Normative europee

Data Governance Act, da settembre al via la nuova disciplina

L’obiettivo principale perseguito dall’Unione Europea è incentivare e accrescere la libera circolazione dei dati. La nuova legislazione non si limita a disciplinare i dati personali ma ha un campo applicativo ben più ampio

Pubblicato il 05 Lug 2023

Elisabetta Nunziante

TMT Specialist, LLM in IT and IP law al King’s College London

Il Data Governance Act è stato pubblicato e sarà efficace a partire dal 24 settembre 2023, data entro la quale gli Stati Membri dovranno disporre adeguati meccanismi sanzionatori e regolamentari per poter dare piena attuazione al primo dei pilastri della nuova European Digital Strategy.

Data Governance, obiettivi e scopo

L’obiettivo principale perseguito dall’Unione Europea con il Data Governance Act è incentivare e accrescere la libera circolazione dei dati. Il Data Governance Act, pertanto, si pone in continuità (e in un rapporto di complementarità) con il GDPR mirando a creare una rinnovata fiducia negli scambi di dati e a stabilire condizioni di sicurezza e libera concorrenza per gli stessi.

La nuova legislazione, tuttavia, non si limita a disciplinare i dati personali ma ha un campo applicativo ben più ampio, come si può evincere dalla generica definizione di dati che include “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva”.

Infatti, il Data Governance Act si occupa di disciplinare la circolazione e lo scambio di dati protetti non solo dalla privacy ma anche da altre normative come, ad esempio, la normativa in materia di proprietà intellettuale e segreti.

In particolare, tale Regolamento si fonda su tre colonne portanti: il riuso dei dati detenuti da enti pubblici, la disciplina dei servizi di intermediazione e il cd. Altruismo dei dati. Nel prosieguo ci si concentrerà principalmente sul secondo aspetto e sulla portata della nuova disciplina degli stessi.

Preliminarmente va evidenziato che sotto la categoria di “fornitori di servizi di intermediazione dei dati” rientreranno soggetti eterogenei, accomunati principalmente dalla finalità di mettere in contatto titolari/interessati e utenti dei dati, in un contesto commerciale.

I servizi di intermediazione dei dati

In via generale, i servizi di intermediazione dei dati, come definiti dal Data Governance Act, sono forniti con l’intento di instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati ovvero di consentire al fornitore di servizi di intermediazione dei dati di acquisire informazioni in merito all’instaurazione di rapporti commerciali ai fini della condivisione dei dati.

Il Data Governance Act, in particolare, individua tre tipologie di servizi di intermediazione dei dati:

  1. servizi di intermediazione tra i titolari dei dati e i potenziali utenti dei dati: tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l’utilizzo congiunto dei dati, nonché infrastrutture specifiche per l’interconnessione di titolari dei dati con gli utenti dei dati;
  2. servizi di intermediazione tra interessati/persone fisiche e potenziali utenti dei dati: tali servizi, oltre ad attività di assistenza, possono comprendere la messa a disposizione di mezzi tecnici permettendo in particolare l’esercizio dei diritti degli interessati ai sensi del GDPR;
  3. servizi di cooperative di dati: tali servizi sono offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, al fine di assistere i propri membri nell’esercizio dei loro diritti in relazione a determinati dati e nel negoziare termini e condizioni per il trattamento degli stessi.

Diversi esempi di intermediazione dei dati sono già presenti sui nostri mercati sia come piattaforme B2B che come piattaforme B2C[1].

Tra le piattaforme di data sharing presenti nel mercato B2B si sono, fino ad ora, distinti:

  • i marketplace of data dove i “titolari dei dati” possono offrire agli “utenti” diverse tipologie di dati, per diversi scopi, in diversi settori e industrie, tramite piattaforme svolgono un ruolo di veicolo facilitatore delle transazioni;
  • i data pools, intese come le infrastrutture tecniche in cui i partecipanti alimentano e sfruttano la piattaforma di scambio fornendo e acquisendo dati;
  • i cd. spazi dei dati che si caratterizzano come piattaforme di scambio in contesti industriali determinati.

Da tali servizi si distinguono le cooperative dei dati, che conservano e aggregano dati a livello settoriale solitamente connettendo piccole e medie e imprese per offrire assistenza e supporto in fase di negoziazione.

Lato B2C, invece, l’intermediazione dei dati è solitamente svolta da cd. “data trust” che promettono ai propri clienti di aumentare il controllo sui propri dati e sulle proprie preferenze privacy o di partecipare attivamente ai benefici dell’economia dei dati.

La forma più diffusa di data trust sono i cd. PIMS che assumono dai propri utenti il mandato a “negoziare” i loro interessi, per superare le asimmetrie relazionali che hanno sinora fatto dell’interessato il “contraente debole”[2]. I PIMS agiscono nell’interesse di propri clienti, esercitando per loro conto i diritti GDPR, tempo mettendo a disposizione strumenti di anonimizzazione e pseudonimizzazione e di assistenza. Il Regolamento al considerando 30 sembra ammettere diverse gradazioni di tali servizi che potrebbero offrire agli interessati un mero servizio di consulenza ovvero mettere a disposizione veri e propri “spazi di dati personali”, consentendo il trattamento dei dati senza trasmissione a terzi, e finanche conservare “informazioni verificate sull’identità”.

Notevoli “esclusi” dal Data Governance Act sono i più famosi “data brokers” che raccolgono e aggregano dati da diverse fonti per scopi di monetizzazione, senza assumere un ruolo mediano volto a “facilitare” transazioni tra due parti.

Anche le piattaforme che si limitano a servizi di archiviazione sul cloud, di analisi, di software per la condivisione dei dati, di web browser, di plug-in per browser o di un servizio di posta elettronica non sono comprese nel regolamento. Infatti, non sono considerati intermediari i servizi che si limitano a mettere a disposizione strumenti tecnici per gli interessati o per i titolari dei dati per finalità di condivisione.

Data Governance Act, la neutralità

La regolamentazione dei servizi di intermediazione dei dati si propone di limitare la costituzione di significativi poteri di mercato e allo stesso tempo di garantire la trasparenza contrattuale.

La disciplina di tali figure si basa su un generale obbligo di notifica accompagnato da requisiti volti a garantire la neutralità di tali soggetti.

In particolare, il Data Governance Act impone una separazione strutturale dei servizi di intermediazione stabilendo che essi debbano essere forniti “attraverso una persona giuridica distinta”. Lo scopo principale di tale disposizione è evitare che società che offrono determinati servizi della società dell’informazione possano avvantaggiarsi delle informazioni e dei dati raccolti tramite attività di intermediazione.

  1. L’art. 12, inoltre, insistendo sulla “neutralità” prevede che i fornitori di servizi di intermediazione:
  2. Non potranno utilizzare i dati per scopi diversi dalla messa a disposizione dei dati agli utenti;
  • Non potranno usare metadati e simili informazioni per finalità diverse dallo sviluppo e in particolare per l’individuazione di frodi e tutela della cybersicurezza;
  • Non potranno effettuare pratiche di “bundling” con servizi diversi o di entità collegate;
  • Potranno, solo su richiesta, offrire strumenti e servizi supplementari ai titolari come la conservazione temporanea, la cura, la conversione, l’anonimizzazione e la pseudonimizzazione, senza poter utilizzare i dati per altri scopi.

Allo stesso tempo, l’art. 12 impone un generale obbligo di trasparenza rispetto a condizioni di servizi e prezzo, a tutela di titolari e utenti.

Alla luce di tale rigida disciplina gli effetti del Data Governance Act dovranno misurarsi sul lungo periodo.

La creazione di un chiaro framework regolamentare potrebbe promuovere gli investimenti in servizi volti a intermediare lo scambio dei dati, creando un clima di fiducia nella loro affidabilità. Tuttavia, il rischio è che una normativa stringente con sanzioni elevate come quella approvata dal Legislatore europeo possa scoraggiare i privati dall’intraprendere un rischio di impresa in tale settore, specialmente per quanto concerne start-up e imprese emergenti. Parimenti, i vincoli di neutralità potrebbero disincentivare investimenti su tali tipologie di servizi, soprattutto alla luce dei limiti all’integrazione con servizi di arricchimento e alla monetizzazione dei dati.

Il rapporto con il GDPR

  1. Il Data Governance Act nel lasciare impregiudicata la disciplina privacy (sancendo, altresì, la sua prevalenza in caso di conflitti) persegue scopi e obiettivi diversi dalla stessa.
  2. Il ruolo svolto dai fornitori dei servizi di intermediazione in relazione al trattamento dei dati sarà con ragionevole certezza uno dei temi più complessi che gli operatori si troveranno ad affrontare. Nella propria opinione congiunta sulla proposta normativa poi scaturita nell’approvazione del DGA, l’EDPS e l’EDBP avevano sottolineato l’esigenza di chiarire, già nel testo di legge, i ruoli dei diversi attori nel panorama della condivisione dei dati[3]. L’attuale incertezza è sicuramente un elemento di ostacolo allo sfruttamento delle piene potenzialità del nuovo testo normativo.I nuovi concetti di “Titolari” e “Utenti” dei Dati, sembrano entrambi sottintendere un interesse proprio e una notevole autonomia decisionale, con la conseguenza che è facile profilarne un generale ruolo di titolarità laddove siano coinvolti dati personali.

Più complessa appare invece la corretta identificazione del ruolo GDPR svolto dai fornitori di servizi di intermediazione. Sebbene, a prima vista, i limiti di “neutralità” imposti ai fornitori di servizi di intermediazione sembrerebbero far propendere per una categorizzazione come “responsabile del trattamento”, dovranno valorizzarsi anche elementi concreti per valutare la sussistenza di una possibile autonomia nella determinazione di finalità e mezzi.

La difficoltà nella determinazione dei ruoli GDPR nella fornitura di servizi di intermediazione si lega all’ulteriore nodo della base giuridica sulla base della quale tali dati verranno trattati e condivisi. In particolare, con riferimento ai servizi di intermediazione tra i titolari e utenti dei dati qualora, questi ultimi dovranno individuare basi giuridiche appropriate per la condivisione e ricezione dei dati nonché per i trattamenti di anonimizzazione e pseudonimizzazione degli stessi. Al fine di assicurare che la circolazione dei dati sia effettivamente incoraggiata, sarà importante osservare eventuali evoluzioni interpretative sul concetto di anonimizzazione dei dati, anche alla luce dei principi espressi nella decisione T-557/20[4].

Anche su questo il Data Governance Act appare particolarmente carente. Da un lato, infatti, il Regolamento riconosce che l’anonimizzazione è uno strumento volto a facilitare lo scambio dei dati (si veda art. 12 lett.e). Dall’altro, tuttavia, esso non fornisce alcun chiarimento su come l’attività di anonimizzazione per finalità di condivisioni possa conciliarsi con la normativa in materia di dati personali, limitandosi a statuire genericamente, al considerando 10, che “La reidentificazione degli interessati a partire da insiemi di dati anonimizzati dovrebbe essere vietata. Ciò dovrebbe lasciare impregiudicata la possibilità di svolgere ricerche sulle tecniche di anonimizzazione, segnatamente al fine di garantire la sicurezza delle informazioni, migliorare le tecniche di anonimizzazione esistenti e contribuire alla solidità generale dell’anonimizzazione, a norma del regolamento (UE) 2016/679.”.

La situazione appare complessa anche rispetto ai servizi di intermediazione tra titolari e interessati, dal momento che appare non chiaro, allo stato attuale, entro che misura questi ultimi potranno consentire l’esercizio dei diritti degli interessati essendo il GDPR silente sulla possibilità per gli interessati di delegare a terzi le proprie prerogative.

  1. È auspicabile che l’EDPB intervenga con linee guida e orientamenti volti a chiarire il rapporto tra GDPR e Data Governance Act, anche al fine di evitare contrasti e disallineamenti nelle interpretazioni delle diverse autorità di controllo nazionale.

L’efficacia del Data Governance Act dipenderà moltissimo dall’interpretazione delle sue disposizioni alla luce del GDPR. In assenza di orientamenti condivisi, il Regolamento rischia di rappresentare un ostacolo alla libera circolazione dei dati che si propone di incoraggiare. La mancanza di chiarezza dello scenario normativo, infatti, rappresenta un “costo occulto” per gli operatori e specialmente per le PMI.

Scadenze e competenze degli Stati Membri, le prossime tappe

Entro il 24 settembre 2023, gli Stati Membri dovranno individuare le autorità competenti per i servizi di intermediazione e stabilire i meccanismi sanzionatori connessi al mancato rispetto delle previsioni del Regolamento. Tali entità oltre a essere responsabili per la gestione del processo di notifica, dovranno anche occuparsi del monitoraggio della conformità dei servizi di intermediazione ai requisiti posti dal Regolamento, anche adottando misure sanzionatorie e ordinando la sospensione o la cessazione dell’attività, in caso di violazioni. Il Regolamento fissa come criterio per l’individuazione della giurisdizione quello dello stabilimento principale con un obbligo di mutua collaborazione tra autorità (art. 11), rinforzando, dunque, il principio del paese d’origine che si conferma un pilastro della normativa europea, in particolare nel contesto della regolamentazione del digitale.

Per quanto concerne l’impianto sanzionatorio, la vasta libertà lasciata agli Stati Membri è un’occasione mancata del testo che, essendo un Regolamento, avrebbe certamente potuto intervenire con maggiore forza, evitando frammentazioni che potrebbero avere effetti distorsivi del mercato interno.

Il Regolamento suggerisce che l’autorità competente per i servizi di intermediazione dei dati dovrebbe, nel caso si renda necessario, chiedere all’autorità di controllo per la protezione dei dati personali di emettere un parere o una decisione rispetto alla conformità con il GDPR. D’altra parte, come si è affermato in premessa, il Data Governance Act ha un campo di applicazione oggettivo più ampio del GDPR. In questo senso, il considerando 44 del Regolamento sembra, dunque, suggerire una struttura di controllo trasversale che tuteli non soltanto la protezione dei dati personali ma anche interessi diversi, come la proprietà intellettuale, nel panorama della circolazione di dati e informazioni.

Note

  1. Uno studio approfondito delle diverse possibili soluzioni di business collegate alla condivisione dei dati è nello Study on data sharing between companies in Europe della Commissione disponibile qui: https://op.europa.eu/de/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en
  2. I PIMS sono stati oggetto di particolare attenzione dall’ESPS per il ruolo centrale che potrebbero svolgere nell’economia dei dati, innalzando i livelli di fiducia e tutela https://edps.europa.eu/data-protection/our-work/subjects/personal-information-management-system_en
  3. https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_en
  4. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62020TJ0557
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti trattati

Approfondimenti

B
big data
D
data privacy
D
data security
G
GDPR

Prossimo

Riconoscimento facciale: in Spagna LaLiga chiede il supporto del governo per la lotta al razzismo negli stadi

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Mail

Link

Articolo 1 di 2