NEWS

Dopo il Digital Services Act in vigore anche il Data Governance Act

Dopo il Digital Services Act, entrato in vigore lo scorso 25 agosto, dal 24 settembre 2023 è diventato applicabile anche il Data Governance Act, nuovo regolamento dell'UE volto a favorire la condivisione dei dati all'interno dell'Unione, a vantaggio di imprese e cittadini. Il DGA comprende nel proprio ambito di applicazione sia i dati personali che quelli non personali. Tale normativa prevede che:

- le condizioni per il riutilizzo dei dati all'interno dell'Unione europea, per cui soggetti terzi potranno utilizzare i dati in possesso di enti pubblici per fini diversi dallo scopo iniziale per il quale tali dati sono stati prodotti;
- le norme per la fornitura di servizi di intermediazione dei dati;
- un quadro per la registrazione delle organizzazioni che trattano dati resi disponibili a fini altruistici; tali fini comprendono, tra gli altri, l'assistenza sanitaria, la lotta ai cambiamenti climatici e il miglioramento della mobilità;
- le modalità per l'istituzione di un comitato europeo per l'innovazione in materia di dati.

Sono definiti "servizi di intermediazione dei dati" i servizi che mirano ad instaurare rapporti commerciali per la condivisione dei dati tra interessati e titolari dei dati, da un lato, e utenti dei dati, dall'altro.

Per "titolare dei dati" si intende un soggetto - diverso dall'interessato rispetto agli specifici dati in questione - che ha il diritto di concedere l'accesso o di condividere dati personali o non personali.

Gli "utenti dei dati" sono soggetti che hanno accesso legittimo a dati personali o non personali e che ha diritto di utilizzare tali dati a fini commerciali o non commerciali.

A titolo di esempio, quale fornitore di servizi di intermediazione dei dati, la Commissione menziona Deutsche Telekom che, tramite il suo Data Intelligence Hub, offre un marketplace dei dati in cui le aziende possono gestire, fornire e monetizzare in modo sicuro informazioni di buona qualità. Telekom assume il ruolo di fiduciario neutrale.

Altro esempio è l'azienda francese Dawex che si definisce un "marketplace globale dei dati". Dawex non acquista né vende dati, ma riunisce aziende interessate a monetizzare e riutilizzare i dati, e promuove la trasparenza tra fornitori di dati e utenti, garantendo che comunichino e conducano la transazione direttamente sulla propria piattaforma. Dawex ha sviluppato una serie di strumenti per aiutare sia i fornitori di dati sia gli utenti a comprendere, valutare e comunicare i dati. Inoltre, Dawex supporta la negoziazione dell'accordo mediante modelli contrattuali che possono essere generati automaticamente.

Dal novero dei servizi di intermediazione dei dati sono invece escluse le seguenti categorie:

- servizi che ottengono dati dai titolari dei dati, li modificano aggiungendovi valore, e concedono licenze per l'utilizzo dei dati risultanti, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;
- servizi di intermediazione di contenuti protetti da diritto d'autore;
- servizi utilizzati esclusivamente da un titolare dei dati per gestire i dati da esso stesso detenuti, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso;
- servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali.

Le imprese hanno spesso bisogno di dati provenienti da numerosi Stati membri per poter sviluppare prodotti e servizi a livello dell'UE, poiché i campioni di dati disponibili nei singoli Stati membri non hanno la ricchezza e la varietà necessarie per l'analisi dei "big data" o per lo sviluppo del machine learning. Inoltre, i prodotti e i servizi basati su dati sviluppati in uno Stato membro potrebbero non essere conformi rispetto alle norme di un altro Stato membro. Oltretutto, attualmente molte aziende temono che la condivisione dei propri dati implichi una perdita di vantaggio competitivo o che tali dati siano usati in modo improprio.

Per favorire la circolazione dei dati all'interno dell'Unione europea, il legislatore ha pertanto ravvisato la necessità di un contesto legislativo altamente armonizzato, ove istituire servizi di intermediazione dei dati affidabili.

Al fine di aumentare la fiducia nella condivisione dei dati, questo nuovo approccio propone un modello basato sulla neutralità e sulla trasparenza degli intermediari di dati, lasciando però alle persone e alle imprese il controllo dei propri dati.

Il legislatore ha poi dichiarato l'intenzione di imporre obblighi proporzionati agli obiettivi perseguiti. L'obbligo di notifica per gli intermediari di dati, di cui al seguente paragrafo, intende aumentare il livello di fiducia in tali servizi, senza che vengano inutilmente limitate dette attività.

I fornitori di servizi di intermediazione dei dati avranno l'obbligo di effettuare una notifica all'autorità competente, nella quale dovranno indicare i propri dati identificativi, un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sul medesimo fornitore e sulle sue attività svolte, le persone di contatto, una descrizione del servizio di intermediazione dei dati e la data di inizio dell'attività.

I soggetti ritenuti conformi alla normativa potranno utilizzare il titolo di «Fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione» nelle proprie comunicazioni scritte e orali, nonché un logo comune stabilito dalla Commissione.

Il Regolamento prevede inoltre un registro pubblico di tutti i fornitori di servizi di intermediazione dei dati, che sarà regolarmente aggiornato dalla Commissione.

Il Data Governance Act intende offrire un modello alternativo rispetto ai modelli di gestione dei dati delle Big Tech, per ovviare al rischio di distorsione del mercato conseguente alle grandi quantità di dati controllate da tali soggetti.

A tal fine il DGA mira a garantire che gli intermediari offrano i propri servizi quali soggetti terzi neutrali, che collegano individui e aziende da un lato con utenti di dati dall'altro.

È fatto divieto agli intermediari di monetizzare i dati (ad esempio vendendoli ad un'altra società o utilizzandoli per sviluppare un proprio prodotto).

Gli intermediari dovranno rispettare severi requisiti per garantire tale neutralità ed evitare conflitti di interesse. Essi dovranno attuare una separazione strutturale tra il servizio di intermediazione dei dati e gli eventuali altri servizi forniti. Inoltre, i termini per la fornitura di servizi di intermediazione (inclusi i prezzi) non dovranno dipendere dal fatto che un potenziale titolare di dati o utilizzatore di dati si avvalga di altri servizi degli intermediari.

Eventuali dati e metadati acquisiti potranno essere utilizzati solo per migliorare il servizio di intermediazione dati.

Ciascuno Stato membro dovrà designare una o più autorità competenti per svolgere i compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati. Tali autorità dovranno poi monitorare la conformità dei fornitori dei servizi di intermediazione dei dati rispetto ai requisiti stabiliti dal Data Governance Act. (Per approfondimenti vedasi la Circolare 2/2022)

Con il DGA l'Unione europea intende sfruttare il potenziale dei dati, aumentandone la disponibilità e la condivisione. La Commissione prevede che una migliore gestione dei dati consentirà alle industrie di sviluppare prodotti e servizi innovativi, e renderà molti settori dell'economia più efficienti e sostenibili. Nel settore pubblico gli obiettivi sono migliori politiche, una governance più trasparente e servizi pubblici più efficienti.

Il legislatore auspica che l'innovazione basata sui dati possa portare a benefici sia alle aziende e sia alle persone. In particolare, la migliore gestione dei dati sulla salute è volta a migliorare le cure personalizzate, a fornire un'assistenza sanitaria migliore e ad aiutare a curare le malattie rare o croniche, con un risparmio previsto di circa 120 miliardi di euro all'anno. Tramite i dati sulla mobilità, l'obiettivo è un risparmio di oltre 27 milioni di ore di tempo degli utenti del trasporto pubblico e fino a 20 miliardi di euro all'anno. Con i dati ambientali l'Unione europea intende favorire la lotta al cambiamento climatico, la riduzione delle emissioni di CO₂ e il contrasto delle emergenze, come le alluvioni e gli incendi.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Avere nozioni di base di sicurezza informatica è necessario anche per gli utenti
Next Videosorveglianza, slides e video dell'intervento di Marco Soffientini al Privacy Day Forum 2023

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy