In data 30 novembre 2021, il Parlamento e il Consiglio hanno raggiunto un accordo provvisorio[1] in merito alla nuova legislazione sulla governance europea dei dati (c.d. “EU Data Governance Act”)[2], una proposta di regolamento presentata dalla Commissione in data 25 novembre 2020 al fine di introdurre norme che facilitino la condivisione dei dati in tutta l’Unione, garantendo al contempo un ecosistema affidabile e aperto.
La proposta trova la sua ratio nella Strategia europea per i dati[3], che delinea le misure politiche e gli investimenti da impegnare per mantenere l’Unione all’avanguardia dell’economia agile basata sui dati, rispettando e promuovendo nel contempo i valori fondamentali che costituiscono i capisaldi delle società europee. L’uso dei dati, infatti, comporta enormi potenzialità economiche e sociali, che possono essere correttamente sfruttate solamente facendo sì che gli stessi possano venire condivisi con fiducia e siano facili da riutilizzare dal punto di vista tecnico. Il Data Governance Act, pertanto, si propone di allineare gli interventi promossi dagli Stati Membri al fine di creare un vero e proprio mercato unico dei dati e sostenere lo sviluppo di spazi comuni europei, compiendo così un deciso passo in avanti verso un maggiore impiego dei c.d. “Big Data”[4].
La proposta introduce in primo luogo delle disposizioni intese a facilitare il riutilizzo di certe categorie di dati detenuti da soggetti pubblici, e protetti per motivi di riservatezza commerciale, riservatezza statistica, protezione dei diritti di proprietà intellettuale di terzi nonché protezione dei dati personali[5]. Più particolarmente, il Regolamento prevede che gli enti pubblici che intendono concedere il riutilizzo di tali categorie di dati siano tenuti a prevedere condizioni non discriminatorie, proporzionate ed oggettivamente giustificate in relazione al tipo e alla natura dei dati stessi ed alle finalità del loro riutilizzo[6]. Al fine di assicurare la creazione di un ecosistema aperto di condivisione, inoltre, il Regolamento impone un divieto generale di concludere accordi di esclusiva per il riutilizzo di dati detenuti dai soggetti pubblici, con un’eccezione prevista per quelli necessari alla fornitura di un servizio o di un prodotto di interesse generale, ma a condizione che siano rispettate le norme europee e nazionali in materia di appalti pubblici e di aggiudicazione delle concessioni[7].
In secondo luogo, la proposta intende promuovere la diffusione dei servizi di condivisione dei dati, con una specifica disciplina volta a garantirne l’affidabilità. Nello specifico, la fornitura di tali servizi è soggetta ad una procedura di notifica, che si differenzia a seconda che si tratti di servizi di intermediazione tra le persone giuridiche titolari dei dati, di servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali, e di servizi di c.d. cooperative di dati[8]. Tale fornitura, inoltre, è soggetta a diverse condizioni quali, tra le altre, i) il divieto per il fornitore di utilizzare i dati per i quali fornisce servizi per scopi diversi dalla messa a disposizione degli stessi ai relativi utenti, ii) procedure per prevenire pratiche fraudolente o abusive in relazione all’accesso ai dati da parte dei soggetti richiedenti, iii) misure tecniche, giuridiche ed organizzative al fine di impedire il trasferimento dei dati non personali, e iv) una procedura di accesso al servizio equa, trasparente e non discriminatoria, sia per i titolari che per gli utenti dei dati[9]. Inoltre, è previsto un meccanismo di supervisione sulle attività dei fornitori di servizi di condivisione dei dati, la cui competenza è attribuita alle autorità nazionali designate dagli Stati Membri[10].
In terzo luogo, la proposta si occupa anche del c.d. “altruismo dei dati”[11], con norme volte a facilitare la condivisione volontaria dei dati da parte di persone fisiche e imprese, per finalità di interesse pubblico. Più particolarmente, gli enti che intendono raccogliere dati per finalità di interesse generale, e che soddisfano i requisiti di cui all’articolo 16[12] del Regolamento, dovranno richiedere di essere iscritti nel registro delle “organizzazioni per l’altruismo dei dati riconosciute”[13] e mantenere registri completi e accurati per quanto riguarda tutte le persone fisiche o giuridiche cui è stata data la possibilità di trattare i dati, la durata e la finalità del trattamento nonché le eventuali tariffe corrisposte da coloro che trattano i dati[14]. Tali enti, inoltre, dovranno informare i titolari dei dati in merito, da un lato, alle finalità di interesse generale per le quali consentono il trattamento dei loro dati da parte di un utente e, dall’altro, ad eventuali trattamenti effettuati al di fuori dell’Unione[15].
La proposta, infine, prevede l’istituzione di un Comitato europeo per l’innovazione in materia di dati incaricato, tra le altre, cose, di assistere e consigliare la Commissione nel rafforzamento dell’interoperabilità dei servizi di condivisione dei dati, nella gestione dei rapporti con le autorità nazionali nonché nello sviluppo di prassi coerenti degli enti pubblici e degli organismi competenti per il trattamento delle richieste di riutilizzo dei dati[16].
Il testo oggetto dell’accordo tra Parlamento e Consiglio presenta alcune modifiche rispetto a quello originariamente proposto dalla Commissione, che tuttavia non ne alterano né la struttura né gli obiettivi.
Per quanto riguarda i rapporti con le disposizioni in materia di tutela dei dati personali di cui al Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR)[17], l’accordo sembra accogliere alcune delle richieste avanzate dal Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB) e dal Garante europeo della protezione dei dati (European Data Protection Supervisor, EDPS) nel loro parere congiunto del 10 marzo 2021[18]. Più particolarmente, è stato inserito un nuovo comma nell’articolo 1 del Regolamento ove si precisa che le relative disposizioni non alterano in alcun modo gli obblighi previsti dal GDPR, e che in nessun caso il Regolamento stesso crea nuove basi giuridiche per il trattamento dei dati personali. Inoltre, sono state inserite le definizioni di “consenso” e “permesso” onde evitare che, come temuto dall’EDPB e dall’EDPS, quest’ultimo venga interpretato come una condizione alternativa al consenso dell’interessato per la condivisione dei dati piuttosto che come un requisito complementare.
Per quanto riguarda gli accordi di esclusiva, il nuovo testo del Regolamento prevede una riduzione della durata massima degli accordi consentiti, che da tre anni passerebbe a due anni e mezzo per quelli esistenti e a soli dodici mesi per quelli nuovi.
Per quanto riguarda gli enti pubblici, l’obbligo di assistere i riutilizzatori di dati pubblici a richiedere il consenso degli interessati e/o l’autorizzazione delle entità i cui diritti e interessi possono essere affetti da tale riutilizzo, è stato sostituito da un semplice impegno a fare il massimo possibile in tal senso.
L’accordo, infine, ha modificato la data di prima applicazione del Regolamento, che è stata portata a quindici mesi dalla sua entrata in vigore, invece dei dodici originariamente previsti, di modo tale da concedere agli Stati Membri un lasso di tempo sufficiente per prepararsi alla sua implementazione.
Il Data Governance Act dovrà ora essere approvato dal Parlamento e dal Consiglio e, una volta entrato in vigore, introdurrà novità di grande rilievo nelle società europee del ventunesimo secolo. Per la prima volta, infatti, verrà approvata una normativa direttamente applicabile negli Stati Membri e dedicata specificamente alla condivisione dei dati, destinata ad allargarsi con l’adozione degli atti delegati e di implementazione previsti dal regolamento stesso. L’utilizzo del regolamento per introdurre le nuove norme è destinato a consentire un perseguimento più efficace ed omogeneo degli obiettivi della Strategia europea per i dati per quanto riguarda lo sviluppo della data driven economy e la tutela dei diritti fondamentali dei cittadini. L’istituzione del Comitato europeo per l’innovazione in materia di dati, infine, garantirà una struttura istituzionale idonea ad offrire all’Unione strumenti ed infrastrutture normative altamente specializzati in un settore sempre più centrale per l’economia europea.
[1] Disponibile al seguente LINK.
[2] Com. Comm. COM(2020) 767 final del 25.11.2020, Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati.
[3] Com. Comm. COM(2020) 66 final del 19.02.2020, Una strategia europea per i dati.
[4] Per Big Data si intende la raccolta, l’analisi e l’accumulo di ingenti quantità di dati provenienti anche da fonti diverse, che non possono essere acquisiti, gestiti ed elaborati dai software ed hardware tradizionali in quanto richiedono processori e algoritmi di elaborazione più potenti.
[5] L’articolo 3 del Regolamento, intitolato “Categorie di dati”, al paragrafo 1 dispone: “… Il presente capo si applica ai dati detenuti da enti pubblici, che sono protetti per motivi di:
a) riservatezza commerciale;
b) riservatezza statistica;
c) protezione dei diritti di proprietà intellettuale di terzi;
d) protezione dei dati personali…”.
[6] L’articolo 5 del Regolamento, intitolato “Condizioni per il riutilizzo”, ai paragrafi 1-2 dispone: “… Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l’accesso per il riutilizzo di una o più delle categorie di dati di cui all’articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo. In tale compito possono essere assistiti dagli organismi competenti di cui all’articolo 7, paragrafo 1.
Le condizioni per il riutilizzo sono non discriminatorie, proporzionate e oggettivamente giustificate in relazione alle categorie di dati, alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza…”.
[7] L’articolo 4 del Regolamento, intitolato “Divieto di accordi di esclusiva”, ai paragrafi 1-3 dispone: “… Sono vietati gli accordi o altre pratiche relativi al riutilizzo di dati detenuti da enti pubblici e comprendenti le categorie di dati di cui all’articolo 3, paragrafo 1, che concedono diritti esclusivi o che hanno per oggetto o per effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di entità diverse dalle parti di tali accordi o altre pratiche.
In deroga al paragrafo 1, può essere concesso un diritto esclusivo di riutilizzo dei dati di cui al paragrafo 1 nella misura necessaria alla fornitura di un servizio o di un prodotto di interesse generale.
Tale diritto esclusivo è accordato nel contesto di un pertinente contratto di servizio o di concessione nel rispetto delle norme applicabili dell’Unione e nazionali in materia di appalti pubblici e di aggiudicazione delle concessioni o, nel caso di un contratto di un valore al quale non si applicano né le norme nazionali né quelle dell’Unione in materia di appalti pubblici e di aggiudicazione delle concessioni, nel rispetto dei principi di trasparenza, parità di trattamento e non discriminazione in base alla nazionalità…”.
[8] L’articolo 9 del Regolamento, intitolato “Fornitori di servizi di condivisione di dati”, al paragrafo 1 dispone: “… La fornitura dei seguenti servizi di condivisione dei dati è soggetta a una procedura di notifica:
a) servizi di intermediazione tra le persone giuridiche titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o lo sfruttamento congiunto dei dati, nonché l’istituzione di un’infrastruttura specifica per l’interconnessione di titolari dei dati e utenti dei dati;
b) servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, nell’esercizio dei diritti di cui al regolamento (UE) 2016/679;
c) servizi di cooperative di dati, vale a dire servizi che aiutano interessati o imprese individuali, microimprese o piccole e medie imprese, che sono membri della cooperativa o che conferiscono alla cooperativa il potere di negoziare i termini e le condizioni per il trattamento dei dati prima di dare il loro consenso, a compiere scelte informate prima di acconsentire al trattamento dei dati, e che prevedono meccanismi di scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi degli interessati o delle persone giuridiche…”.
[9] Si veda l’articolo 11 del Regolamento, intitolato “Condizioni per la fornitura di servizi di condivisione dei dati”.
[10] Si veda l’articolo 13 del Regolamento, intitolato “Monitoraggio della conformità”.
[11] L’articolo 2 del Regolamento, intitolato “Definizioni”, al punto 10) dispone: “… Ai fini del presente regolamento si applicano le seguenti definizioni: (…)
10) “altruismo dei dati”: il consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o le autorizzazioni di altri titolari dei dati volte a consentire l’uso dei loro dati non personali senza la richiesta di un compenso, per finalità di interesse generale, quali la ricerca scientifica o il miglioramento dei servizi pubblici…”.
[12] L’articolo 16 del Regolamento, intitolato “Requisiti generali per la registrazione”, dispone: “… Al fine di essere ammissibile alla registrazione, l’organizzazione per l’altruismo dei dati deve:
a) essere un’entità giuridica costituita per conseguire obiettivi di interesse generale;
b) operare senza scopo di lucro ed essere indipendente da qualsiasi entità che operi a scopo di lucro;
c) svolgere le attività relative all’altruismo dei dati mediante una struttura giuridicamente indipendente, separatamente dalle altre attività che ha intrapreso…”.
[13] L’articolo 15 del Regolamento, intitolato “Registro delle organizzazioni per l’altruismo dei dati riconosciute”, dispone: “… Ciascuna autorità competente designata a norma dell’articolo 20 tiene un registro delle organizzazioni per l’altruismo dei dati riconosciute.
La Commissione tiene un registro dell’Unione delle organizzazioni per l’altruismo dei dati riconosciute.
Un’entità registrata nel registro conformemente all’articolo 16 può, nelle proprie comunicazioni scritte e orali, definirsi un’organizzazione per l’altruismo dei dati riconosciuta nell’Unione…”.
[14] L’articolo 18 del Regolamento, intitolato “Obblighi di trasparenza”, al paragrafo 1 dispone: “… Le entità iscritte nel registro nazionale delle organizzazioni per l’altruismo dei dati riconosciute tengono registri completi e accurati per quanto riguarda:
a) tutte le persone fisiche o giuridiche cui è stata data la possibilità di trattare i dati detenuti dall’entità;
b) la data o la durata di tale trattamento;
c) le finalità di tale trattamento, quali dichiarate dalla persona fisica o giuridica cui è stata data la possibilità di effettuarlo;
d) le eventuali tariffe pagate dalle persone fisiche o giuridiche che trattano i dati…”.
[15] L’articolo 19 del Regolamento, intitolato “Obblighi specifici di tutela dei diritti e degli interessi delle entità giuridiche e degli interessati per quanto riguarda i loro dati”, al paragrafo 1 dispone: “… Le entità iscritte nel registro delle organizzazioni per l’altruismo dei dati riconosciute informano i titolari dei dati in merito:
a) alle finalità di interesse generale per le quali consentono il trattamento dei loro dati da parte di un utente dei dati, in modo comprensibile;
b) a eventuali trattamenti effettuati al di fuori dell’Unione…”.
[16] Si veda l’articolo 27 del Regolamento, intitolato “Compiti del comitato”.
[17] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GUUE L 119 del 04.05.2016.
[18] Disponibile al seguente LINK.