Legge sulla governance dei dati spiegata

Il potenziale economico e sociale dei dati è enorme: può consentire nuovi prodotti e servizi basati su nuove tecnologie, rendere la produzione più efficiente e fornire strumenti per combattere le sfide sociali. Nel settore della salute, ad esempio, i dati possono contribuire a fornire una migliore assistenza sanitaria, migliorare i trattamenti personalizzati e aiutare a curare malattie rare o croniche. È anche un potente motore per l'innovazione e nuovi posti di lavoro e una risorsa fondamentale per le start-up e le PMI.

Tuttavia, questo potenziale non si sta realizzando. La condivisione dei dati nell'UE rimane limitata a causa di una serie di ostacoli (tra cui la scarsa fiducia nella condivisione dei dati, le questioni relative al riutilizzo dei dati del settore pubblico e la raccolta di dati per il bene comune, nonché gli ostacoli tecnici).

Per sfruttare veramente questo enorme potenziale, dovrebbe essere più facile condividere i dati in modo affidabile e sicuro.

Il Data Governance Act (DGA) è uno strumento intersettoriale che mira a regolamentare il riutilizzo dei dati pubblici e protetti, potenziando la condivisione dei dati attraverso la regolamentazione di nuovi intermediari di dati e incoraggiando la condivisione dei dati per scopi altruistici. Sia i dati personali che quelli non personali rientrano nell'ambito di applicazione della DGA e, per quanto riguarda i dati personali, si applica il regolamento generale sulla protezione dei dati (GDPR). Oltre al GDPR, le garanzie integrate aumenteranno la fiducia nella condivisione e riutilizzo dei dati, un prerequisito per rendere disponibili più dati sul mercato.

Riutilizzo di determinate categorie di dati detenuti da enti pubblici

Quali sono gli obiettivi chiave?

La direttiva sull'apertura dei dati disciplina il riutilizzo delle informazioni pubbliche/disponibili in possesso del settore pubblico. Tuttavia, il settore pubblico detiene anche grandi quantità di dati protetti (ad esempio dati personali e dati commercialmente riservati) che non possono essere riutilizzati come dati aperti ma che potrebbero essere riutilizzati a norma di una legislazione specifica dell'UE o nazionale. Una ricchezza di conoscenze può essere estratta da tali dati senza comprometterne la natura protetta e la DGA prevede norme e salvaguardie per facilitare tale riutilizzo ogniqualvolta sia possibile ai sensi di altre normative.  

Come funziona nella pratica?

• Requisiti tecnici per il settore pubblico: Gli Stati membri dovranno essere tecnicamente attrezzati per garantire che la vita privata e la riservatezza dei dati siano pienamente rispettate in situazioni di riutilizzo. Ciò può includere una serie di strumenti, dalle soluzioni tecniche, come l'anonimizzazione, la pseudonimizzazione o l'accesso ai dati in ambienti di trattamento sicuri (ad esempio sale dati) sorvegliate dal settore pubblico, a strumenti contrattuali come gli accordi di riservatezza conclusi tra l'ente pubblico e il riutilizzatore.
• Assistenza da parte dell'ente pubblico: Se un ente pubblico non può concedere l'accesso a determinati dati per il riutilizzo, dovrebbe aiutare il potenziale riutilizzatore a chiedere il consenso dell'interessato a riutilizzare i propri dati personali o l'autorizzazione del titolare dei dati i cui diritti o interessi possono essere pregiudicati dal riutilizzo. Inoltre, le informazioni riservate (ad esempio segreti commerciali) possono essere divulgate per il riutilizzo solo con tale consenso o autorizzazione.
• Per disporre di dati ancora più pubblici disponibili per il riutilizzo, la DGA limita il ricorso agli accordi esclusivi di riutilizzo dei dati (nel caso in cui un ente pubblico conceda tale diritto esclusivo a un'impresa) a casi specifici di interesse pubblico.
• Commissioni ragionevoli: gli enti pubblici possono riscuotere diritti per consentire il riutilizzo purché tali diritti non superino i costi necessari sostenuti. Inoltre, gli enti pubblici dovrebbero incentivare il riutilizzo a fini di ricerca scientifica e altri scopi non commerciali, nonché da parte delle PMI e delle start-up, riducendo o addirittura escludendo la tariffazione.
• Un ente pubblico avrà fino a due mesi per prendere una decisione in merito a una richiesta di riutilizzo.
• Gli Stati membri possono scegliere quali organismi competenti sosterranno gli enti pubblici che concedono l'accesso al riutilizzo, ad esempio fornendo a questi ultimi un ambiente di trattamento sicuro e fornendo loro consulenza su come strutturare e archiviare al meglio i dati per renderli facilmente accessibili.
• Per aiutare i potenziali riutilizzatori a reperire informazioni pertinenti su quali dati sono detenuti dalle autorità pubbliche, gli Stati membri saranno tenuti a istituire un unico punto d'informazione. La Commissione ha creato il registro europeo dei dati protetti detenuti dal settore pubblico (ERPD), un registro consultabile delle informazioni compilato dai punti di informazione unici nazionali al fine di agevolare ulteriormente il riutilizzo dei dati nel mercato interno e oltre.

Esempi

• L'autorità finlandese per i dati sociali e sanitari Findata elabora le richieste e concede l'accesso ai dati per il riutilizzo. Esempi di fonti di dati di Findata sono l'istituto di assicurazione sociale, il registro delle pensioni e il registro della popolazione.
• La società francese DAMAE Medical sta migliorando la sua tecnologia LC-OCT (Line-field Confocal Optical Coherence Tomography) che dà accesso a immagini a risoluzione cellulare delle microstrutture interne della pelle fino al derma, immediatamente e in modo non invasivo con nuovi dati di formazione resi disponibili attraverso il French Health Data Hub. L'obiettivo del progetto è quello di migliorare la capacità di questa tecnologia per identificare meglio i potenziali segni di cancro della pelle e delimitare meglio l'area di intervento chirurgico.

Servizi di intermediazione dei dati

Quali sono gli obiettivi chiave?

Molte aziende temono attualmente che la condivisione dei propri dati implichi una perdita di vantaggio competitivo e rappresenti un rischio di uso improprio. La DGA definisce una serie di norme per i fornitori di servizi di intermediazione dei dati (i cosiddetti intermediari di dati, come i mercati dei dati) per garantire che funzionino in qualità di organizzatori affidabili della condivisione o della messa in comune dei dati all'interno degli spazi comuni europei di dati. Al fine di aumentare la fiducia nella condivisione dei dati, questo nuovo approccio propone un modello basato sulla neutralità e sulla trasparenza degli intermediari di dati, mettendo al contempo le persone e le imprese in controllo dei loro dati.

Come funziona nella pratica?

Il framework offre un modello alternativo alle pratiche di gestione dei dati delle piattaforme Big Tech, che hanno un alto grado di potere di mercato perché controllano grandi quantità di dati.

In pratica, gli intermediari di dati funzioneranno come terzi neutrali che collegano individui e aziende con gli utenti dei dati. Sebbene possano addebitare per facilitare la condivisione dei dati tra le parti, non possono utilizzare direttamente i dati che intermediano per ottenere profitti finanziari (ad esempio vendendoli a un'altra società o utilizzandoli per sviluppare il proprio prodotto sulla base di tali dati). Gli intermediari dei dati dovranno rispettare requisiti rigorosi per garantire tale neutralità ed evitare conflitti di interesse. In pratica, ciò significa che deve esistere una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito (vale a dire che devono essere legalmente separati). Inoltre, le condizioni commerciali (compresi i prezzi) per la fornitura di servizi di intermediazione non dovrebbero dipendere dal fatto che un potenziale titolare dei dati o un utente dei dati utilizzi altri servizi. Tutti i dati e i metadati acquisiti possono essere utilizzati solo per migliorare il servizio di intermediazione dei dati.

Sia le organizzazioni autonome che forniscono solo servizi di intermediazione dei dati sia le aziende che offrono servizi di intermediazione dei dati oltre ad altri servizi potrebbero funzionare come intermediari di fiducia. In quest'ultimo caso, l'attività di intermediazione dei dati deve essere strettamente separata, sia dal punto di vista giuridico che economico, da altri servizi di dati.

Nell'ambito della DGA, gli intermediari dei dati saranno tenuti a notificare all'autorità competente la loro intenzione di fornire tali servizi. L'autorità competente garantirà che la procedura di notifica non sia discriminatoria e non distorca la concorrenza e confermerà che il fornitore di servizi di intermediazione dei dati ha presentato la notifica contenente tutte le informazioni richieste.

Una volta ricevuta tale conferma, l'intermediario dei dati può legalmente iniziare a operare e utilizzare l'etichetta "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione" nella sua comunicazione scritta e orale, nonché il logo comune. Tali autorità controlleranno inoltre il rispetto dei requisiti di intermediazione dei dati e la Commissione terrà un registro centrale degli intermediari di dati riconosciuti.

Esempi

Con il suo Data Intelligence Hub, Deutsche Telekom offre un mercato dei dati in cui le aziende possono gestire, fornire e monetizzare in modo sicuro informazioni di buona qualità, ad esempio i dati di produzione, al fine di ottimizzare i processi o l'intera catena del valore. Telekom assume il ruolo di fiduciario neutrale e garantisce la sovranità dei dati attraverso la gestione decentralizzata dei dati. Attualmente più di 1.000 utenti provenienti da oltre 100 aziende diverse sono attivi sulla piattaforma.

Dawex è un'azienda francese che si descrive come un "mercato globale dei dati".  Dawex non acquista o vende dati, ma riunisce le aziende interessate a monetizzare e riutilizzare i dati e promuove la trasparenza tra i fornitori di dati e gli utenti assicurando che comunichino e conducano la transazione direttamente sulla sua piattaforma. Dawex ha sviluppato una serie di strumenti per aiutare sia i fornitori di dati che gli utenti a comprendere, valutare e comunicare i dati. Gli strumenti di visualizzazione (ad esempio mappe di calore, mappe ad albero) forniscono agli utenti dati diverse informazioni su un set di dati completo che può essere condiviso in modo sicuro prima del completamento di una transazione. Gli strumenti di campionamento generano automaticamente campioni di dati rappresentativi basati su algoritmi per evitare distorsioni. Gli utenti dei dati e i fornitori di dati comunicano utilizzando uno strumento di messaggistica incorporato nella piattaforma. Inoltre, Dawex supporta la negoziazione dell'accordo contrattuale con termini modello che possono essere generati automaticamente.

API-AGRO è un hub agricolo di condivisione dei dati che utilizza la tecnologia Dawex. Questa tecnologia favorisce un ecosistema agricolo che coinvolge numerosi attori e un intermediario neutrale (la piattaforma Api-Agro) dove esiste una netta separazione tra il ruolo di intermediazione e altre attività connesse all'utilizzo dei dati. API-Agro non monetizza i dati, ma funziona come una terza parte neutrale che collega i titolari dei dati e gli utenti dei dati.

Altruismo dei dati

Quali sono gli obiettivi chiave?

L'altruismo dei dati riguarda individui e aziende che danno il loro consenso o il permesso di rendere disponibili i dati che generano — volontariamente e senza ricompensa — per essere utilizzati nell'interesse pubblico. Tali dati hanno un enorme potenziale per far progredire la ricerca e sviluppare prodotti e servizi migliori, anche nei settori della salute, dell'ambiente e della mobilità.

La ricerca indica che, mentre in linea di principio vi è la volontà di impegnarsi nell'altruismo dei dati, in pratica ciò è ostacolato dalla mancanza di strumenti di condivisione dei dati. Come tale, l'obiettivo del Data Governance Act è quello di creare strumenti affidabili che consentano la condivisione dei dati in modo semplice a beneficio della società. Creerà le condizioni giuste per assicurare alle persone fisiche e alle imprese che, quando condividono i loro dati, saranno gestite da organizzazioni di fiducia basate sui valori e sui principi dell'UE. Ciò consentirà la creazione di pool di dati di dimensioni sufficienti per consentire l'analisi dei dati e l'apprendimento automatico, anche a livello transfrontaliero.

Come funziona nella pratica?

I soggetti che mettono a disposizione dati pertinenti basati sull'altruismo dei dati potranno registrarsi come "organizzazioni per l'altruismo dei dati riconosciute nell'Unione". Tali entità devono avere un carattere senza scopo di lucro e soddisfare i requisiti di trasparenza, nonché offrire garanzie specifiche per proteggere i diritti e gli interessi dei cittadini e delle imprese che condividono i loro dati. Inoltre, devono rispettare il codice (al più tardi 18 mesi dopo la sua entrata in vigore), che stabilirà requisiti in materia di informazione, requisiti tecnici e di sicurezza, tabelle di marcia per la comunicazione e raccomandazioni sulle norme di interoperabilità. Il codice sarà elaborato dalla Commissione, in stretta collaborazione con le organizzazioni per l'altruismo dei dati e altre parti interessate.

Le entità saranno in grado di utilizzare il logo comune progettato a tal fine e potranno scegliere di essere inserite nel registro pubblico delle organizzazioni di altruismo dei dati. La Commissione istituirà, a fini informativi, un registro a livello dell'UE delle organizzazioni per l'altruismo dei dati riconosciute.  

Un modulo comune europeo di consenso per l'altruismo dei dati consentirà la raccolta di dati in tutti gli Stati membri in un formato uniforme, garantendo che coloro che condividono i loro dati possano facilmente dare e revocare il loro consenso. Darà inoltre certezza giuridica ai ricercatori e alle imprese che desiderano utilizzare dati basati sull'altruismo. Si tratterà di una forma modulare, adattabile alle esigenze di settori e scopi specifici.

Esempi

MyData Global mira a "potenziare gli individui migliorando il loro diritto all'autodeterminazione per quanto riguarda i loro dati personali". Mentre l'obiettivo generale si estende oltre l'altruismo dei dati, l'organizzazione fornisce un'interfaccia affidabile per i membri per dare il consenso all'uso dei loro dati personali per scopi specifici.

La piattaforma Smart Citizen consente ai cittadini di condividere i dati sui livelli di rumore e sull'inquinamento nella loro casa raccolti attraverso i sensori. Ciò fornisce informazioni essenziali per mappare il rumore e la qualità dell'aria e per i ricercatori e i governi per sviluppare soluzioni mirate a questi problemi.

La tedesca Corona-Datenspende-App è stata creata per raccogliere dati (ad esempio frequenza cardiaca, temperatura corporea, pressione sanguigna, modelli di sonno) da braccialetti fitness e smartwatch. Monitorando questi dati, i ricercatori potrebbero individuare in una fase precoce possibili punti di crisi COVID-19.

Comitato europeo per l'innovazione dei dati

Quali sono gli obiettivi chiave?

Come previsto dalla DGA, la Commissione ha istituito il comitato europeo per l'innovazione dei dati (EDIB) per facilitare la condivisione delle migliori pratiche, in particolare per quanto riguarda l'intermediazione dei dati, l'altruismo dei dati e l'uso di dati pubblici che non possono essere resi disponibili come dati aperti, nonché sulla definizione delle priorità delle norme di interoperabilità intersettoriali.

Come funziona nella pratica?

L'EDIB comprende rappresentanti delle seguenti entità:

• Autorità competenti degli Stati membri per l'intermediazione dei dati
• Autorità competenti degli Stati membri per l'altruismo dei dati
• Comitato europeo per la protezione dei dati
• il Garante europeo della protezione dei dati
• Agenzia dell'Unione europea per la cibersicurezza (ENISA)
• la Commissione europea
• L'inviato/rappresentante dell'UE per le PMI nominato dalla rete di inviati per le PMI
• altri rappresentanti degli organismi competenti selezionati dalla Commissione attraverso un invito a presentare esperti.

L'elenco dei membri dell'EDIB è disponibile qui:  Registro dei gruppi di esperti della Commissione e di altre entità analoghe (europa.eu).

Edib avrà il potere di proporre linee guida per gli spazi comuni europei dei dati, ad esempio per quanto riguarda l'adeguata protezione dei trasferimenti di dati al di fuori dell'Unione.

Flussi internazionali di dati

Quali sono gli obiettivi chiave?

La strategia europea per i dati del febbraio 2 020 ha riconosciuto l'importanza di avere un approccio aperto ma assertivo nei confronti dei flussi internazionali di dati.

I trasferimenti internazionali di dati possono sbloccare il significativo potenziale socioeconomico della grande quantità di dati generati all'interno dell'UE, aumentando in tal modo la competitività internazionale dell'Unione nell'arena mondiale, contribuendo nel contempo alla crescita economica, che è cruciale soprattutto nell'era della ripresa post COVID-19.

Pur svolgendo un ruolo chiave nel rafforzamento dell'autonomia strategica aperta dell'Unione europea, la DGA contribuisce anche a creare fiducia e fiducia nei flussi internazionali di dati.

Come funziona nella pratica?

Sebbene il GDPR abbia messo in atto tutte le garanzie necessarie nel contesto dei dati personali, è grazie alla DGA che esistono garanzie analoghe per le richieste di accesso provenienti da paesi terzi nel contesto dei dati non personali.

Tali garanzie riguardano tutti gli scenari e le disposizioni stabiliti dalla DGA, in particolare per i dati del settore pubblico, i servizi di intermediazione dei dati e le costellazioni dell'altruismo dei dati. Il riutilizzatore nel paese terzo dovrà garantire lo stesso livello di protezione dei dati in questione rispetto al livello di protezione garantito dal diritto dell'UE, nonché accettare la rispettiva giurisdizione dell'UE.  

Se ritenuto necessario, la Commissione può adottare ulteriori decisioni di adeguatezza per il trasferimento di dati pubblici protetti per il riutilizzo quando si tratta di una richiesta di accesso relativa a dati non personali provenienti da un paese terzo. Tali decisioni di adeguatezza saranno simili alle decisioni di adeguatezza relative al trasferimento dei dati personali ai sensi del GDPR.

Inoltre, la DGA conferisce alla Commissione il potere di rendere disponibili clausole contrattuali tipo per gli enti pubblici e i riutilizzatori per gli scenari in cui i dati del settore pubblico sono coinvolti nei trasferimenti di dati con paesi terzi.