Con due proposte la Ue apre alla condivisione dei dati, importante quanto la privacy

Il Sole 24 Ore 29 aprile 2022 di Giusella Finocchiaro e Oreste Pollicino

SOCIALE & DIGITALE

Due recenti proposte di regolamento europeo, il Data Act e il Data Governance Act, segnano una svolta nel trattamento dei dati. Se, fino ad oggi, il focus è stato soprattutto sulla protezione dei dati personali, ora sembra delinearsi un nuovo approccio volto a favorire la valorizzazione e la condivisione dei dati.

Come è stato dichiarato dalla Presidente von der Leyen, l’obiettivo europeo della costruzione di un mercato unico digitale non può prescindere dalla formulazione di una strategia sui dati e l’Europa deve «equilibrare il flusso e l’ampio uso dei dati tutelando al contempo alti livelli di privacy, sicurezza, protezione e norme etiche». Infatti, il programma di lavoro della Commissione per il 2020 ha stabilito diversi obiettivi strategici, tra cui la strategia europea in materia di dati adottata nel febbraio 2020, che mira a creare un mercato unico dei dati e a fare dell’Ue un leader mondiale dell’economia agile basata sui dati.

Tuttavia, se i dati sono il nuovo petrolio, ancora non sono stati elaborati modelli giuridici adeguati per valorizzarlo, sfruttarlo, e generare valore, nel contesto europeo, come hanno rilevato di recente anche Ramge e Mayer-Schönberger.

Ora siamo a una svolta: sono proposti nuovi modelli di circolazione e gestione dei dati. La proposta di regolamento Data Act è stata presentata dalla Commissione europea il 23 febbraio 2022 e affronta il delicato tema della circolazione e poi dello sfruttamento dei dati generati dai prodotti e dai servizi.

L’altra proposta di regolamento che segue il nuovo approccio è quella «relativa alla governance europea dei dati (atto sulla governance dei dati)» o Data Governance Act presentata il 25 novembre 2020 dalla Commissione europea, ma approvata dal Parlamento europeo recentemente, il 6 aprile 2022, con significative modifiche, che affronta il tema della valorizzazione dei dati per finalità di interesse generale.

Entrambe le proposte disciplinano i dati personali e non personali, andando oltre il dibattito sulla protezione dei dati personali e puntando alla valorizzazione di dati e informazioni. La definizione di dato così comprende «qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva». È lo stesso approccio seguito dal legislatore cinese.

Il Data Act disciplina l’accesso ai dati generati mediante l’uso di prodotti e servizi, ad esempio i dati generati dai sensori. Dispone che l’utente, cioè il soggetto (persona fisica o giuridica) che possiede, affitta o noleggia un prodotto o riceve un servizio debba poter accedere ai dati generati dal prodotto o dal servizio. Il Data Act evita di entrare nel dibattito concernente il modello giuridico da applicare ma disciplina l’accesso ai dati e chiarisce chi e a quali condizioni possa avere accesso ai dati generati mediante l’uso di prodotti e servizi. Anche il titolare ha il diritto di fruirne, previo accordo con l’utente. Dunque i dati saranno della disponibilità di chi usa il prodotto; e previo accordo, nella disponibilità di chi ha raccolto i dati. Ad esempio, chi utilizza un sensore avrà la disponibilità dei dati generati dal sensore e chi ha di fatto la disponibilità materiale di quei dati, perché lo ha installato o ha prodotto il sensore, potrà sfruttarli previo accordo con l’utente. I dati possono anche, a certe condizioni, essere resi disponibili a terzi. Né l’utente né i terzi possono utilizzare i dati per sviluppare un prodotto in concorrenza con il prodotto da cui provengono i dati. A questi dati, dovranno poter accedere: gli utenti che hanno contributo a generarli; soggetti terzi, su richiesta dell’utente; gli organismi pubblici, quando ricorrano exceptional need connessi ad interessi pubblici. Con due limitazioni: sono esclusi i dati generati da prodotti o servizi offerti da piccole o micro imprese; non possono costituire “soggetti terzi” gli operatori qualificabili come gatekeeper in base al Digital Markets Act. Inoltre si introducono: prescrizioni normative minime per i fornitori di servizi cloud, edge e di altri servizi di trattamento dei dati per consentire il passaggio da un servizio all’altro; norme in materia di accesso illecito ai dati non personali detenuti nell’Unione; prescrizioni in materia di interoperabilità e smart contract; la precisazione che il diritto sui generis sancito dalla direttiva 96/9/CE non si applica nel caso di banche dati contenenti dati ottenuti o generati dall’uso di un prodotto o di un servizio.

Nello stesso senso, della valorizzazione dei dati e della condivisione, va il Data Governance Act approvato e modificato dal Parlamento europeo il 6 aprile 2022, che ha costituito la prima misura della nuova strategia europea in materia di dati. Il Data Governance Act agevola il riutilizzo dei dati detenuti da enti pubblici, oggetto di diritti di terzi; prevede un regime di notifica per i fornitori di servizi di condivisione dei dati, che dovranno soddisfare una serie di requisiti, per favorire la fiducia nella condivisione dei dati; introduce il cosiddetto data altruism, che è stato tradotto in italiano come “altruismo dei dati”, e che consiste nel consenso per l’uso dei dati personali per finalità di interesse collettivo. Ciò è particolarmente rilevante per la ricerca scientifica, che dovrebbe poter utilizzare, con le opportune misure di sicurezza (infatti si sottolinea l’importanza dei dati anonimi, cioè non re-identificabili, e dei dati pseudonimizzati) grandi quantità di dati anche per la ricerca data driven. Per favorire la ricerca scientifica si prevedono la creazione di procedure amministrative semplificate, la formattazione standardizzata dei dati, l’utilizzo di metadati informativi sulle scelte metodologiche e di raccolta dei dati e campi di dati standardizzati che consentano la facile integrazione di serie di dati provenienti da diverse fonti di dati del settore pubblico, se necessario ai fini dell’analisi.

Come si legge nella risoluzione del 6 aprile, l’obiettivo di tali pratiche dovrebbe essere la promozione dei dati finanziati e prodotti con fondi pubblici a fini di ricerca scientifica, conformemente al principio «il piu? aperto possibile, chiuso il tanto necessario».

Dunque, un’apertura, dalla Commissione europea, verso modelli che favoriscano la circolazione e la condivisione di dati. D’altronde, già dal titolo, il GDPR dichiara che l’obiettivo non è soltanto la protezione dei dati personali, ma anche la libera circolazione dei dati. E questo, purtroppo, spesso fino ad oggi si è dimenticato.