Non è certamente un mistero dell’importanza dei dati, vero e proprio elemento centrale della nostra economia e società. L’Europa, da sempre attenta al regolamentazione del mondo digitale (da ultimo con la recente attuazione del Digital Service Act) ha annunciato nel documento “Una strategia europea per i dati” del 2020 una serie di provvedimenti finalizzati a creare spazio digitale europeo in cui le organizzazioni potessero condividere i dati, garantendo l’implementazione di prodotti e servizi forniti in settori strategici come sanità, ambiente, energia, agricoltura, mobilità, industria o finanza. Al centro della nuova politica europea è la concezione che i beni messi in commercio sono sempre più spesso accompagnati da una componente tecnologica che comporta inevitabilmente un uso di informazioni ed elaborazione dati (come l’Intelligenza Artificiale).
In altri termini, il bene in quanto tale è sempre più un accessorio alla componente digitale o informatica.
Pertanto, allo scopo di sostenere e incentivare le aziende nella “nuova” economia, la Commissione delinea una serie di politiche e misure che si traducono in interessanti novità legislative. Due provvedimenti in particolare si ritengono particolarmente significativi per lo sviluppo delle aziende: il Data Governance Act e il Data Act.
Indice
Il Data Governance Act
Il primo, già approvato nel maggio di quest’anno, è il REGOLAMENTO (UE) 2022/868, così detto Data Governance Act ha come obiettivo la condivisione di tutti i tipi di dati, personali e non e mira a motivare tutte le organizzazioni del settore pubblico e privato (ad esempio, della sanità), senza distinzioni, a facilitare e istituire nuovi scambi.
Il Regolamento si muove su quattro pilastri:
- mettere a disposizione dei dati del settore pubblico per il riutilizzo, nel caso in cui tali dati siano oggetto di diritti di terzi;
- condividere i dati tra le imprese, dietro la prestazione di un compenso in qualsiasi forma;
- permettere di prestare il consenso all’utilizzo dei dati personali, con l’ausilio di un “intermediario per la condivisione dei dati personali”, il cui compito consiste nell’aiutare i singoli individui a esercitare i propri diritti a norma del regolamento generale sulla protezione dei dati;
- permettere di prestare il consenso all’utilizzo dei dati per scopi altruistici.
Il Data Governance Act va ad integrare, quanto già previsto dalla Direttiva UE 2019/1024, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico, ritenuta non adeguatamente sufficiente a disciplinare le attuali necessità dei principali settori strategici, essendo mutati i contesti tecnologici e sociali, ed essendo intervenute ulteriori normative che richiedono un’armonizzazione legislativa generale.
Inoltre, data la crescente digitalizzazione dell’economia e della società, “vi è il rischio”, si legge nel testo, “che gli Stati membri adottino normative in materia di dati prive di coordinamento, il che accentuerebbe la frammentazione del mercato interno. L’istituzione di strutture e meccanismi di governance volti a creare un approccio coordinato per l’utilizzo dei dati in tutti i settori e in tutti gli Stati membri aiuterà i portatori di interessi dell’economia dei dati a trarre vantaggio dalle dimensioni del mercato unico. Ciò contribuirà alla creazione del mercato unico per i dati, garantendo lo sviluppo e il funzionamento transfrontaliero di nuovi servizimediante una serie di disposizioni armonizzate”.
Le imprese, infatti, hanno spesso bisogno di ottenere dati provenienti da diversi Stati membri al fine di sviluppare prodotti e servizi, non essendo sufficienti i dati disponibili a livello nazionale, o richiedendo il prodotto o il servizio di essere calibrato sulle preferenze dei clienti di un altro Stato membro. “È perciò necessario”, si afferma, “che i dati possano circolare facilmente attraverso catene del valore intersettoriali e a livello dell’UE ed è pertanto essenziale un contesto legislativo altamente armonizzato”.
Le norme si applicheranno a decorrere dal 24 settembre 2023.
Il Data Act
Veniamo ora alla proposta di Regolamento COM(2022) 68 che è davvero molto interessante, ma che ha dei risvolti rispetto all’applicazione del GDPR e al trattamento dati che vanno esaminati e monitorati, come segnalato anche nel parere congiunto dell’EDPB e EDPS.
Il data act mira a stabilire regole armonizzate sull’accesso e l’uso dei dati generati da un’ampia gamma di prodotti e servizi, inclusi oggetti connessi (“Internet of Things”), dispositivi medici o sanitari e assistenti virtuali. La legge sui dati mira anche a rafforzare il diritto degli interessati alla portabilità dei dati ai sensi dell’art. 20 del GDPR. L’obiettivo principale della norma, quindi, sembra essere quello di una integrale apertura al mercato dei dati digitali, finalizzata a rendere i dati facilmente accessibili all’utente, ma soprattutto a favore dei destinatari delle condivisioni e delle istituzioni pubbliche che, in ipotesi di straordinaria necessità, potrebbero averne bisogno.
Ma l’apertura dei dati porta inevitabilmente preoccupazioni lato privacy degli utenti derivanti dalla condivisione su larga scala di tali dati.
Proprio in questo senso è il contenuto del Parere congiunto di EDPB (European Data Protection Board) e EDPS (European Data Protection Supervisor) che rilevano come la proposta si applicherebbe ad un’ampia gamma di prodotti e servizi, compresi gli oggetti connessi, alcuni dei quali possono trattare anche categorie particolari di dati personali, come dati sanitari o dati biometrici. Poiché la proposta sul data act non esclude esplicitamente dal proprio ambito di applicazione alcune tipologie di dati, dati che si rivelano altamente sensibili, le informazioni sulle persone potrebbero diventare oggetto di condivisione ed utilizzo secondo le regole stabilite nella proposta.
L’accesso, l’uso e la condivisione dei dati personali da parte di soggetti diversi dagli interessati, infatti, dovrebbero avvenire nel pieno rispetto di tutti i principi e le regole in materia di protezione dei dati. Inoltre, i prodotti dovrebbero essere progettati in maniera tale che agli interessati sia offerta la possibilità di utilizzare i dispositivi in modo anonimo o nel modo meno invasivo possibile per la privacy.
L’EDPS e l’EDPB consigliano, quindi, al legislatore UE di prevedere limitazioni o restrizioni all’uso dei dati generati dall’uso di un prodotto o servizio da parte di qualsiasi entità diversa dagli interessati, in particolare quando i dati in questione possono consentire di raccogliere informazioni precise in quanto tratti dalla vita privata degli interessati con la conseguenza di rischi elevati per i diritti e le libertà degli interessati. Viene raccomandato di introdurre chiare limitazioni per quanto riguarda l’uso dei dati pertinenti a fini di marketing diretto o pubblicità; monitoraggio dei dipendenti; calcolo, modifica dei premi assicurativi; livello di crediti. Dovrebbero inoltre essere previste limitazioni all’uso dei dati per proteggere gli interessati vulnerabili, in particolare i minori.
L’iter legislativo è ancora agli inizi, la proposta è del febbraio di quest’anno, sarà, quindi, interessante vedere come i suggerimenti del citato parere saranno seguiti.
Conclusioni
Sicuramente condivisibili la preoccupazione dell’EDPB e EDPS perché lo sviluppo della tecnologia non deve certamente avvenire calpestando diritti, faticosamente conquistati, degli utenti. Non solo, il Regolamento Generale sulla protezione dei dati che ha costruito una credibilità sui diritti e sui principi per il corretto trattamento dati deve restare caposaldo di questa nuova politica dell’Unione Europea. Una cornice all’interno della quale disegnare meccanismi di condivisioni di informazioni e dati nel rispetto dei diritti degli utenti.
