Legge sulla governance dei dati spiegata

Il potenziale economico e sociale dei dati è enorme: può consentire nuovi prodotti e servizi basati su nuove tecnologie, rendere la produzione più efficiente e fornire strumenti per combattere le sfide sociali. Nel settore della salute, ad esempio, i dati possono contribuire a fornire una migliore assistenza sanitaria, migliorare i trattamenti personalizzati e aiutare a curare malattie rare o croniche. È anche un potente motore per l'innovazione e nuovi posti di lavoro e una risorsa fondamentale per le start-up e le PMI.

Tuttavia, questo potenziale non si sta realizzando. La condivisione dei dati nell'UE rimane limitata a causa di una serie di ostacoli (tra cui la scarsa fiducia nella condivisione dei dati, le questioni relative al riutilizzo dei dati del settore pubblico e la raccolta di dati per il bene comune, nonché gli ostacoli tecnici).

Per sfruttare veramente questo enorme potenziale, dovrebbe essere più facile condividere i dati in modo affidabile e sicuro.

Il Data Governance Act (DGA) è uno strumento intersettoriale che mira a regolamentare il riutilizzo dei dati pubblici e protetti, potenziando la condivisione dei dati attraverso la regolamentazione di nuovi intermediari di dati e incoraggiando la condivisione dei dati per scopi altruistici. Sia i dati personali che quelli non personali rientrano nell'ambito di applicazione della DGA e, per quanto riguarda i dati personali, si applica il regolamento generale sulla protezione dei dati (GDPR). Oltre al GDPR, le tutele integrate aumenteranno la fiducia nella condivisione e riutilizzo dei dati, un prerequisito per rendere disponibili più dati sul mercato.

Riutilizzo di determinate categorie di dati detenuti da enti pubblici

Quali sono gli obiettivi chiave?

La direttiva sui dati aperti disciplina il riutilizzo delle informazioni pubbliche/disponibili in possesso del settore pubblico. Tuttavia, il settore pubblico detiene anche grandi quantità di dati protetti (ad esempio dati personali e dati commercialmente riservati) che non possono essere riutilizzati come dati aperti ma che potrebbero essere riutilizzati a norma di una legislazione specifica dell'UE o nazionale. Una ricchezza di conoscenze può essere estratta da tali dati senza comprometterne la natura protetta e la DGA prevede norme e salvaguardie per facilitare tale riutilizzo ogniqualvolta sia possibile ai sensi di altre normative.  

Come funziona nella pratica?

• Requisiti tecnici per il settore pubblico: Gli Stati membri dovranno essere tecnicamente attrezzati per garantire che la vita privata e la riservatezza dei dati siano pienamente rispettate nelle situazioni di riutilizzo. Ciò può includere una serie di strumenti, dalle soluzioni tecniche, come l'anonimizzazione, la pseudonimizzazione o l'accesso ai dati in ambienti di trattamento sicuri (ad esempio sale dati) sorvegliate dal settore pubblico, a strumenti contrattuali come gli accordi di riservatezza conclusi tra l'ente pubblico e il riutilizzatore.
• Assistenza da parte dell'ente pubblico: Se un ente pubblico non può concedere l'accesso a determinati dati ai fini del riutilizzo, dovrebbe aiutare il potenziale riutilizzatore a chiedere il consenso dell'interessato a riutilizzare i propri dati personali o l'autorizzazione del titolare dei dati i cui diritti o interessi possono essere influenzati dal riutilizzo. Inoltre, le informazioni riservate (ad esempio segreti commerciali) possono essere divulgate per il riutilizzo solo con tale consenso o autorizzazione.
• Per disporre di dati ancora più pubblici disponibili per il riutilizzo, la DGA limita il ricorso agli accordi esclusivi di riutilizzo dei dati (in base ai quali un ente pubblico concede tale diritto esclusivo a un'impresa) a casi specifici di interesse pubblico.
• Commissioni ragionevoli: gli enti pubblici possono imporre diritti per consentire il riutilizzo purché tali diritti non superino i costi necessari sostenuti. Inoltre, gli enti pubblici dovrebbero incentivare il riutilizzo a fini di ricerca scientifica e altri scopi non commerciali, nonché da parte delle PMI e delle start-up, riducendo o addirittura escludendo la tariffazione.
• Un ente pubblico avrà fino a due mesi per prendere una decisione in merito a una richiesta di riutilizzo.
• Gli Stati membri possono scegliere quali organismi competenti sosterranno gli enti pubblici che concedono l'accesso al riutilizzo, ad esempio fornendo a questi ultimi un ambiente di trattamento sicuro e fornendo loro consulenza su come strutturare e archiviare al meglio i dati per renderli facilmente accessibili.
• Per aiutare i potenziali riutilizzatori a reperire informazioni pertinenti su quali dati sono detenuti dalle autorità pubbliche, gli Stati membri saranno tenuti a istituire un unico punto d'informazione. La Commissione ha creato il registro europeo dei dati protetti detenuti dal settore pubblico (ERPD), un registro consultabile delle informazioni compilato dai punti di informazione unici nazionali al fine di facilitare ulteriormente il riutilizzo dei dati nel mercato interno e oltre.

Servizi di intermediazione dei dati

Quali sono gli obiettivi chiave?

Molte aziende temono attualmente che la condivisione dei propri dati implichi una perdita di vantaggio competitivo e rappresenti un rischio di uso improprio. La DGA definisce una serie di norme per i fornitori di servizi di intermediazione dei dati (i cosiddetti intermediari di dati, come i mercati dei dati) per garantire che funzionino in qualità di organizzatori affidabili della condivisione o della messa in comune dei dati all'interno degli spazi comuni europei dei dati. Al fine di aumentare la fiducia nella condivisione dei dati, questo nuovo approccio propone un modello basato sulla neutralità e sulla trasparenza degli intermediari di dati, mettendo al contempo le persone e le imprese in controllo dei loro dati.

Come funziona nella pratica?

Il framework offre un modello alternativo alle pratiche di gestione dei dati delle piattaforme Big Tech, che hanno un alto grado di potere di mercato perché controllano grandi quantità di dati.

In pratica, gli intermediari di dati funzioneranno come terzi neutrali che collegano individui e aziende con gli utenti dei dati. Sebbene possano addebitare per facilitare la condivisione dei dati tra le parti, non possono utilizzare direttamente i dati che intermediano per ottenere profitti finanziari (ad esempio vendendoli a un'altra società o utilizzandoli per sviluppare il proprio prodotto sulla base di tali dati). Gli intermediari dei dati dovranno rispettare requisiti rigorosi per garantire tale neutralità ed evitare conflitti di interesse. In pratica, ciò significa che deve esistere una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito (vale a dire che devono essere legalmente separati). Inoltre, le condizioni commerciali (compresi i prezzi) per la fornitura di servizi di intermediazione non dovrebbero dipendere dal fatto che un potenziale titolare dei dati o un utente dei dati utilizzi altri servizi. Tutti i dati e i metadati acquisiti possono essere utilizzati solo per migliorare il servizio di intermediazione dei dati.

Sia le organizzazioni autonome che forniscono solo servizi di intermediazione dei dati sia le aziende che offrono servizi di intermediazione dei dati oltre ad altri servizi potrebbero funzionare come intermediari di fiducia. In quest'ultimo caso, l'attività di intermediazione dei dati deve essere strettamente separata, sia dal punto di vista giuridico che economico, da altri servizi di dati.

Nell'ambito della DGA, gli intermediari dei dati saranno tenuti a notificare all'autorità competente la loro intenzione di fornire tali servizi. L'autorità competente garantirà che la procedura di notifica non sia discriminatoria e non distorca la concorrenza e confermerà che il fornitore di servizi di intermediazione dei dati ha presentato la notifica contenente tutte le informazioni richieste.

Una volta ricevuta tale conferma, l'intermediario dei dati può legalmente iniziare a operare e utilizzare l'etichetta "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione" nella sua comunicazione scritta e orale, nonché il logo comune. Tali autorità controlleranno inoltre il rispetto dei requisiti di intermediazione dei dati e la Commissione tiene un registro centrale degli intermediari di dati riconosciuti.

Altruismo dei dati

Quali sono gli obiettivi chiave?

L'altruismo dei dati riguarda individui e aziende che danno il loro consenso o il permesso di rendere disponibili i dati che generano — volontariamente e senza ricompensa — da utilizzare per obiettivi di interesse generale. Tali dati hanno un enorme potenziale per far progredire la ricerca e sviluppare prodotti e servizi migliori, anche nei settori della salute, dell'ambiente e della mobilità.

La ricerca indica che, mentre in linea di principio vi è la volontà di impegnarsi nell'altruismo dei dati, in pratica ciò è ostacolato dalla mancanza di strumenti di condivisione dei dati. Come tale, l'obiettivo del Data Governance Act è quello di creare strumenti affidabili che consentano la condivisione dei dati in modo semplice a beneficio della società. Creerà le condizioni giuste per assicurare alle persone fisiche e alle imprese che, quando condividono i loro dati, saranno gestite da organizzazioni di fiducia basate sui valori e sui principi dell'UE. Ciò consentirà la creazione di pool di dati di dimensioni sufficienti per consentire l'analisi dei dati e l'apprendimento automatico, anche a livello transfrontaliero.

Come funziona nella pratica?

I soggetti che mettono a disposizione dati pertinenti basati sull'altruismo dei dati potranno registrarsi come "organizzazioni per l'altruismo dei dati riconosciute nell'Unione". Tali entità devono avere un carattere senza scopo di lucro e soddisfare i requisiti di trasparenza, nonché offrire garanzie specifiche per proteggere i diritti e gli interessi dei cittadini e delle imprese che condividono i loro dati. Inoltre, devono rispettare il codice (al più tardi 18 mesi dopo la sua entrata in vigore), che stabilirà requisiti in materia di informazione, requisiti tecnici e di sicurezza, tabelle di marcia per la comunicazione e raccomandazioni sulle norme di interoperabilità. Il codice sarà elaborato dalla Commissione, in stretta collaborazione con le organizzazioni per l'altruismo dei dati e altre parti interessate.

Le entità saranno in grado di utilizzare il logo comune progettato a tal fine e potranno scegliere di essere inserite nel registro pubblico delle organizzazioni di altruismo dei dati. La Commissione ha istituito, a fini informativi, un registro a livello dell'UE delle organizzazioni per l'altruismo dei dati riconosciute.  

Un modulo comune europeo di consenso per l'altruismo dei dati consentirà la raccolta di dati in tutti gli Stati membri in un formato uniforme, garantendo che coloro che condividono i loro dati possano facilmente dare e revocare il loro consenso. Darà inoltre certezza giuridica ai ricercatori e alle imprese che desiderano utilizzare dati basati sull'altruismo. Si tratterà di una forma modulare, adattabile alle esigenze di settori e scopi specifici.

Comitato europeo per l'innovazione dei dati

Quali sono gli obiettivi chiave?

Come previsto dalla DGA, la Commissione ha istituito il comitato europeo per l'innovazione dei dati (EDIB) per facilitare la condivisione delle migliori pratiche, in particolare per quanto riguarda l'intermediazione dei dati, l'altruismo dei dati e l'uso di dati pubblici che non possono essere resi disponibili come dati aperti, nonché sulla definizione delle priorità delle norme di interoperabilità intersettoriali.

Come funziona nella pratica?

L'EDIB comprende rappresentanti delle seguenti entità:

• Autorità competenti degli Stati membri per l'intermediazione dei dati
• Autorità competenti degli Stati membri per l'altruismo dei dati
• Comitato europeo per la protezione dei dati
• il Garante europeo della protezione dei dati
• Agenzia dell'Unione europea per la cibersicurezza (ENISA)
• la Commissione europea
• L'inviato/rappresentante dell'UE per le PMI nominato dalla rete di inviati per le PMI
• altri rappresentanti degli organismi competenti selezionati dalla Commissione attraverso un invito a presentare esperti.

L'elenco dei membri dell'EDIB è disponibile qui:  Registro dei gruppi di esperti della Commissione e di altre entità analoghe (europa.eu).

Edib avrà il potere di proporre linee guida per gli spazi comuni europei di dati, ad esempio sull'adeguata protezione dei trasferimenti di dati al di fuori dell'Unione.

Flussi internazionali di dati

Quali sono gli obiettivi chiave?

La strategia europea per i dati del febbraio 2 020 ha riconosciuto l'importanza di avere un approccio aperto ma assertivo nei confronti dei flussi internazionali di dati.

I trasferimenti internazionali di dati possono sbloccare il significativo potenziale socioeconomico della grande quantità di dati generati all'interno dell'UE, aumentando in tal modo la competitività internazionale dell'Unione nell'arena mondiale, contribuendo nel contempo alla crescita economica, che è cruciale soprattutto nell'era della ripresa post COVID-19.

Pur svolgendo un ruolo chiave nel rafforzamento dell'autonomia strategica aperta dell'Unione europea, la DGA contribuisce anche a creare fiducia e fiducia nei flussi internazionali di dati.

Come funziona nella pratica?

Sebbene il GDPR abbia messo in atto tutte le garanzie necessarie nel contesto dei dati personali, è grazie alla DGA che esistono garanzie analoghe per le richieste di accesso da parte dei governi di paesi terzi nel contesto dei dati non personali.

Tali garanzie riguardano tutti gli scenari e le disposizioni stabiliti dalla DGA, in particolare per i dati del settore pubblico, i servizi di intermediazione dei dati e le costellazioni dell'altruismo dei dati. Il riutilizzatore nel paese terzo dovrà garantire lo stesso livello di protezione per quanto riguarda i dati in questione del livello di protezione garantito dal diritto dell'UE, nonché accettare la rispettiva giurisdizione dell'UE.  

Se ritenuto necessario, la Commissione può adottare ulteriori decisioni di adeguatezza per il trasferimento di dati pubblici protetti per il riutilizzo quando si tratta di una richiesta di accesso relativa a dati non personali provenienti da un paese terzo. Tali decisioni di adeguatezza saranno simili alle decisioni di adeguatezza relative al trasferimento dei dati personali ai sensi del GDPR.

Inoltre, la DGA conferisce alla Commissione il potere di rendere disponibili clausole contrattuali tipo per gli enti pubblici e i riutilizzatori per gli scenari in cui i dati del settore pubblico sono coinvolti nei trasferimenti di dati con paesi terzi.