L'atto sulla governance dei dati spiegato

Il potenziale economico e sociale dei dati è enorme: può consentire nuovi prodotti e servizi basati su nuove tecnologie, rendere la produzione più efficiente e fornire strumenti per combattere le sfide sociali. Nel settore della salute, ad esempio, i dati possono contribuire a fornire un'assistenza sanitaria migliore, a migliorare i trattamenti personalizzati e a contribuire a curare le malattie rare o croniche. È anche un potente motore per l'innovazione e nuovi posti di lavoro e una risorsa fondamentale per le start-up e le PMI.

Tuttavia, questo potenziale non si sta realizzando. La condivisione dei dati nell'UE rimane limitata a causa di una serie di ostacoli (tra cui la scarsa fiducia nella condivisione dei dati, le questioni relative al riutilizzo dei dati del settore pubblico e alla raccolta dei dati per il bene comune, nonché gli ostacoli tecnici).

Al fine di sfruttare appieno questo enorme potenziale, dovrebbe essere più facile condividere i dati in modo affidabile e sicuro.

L'atto sulla governance dei dati è uno strumento intersettoriale che mira a regolamentare il riutilizzo dei dati pubblici/detenuti e protetti, promuovendo la condivisione dei dati attraverso la regolamentazione di nuovi intermediari di dati e incoraggiando la condivisione dei dati a fini altruistici. Sia i dati personali che quelli non personali rientrano nell'ambito di applicazione della DGA e, in caso di dati personali, si applica il regolamento generale sulla protezione dei dati (GDPR). Oltre al GDPR, le garanzie integrate aumenteranno la fiducia nella condivisione e nel riutilizzo dei dati, un prerequisito per rendere disponibili più dati sul mercato.

Riutilizzo di determinate categorie di dati detenuti da enti pubblici

Quali sono gli obiettivi principali?

La direttiva sull'apertura dei dati disciplina il riutilizzo delle informazioni pubbliche/disponibili detenute dal settore pubblico. Tuttavia, il settore pubblico detiene anche grandi quantità di dati protetti (ad esempio dati personali e dati commerciali riservati) che non possono essere riutilizzati come dati aperti, ma che potrebbero essere riutilizzati ai sensi di una specifica legislazione dell'UE o nazionale. Da tali dati è possibile estrarre un patrimonio di conoscenze senza comprometterne la natura protetta e l'atto sulla governance dei dati prevede norme e garanzie per facilitare tale riutilizzo ogniqualvolta ciò sia possibile ai sensi di altre normative.  

Come funziona in pratica?

• Requisiti tecnici per il settore pubblico: Gli Stati membri dovranno essere tecnicamente attrezzati per garantire il pieno rispetto della vita privata e della riservatezza dei dati nelle situazioni di riutilizzo. Ciò può includere una serie di strumenti, dalle soluzioni tecniche, quali l'anonimizzazione, la pseudonimizzazione o l'accesso ai dati in ambienti di trattamento sicuri (ad esempio sale dati) controllati dal settore pubblico, ai mezzi contrattuali quali gli accordi di riservatezza conclusi tra l'ente pubblico e il riutilizzatore.
• Assistenza da parte dell'ente pubblico: Se un ente pubblico non può concedere l'accesso a determinati dati per il riutilizzo, dovrebbe aiutare il potenziale riutilizzatore a chiedere il consenso della persona a riutilizzare i propri dati personali o l'autorizzazione del titolare dei dati i cui diritti o interessi possono essere lesi dal riutilizzo. Inoltre, le informazioni riservate (ad esempio i segreti commerciali) possono essere divulgate per il riutilizzo solo con tale consenso o autorizzazione.
• Per disporre di dati ancora più pubblicamente disponibili per il riutilizzo, la DGA limita il ricorso ad accordi esclusivi sul riutilizzo dei dati (in base ai quali un ente pubblico concede tale diritto esclusivo a un'impresa) a casi specifici di interesse pubblico.
• Onorari ragionevoli: gli enti pubblici possono imporre tariffe per consentire il riutilizzo, purché tali tariffe non superino i costi necessari sostenuti. Inoltre, gli enti pubblici dovrebbero incentivare il riutilizzo per la ricerca scientifica e altri scopi non commerciali, nonché da parte delle PMI e delle start-up, riducendo o addirittura escludendo la tariffazione.
• Un ente pubblico avrà fino a 2 mesi per prendere una decisione su una richiesta di riutilizzo.
• Gli Stati membri possono scegliere quali organismi competenti sosterranno gli enti pubblici che concedono l'accesso al riutilizzo, ad esempio fornendo a questi ultimi un ambiente di trattamento sicuro e consigliandoli su come strutturare e archiviare al meglio i dati per renderli facilmente accessibili.
• Per aiutare i potenziali riutilizzatori a reperire informazioni pertinenti sui dati detenuti dalle autorità pubbliche, gli Stati membri saranno tenuti a istituire uno sportello unico. La Commissione ha creato il registro europeo dei dati protetti detenuti dal settore pubblico (ERPD), un registro consultabile delle informazioni compilate dagli sportelli unici nazionali al fine di agevolare ulteriormente il riutilizzo dei dati nel mercato interno e oltre.

Servizi di intermediazione dei dati

Quali sono gli obiettivi principali?

Molte aziende attualmente temono che la condivisione dei propri dati implichi una perdita di vantaggio competitivo e rappresenti un rischio di uso improprio. La DGA definisce una serie di norme per i fornitori di servizi di intermediazione dei dati (i cosiddetti intermediari di dati, come i mercati di dati) per garantire che funzionino come organizzatori affidabili di condivisione o messa in comune dei dati all'interno degli spazi comuni europei di dati. Al fine di aumentare la fiducia nella condivisione dei dati, questo nuovo approccio propone un modello basato sulla neutralità e sulla trasparenza degli intermediari di dati, ponendo nel contempo le persone e le imprese sotto il controllo dei loro dati.

Come funziona in pratica?

Il framework offre un modello alternativo alle pratiche di gestione dei dati delle piattaforme Big Tech, che hanno un alto grado di potere di mercato perché controllano grandi quantità di dati.

In pratica, gli intermediari di dati funzioneranno come terze parti neutrali che collegano individui e aziende con gli utenti dei dati. Sebbene possano addebitare costi per facilitare la condivisione dei dati tra le parti, non possono utilizzare direttamente i dati che intermediano a fini di profitto finanziario (ad esempio vendendoli a un'altra società o utilizzandoli per sviluppare il proprio prodotto sulla base di tali dati). Gli intermediari di dati dovranno rispettare requisiti rigorosi per garantire tale neutralità ed evitare conflitti di interesse. In pratica, ciò significa che deve esistere una separazione strutturale tra il servizio di intermediazione dei dati e tutti gli altri servizi forniti (ossia devono essere giuridicamente separati). Inoltre, le condizioni commerciali (compresa la fissazione dei prezzi) per la fornitura di servizi di intermediazione non dovrebbero dipendere dal fatto che un potenziale titolare dei dati o utente dei dati utilizzi altri servizi. I dati e i metadati acquisiti possono essere utilizzati solo per migliorare il servizio di intermediazione dei dati.

Sia le organizzazioni autonome che forniscono solo servizi di intermediazione dei dati sia le società che offrono servizi di intermediazione dei dati in aggiunta ad altri servizi potrebbero fungere da intermediari di fiducia. In quest'ultimo caso, l'attività di intermediazione dei dati deve essere rigorosamente separata, sia giuridicamente che economicamente, dagli altri servizi di dati.

Ai sensi dell'AGD, gli intermediari di dati saranno tenuti a notificare all'autorità competente la loro intenzione di fornire tali servizi. L'autorità competente garantisce che la procedura di notifica non sia discriminatoria e non falsi la concorrenza e conferma che il fornitore di servizi di intermediazione dei dati ha presentato la notifica contenente tutte le informazioni richieste.

Una volta ricevuta tale conferma, l'intermediario di dati può legalmente iniziare a operare e utilizzare l'etichetta "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione" nelle sue comunicazioni scritte e orali, nonché il logo comune. Tali autorità controlleranno inoltre il rispetto dei requisiti in materia di intermediazione dei dati e la Commissione terrà un registro centrale degli intermediari di dati riconosciuti.

altruismo dei dati

Quali sono gli obiettivi principali?

L'altruismo dei dati riguarda le persone fisiche e le imprese che danno il loro consenso o il loro permesso di mettere a disposizione i dati che generano, volontariamente e senza ricompensa, da utilizzare per obiettivi di interesse generale. Tali dati hanno un enorme potenziale per far progredire la ricerca e sviluppare prodotti e servizi migliori, anche nei settori della salute, dell'ambiente e della mobilità.

La ricerca indica che, sebbene in linea di principio vi sia la volontà di impegnarsi nell'altruismo dei dati, nella pratica ciò è ostacolato dalla mancanza di strumenti di condivisione dei dati. In quanto tale, l'obiettivo dell'atto sulla governance dei dati è creare strumenti affidabili che consentano di condividere i dati in modo semplice a beneficio della società. Creerà le giuste condizioni per assicurare ai cittadini e alle imprese che, quando condivideranno i loro dati, saranno gestiti da organizzazioni di fiducia sulla base dei valori e dei principi dell'UE. Ciò consentirà la creazione di pool di dati di dimensioni sufficienti per consentire l'analisi dei dati e l'apprendimento automatico, anche a livello transfrontaliero.

Come funziona in pratica?

I soggetti che mettono a disposizione dati pertinenti basati sull'altruismo dei dati potranno registrarsi come "organizzazioni per l'altruismo dei dati riconosciute nell'Unione". Tali soggetti devono avere carattere non lucrativo e soddisfare i requisiti di trasparenza, nonché offrire garanzie specifiche per tutelare i diritti e gli interessi dei cittadini e delle imprese che condividono i loro dati. Devono inoltre conformarsi al corpus di norme (al più tardi 18 mesi dopo la sua entrata in vigore), che stabilirà obblighi di informazione, requisiti tecnici e di sicurezza, tabelle di marcia per la comunicazione e raccomandazioni sulle norme di interoperabilità. Il corpus di norme sarà elaborato dalla Commissione, in stretta collaborazione con le organizzazioni per l'altruismo dei dati e altri portatori di interessi pertinenti.

Le entità potranno utilizzare il logo comune progettato a tal fine e possono scegliere di essere incluse nel registro pubblico delle organizzazioni di altruismo dei dati. La Commissione ha istituito, a titolo informativo, un registro a livello dell'UE delle organizzazioni per l'altruismo dei dati riconosciute.  

Un modulo comune europeo di consenso per l'altruismo dei dati consentirà la raccolta di dati in tutti gli Stati membri in un formato uniforme, garantendo che coloro che condividono i loro dati possano facilmente dare e revocare il loro consenso. Darà inoltre certezza giuridica ai ricercatori e alle imprese che desiderano utilizzare dati basati sull'altruismo. Si tratterà di una forma modulare, che può essere adattata alle esigenze di settori e scopi specifici.

Comitato europeo per l'innovazione in materia di dati

Quali sono gli obiettivi principali?

Come previsto nell'atto di esecuzione, la Commissione ha istituito il comitato europeo per l'innovazione in materia di dati (EDIB) per facilitare la condivisione delle migliori pratiche, in particolare per quanto riguarda l'intermediazione dei dati, l'altruismo dei dati e l'uso di dati pubblici che non possono essere resi disponibili come dati aperti, nonché la definizione delle priorità delle norme di interoperabilità intersettoriali.

Come funziona in pratica?

L'EDIB comprende rappresentanti dei seguenti soggetti:

• Autorità competenti degli Stati membri per l'intermediazione dei dati
• Autorità competenti degli Stati membri per l'altruismo dei dati
• il comitato europeo per la protezione dei dati
• Garante europeo della protezione dei dati
• l'Agenzia dell'Unione europea per la cibersicurezza (ENISA)
• la Commissione europea
• il rappresentante/rappresentante dell'UE per le PMI nominato dalla rete di rappresentanti per le PMI
• altri rappresentanti degli organismi pertinenti selezionati dalla Commissione mediante un invito a presentare esperti.

L'elenco dei membri EDIB è disponibile qui:  Registro dei gruppi di esperti della Commissione e di altri organismi analoghi (europa.eu).

L'EDIB avrà il potere di proporre orientamenti per gli spazi comuni europei di dati, ad esempio sull'adeguata protezione dei trasferimenti di dati al di fuori dell'Unione.

Flussi di dati internazionali

Quali sono gli obiettivi principali?

La strategia europea per i dati del febbraio 2020 ha riconosciuto l'importanza di avere un approccio aperto ma assertivo nei confronti dei flussi di dati internazionali.

I trasferimenti internazionali di dati possono sbloccare il notevole potenziale socioeconomico della grande quantità di dati generati all'interno dell'UE, aumentando in tal modo la competitività internazionale dell'Unione sulla scena mondiale, contribuendo nel contempo alla crescita economica, che è fondamentale soprattutto nell'era della ripresa post-COVID.

Pur svolgendo un ruolo chiave nel rafforzamento dell'autonomia strategica aperta dell'Unione europea, l'AGD contribuisce anche a creare fiducia nei flussi internazionali di dati.

Come funziona in pratica?

Mentre il GDPR ha messo in atto tutte le garanzie necessarie nel contesto dei dati personali, è grazie alla DGA che esistono garanzie analoghe per le richieste di accesso da parte di governi di paesi terzi nel contesto di dati non personali.

Tali garanzie riguardano tutti gli scenari e le disposizioni stabiliti dalla DGA, in particolare per i dati del settore pubblico, i servizi di intermediazione dei dati e le costellazioni di altruismo dei dati. Il riutilizzatore nel paese terzo dovrà garantire lo stesso livello di protezione per quanto riguarda i dati in questione del livello di protezione garantito dal diritto dell'UE, nonché accettare la rispettiva giurisdizione dell'UE.  

Se ritenuto necessario, la Commissione può adottare ulteriori decisioni di adeguatezza per il trasferimento di dati pubblici protetti per il riutilizzo quando si tratta di una richiesta di accesso in relazione a dati non personali provenienti da un paese terzo. Tali decisioni di adeguatezza saranno simili alle decisioni di adeguatezza relative al trasferimento di dati personali ai sensi del GDPR.

Inoltre, la DGA conferisce alla Commissione il potere di mettere a disposizione degli enti pubblici e dei riutilizzatori clausole contrattuali tipo per gli scenari in cui i dati del settore pubblico sono coinvolti nei trasferimenti di dati con paesi terzi.