di frodi e tutela della cybersicurezza;
  • Non potranno effettuare pratiche di “bundling” con servizi diversi o di entità collegate;
  • Potranno, solo su richiesta, offrire strumenti e servizi supplementari ai titolari come la conservazione temporanea, la cura, la conversione, l’anonimizzazione e la pseudonimizzazione, senza poter utilizzare i dati per altri scopi.

Allo stesso tempo, l’art. 12 impone un generale obbligo di trasparenza rispetto a condizioni di servizi e prezzo, a tutela di titolari e utenti.

Alla luce di tale rigida disciplina gli effetti del Data Governance Act dovranno misurarsi sul lungo periodo.

La creazione di un chiaro framework regolamentare potrebbe promuovere gli investimenti in servizi volti a intermediare lo scambio dei dati, creando un clima di fiducia nella loro affidabilità. Tuttavia, il rischio è che una normativa stringente con sanzioni elevate come quella approvata dal Legislatore europeo possa scoraggiare i privati dall’intraprendere un rischio di impresa in tale settore, specialmente per quanto concerne start-up e imprese emergenti. Parimenti, i vincoli di neutralità potrebbero disincentivare investimenti su tali tipologie di servizi, soprattutto alla luce dei limiti all’integrazione con servizi di arricchimento e alla monetizzazione dei dati.

Il rapporto con il GDPR

  1. Il Data Governance Act nel lasciare impregiudicata la disciplina privacy (sancendo, altresì, la sua prevalenza in caso di conflitti) persegue scopi e obiettivi diversi dalla stessa.
  2. Il ruolo svolto dai fornitori dei servizi di intermediazione in relazione al trattamento dei dati sarà con ragionevole certezza uno dei temi più complessi che gli operatori si troveranno ad affrontare. Nella propria opinione congiunta sulla proposta normativa poi scaturita nell’approvazione del DGA, l’EDPS e l’EDBP avevano sottolineato l’esigenza di chiarire, già nel testo di legge, i ruoli dei diversi attori nel panorama della condivisione dei dati[3]. L’attuale incertezza è sicuramente un elemento di ostacolo allo sfruttamento delle piene potenzialità del nuovo testo normativo.I nuovi concetti di “Titolari” e “Utenti” dei Dati, sembrano entrambi sottintendere un interesse proprio e una notevole autonomia decisionale, con la conseguenza che è facile profilarne un generale ruolo di titolarità laddove siano coinvolti dati personali.

Più complessa appare invece la corretta identificazione del ruolo GDPR svolto dai fornitori di servizi di intermediazione. Sebbene, a prima vista, i limiti di “neutralità” imposti ai fornitori di servizi di intermediazione sembrerebbero far propendere per una categorizzazione come “responsabile del trattamento”, dovranno valorizzarsi anche elementi concreti per valutare la sussistenza di una possibile autonomia nella determinazione di finalità e mezzi.

La difficoltà nella determinazione dei ruoli GDPR nella fornitura di servizi di intermediazione si lega all’ulteriore nodo della base giuridica sulla base della quale tali dati verranno trattati e condivisi. In particolare, con riferimento ai servizi di intermediazione tra i titolari e utenti dei dati qualora, questi ultimi dovranno individuare basi giuridiche appropriate per la condivisione e ricezione dei dati nonché per i trattamenti di anonimizzazione e pseudonimizzazione degli stessi. Al fine di assicurare che la circolazione dei dati sia effettivamente incoraggiata, sarà importante osservare eventuali evoluzioni interpretative sul concetto di anonimizzazione dei dati, anche alla luce dei principi espressi nella decisione T-557/20[4].

Anche su questo il Data Governance Act appare particolarmente carente. Da un lato, infatti, il Regolamento riconosce che l’anonimizzazione è uno strumento volto a facilitare lo scambio dei dati (si veda art. 12 lett.e). Dall’altro, tuttavia, esso non fornisce alcun chiarimento su come l’attività di anonimizzazione per finalità di condivisioni possa conciliarsi con la normativa in materia di dati personali, limitandosi a statuire genericamente, al considerando 10, che “La reidentificazione degli interessati a partire da insiemi di dati anonimizzati dovrebbe essere vietata. Ciò dovrebbe lasciare impregiudicata la possibilità di svolgere ricerche sulle tecniche di anonimizzazione, segnatamente al fine di garantire la sicurezza delle informazioni, migliorare le tecniche di anonimizzazione esistenti e contribuire alla solidità generale dell’anonimizzazione, a norma del regolamento (UE) 2016/679.”.

La situazione appare complessa anche rispetto ai servizi di intermediazione tra titolari e interessati, dal momento che appare non chiaro, allo stato attuale, entro che misura questi ultimi potranno consentire l’esercizio dei diritti degli interessati essendo il GDPR silente sulla possibilità per gli interessati di delegare a terzi le proprie prerogative.

  1. È auspicabile che l’EDPB intervenga con linee guida e orientamenti volti a chiarire il rapporto tra GDPR e Data Governance Act, anche al fine di evitare contrasti e disallineamenti nelle interpretazioni delle diverse autorità di controllo nazionale.

L’efficacia del Data Governance Act dipenderà moltissimo dall’interpretazione delle sue disposizioni alla luce del GDPR. In assenza di orientamenti condivisi, il Regolamento rischia di rappresentare un ostacolo alla libera circolazione dei dati che si propone di incoraggiare. La mancanza di chiarezza dello scenario normativo, infatti, rappresenta un “costo occulto” per gli operatori e specialmente per le PMI.

Scadenze e competenze degli Stati Membri, le prossime tappe

Entro il 24 settembre 2023, gli Stati Membri dovranno individuare le autorità competenti per i servizi di intermediazione e stabilire i meccanismi sanzionatori connessi al mancato rispetto delle previsioni del Regolamento. Tali entità oltre a essere responsabili per la gestione del processo di notifica, dovranno anche occuparsi del monitoraggio della conformità dei servizi di intermediazione ai requisiti posti dal Regolamento, anche adottando misure sanzionatorie e ordinando la sospensione o la cessazione dell’attività, in caso di violazioni. Il Regolamento fissa come criterio per l’individuazione della giurisdizione quello dello stabilimento principale con un obbligo di mutua collaborazione tra autorità (art. 11), rinforzando, dunque, il principio del paese d’origine che si conferma un pilastro della normativa europea, in particolare nel contesto della regolamentazione del digitale.

Per quanto concerne l’impianto sanzionatorio, la vasta libertà lasciata agli Stati Membri è un’occasione mancata del testo che, essendo un Regolamento, avrebbe certamente potuto intervenire con maggiore forza, evitando frammentazioni che potrebbero avere effetti distorsivi del mercato interno.

Il Regolamento suggerisce che l’autorità competente per i servizi di intermediazione dei dati dovrebbe, nel caso si renda necessario, chiedere all’autorità di controllo per la protezione dei dati personali di emettere un parere o una decisione rispetto alla conformità con il GDPR. D’altra parte, come si è affermato in premessa, il Data Governance Act ha un campo di applicazione oggettivo più ampio del GDPR. In questo senso, il considerando 44 del Regolamento sembra, dunque, suggerire una struttura di controllo trasversale che tuteli non soltanto la protezione dei dati personali ma anche interessi diversi, come la proprietà intellettuale, nel panorama della circolazione di dati e informazioni.

Note

  1. Uno studio approfondito delle diverse possibili soluzioni di business collegate alla condivisione dei dati è nello Study on data sharing between companies in Europe della Commissione disponibile qui: https://op.europa.eu/de/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en
  2. I PIMS sono stati oggetto di particolare attenzione dall’ESPS per il ruolo centrale che potrebbero svolgere nell’economia dei dati, innalzando i livelli di fiducia e tutela https://edps.europa.eu/data-protection/our-work/subjects/personal-information-management-system_en
  3. https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_en
  4. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62020TJ0557

Articolo originariamente pubblicato il 05 Lug 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 5