NEWS

Data Governance Act: una nuova sfida per la tutela dei dati personali

Come noto dopo il Parlamento europeo, anche il Consiglio dell’UE il 16 maggio 2022 ha approvato un nuovo atto legislativo volto a promuovere la disponibilità di dati e a creare un ambiente affidabile per facilitare il loro uso a fini di ricerca e per la creazione di nuovi servizi e prodotti innovativi. L'atto sulla governance dei dati (Data Governance Act - DGA) istituirà solidi meccanismi per facilitare il riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici, far crescere la fiducia nei servizi di intermediazione dei dati e promuovere l'altruismo dei dati in tutta l'UE.

Michele Iaselli

(Nella foto: Michele Iaselli. E' Coordinatore del Comitato Scientifico di Federprivacy)


In precedenza lo stesso atto è stato approvato dal Parlamento europeo il 6 aprile 2022 e si tratta di una componente importante della strategia europea per i dati, intesa a rafforzare l'economia basata sui dati. Le nuove norme si applicheranno 15 mesi dopo l'entrata in vigore del regolamento.

L'atto sulla governance dei dati creerà un meccanismo volto a consentire il riutilizzo sicuro di determinate categorie di dati detenuti da enti pubblici oggetto di diritti di terzi, come, ad esempio, segreti commerciali, dati personali e dati protetti da diritti di proprietà intellettuale. Naturalmente gli enti pubblici che consentiranno tale riutilizzo dovranno essere attrezzati adeguatamente, in termini tecnici, per garantire la piena tutela della privacy e della riservatezza.

A tale riguardo, l'atto integrerà la direttiva sull'apertura dei dati del 2019, che non contempla tali tipi di dati.

Gli accordi di esclusiva per il riutilizzo dei dati detenuti da enti pubblici saranno possibili ove giustificato e necessario per la fornitura di un servizio di interesse generale. I contratti esistenti avranno una durata massima di 30 mesi, mentre quelli nuovi di 12 mesi.

La Commissione istituirà un punto di accesso unico europeo dotato di un registro elettronico consultabile relativo ai dati detenuti da enti pubblici, che sarà messo a disposizione attraverso gli sportelli unici nazionali.

L'atto sulla governance dei dati definisce, quindi, un quadro volto a promuovere un nuovo modello commerciale – i servizi di intermediazione dei dati – che consentirà di creare un ambiente sicuro al cui interno le imprese o i singoli possano condividere i dati.

Per le imprese tali servizi possono assumere la forma di piattaforme digitali, che sosterranno la condivisione volontaria dei dati tra imprese e agevoleranno il rispetto degli obblighi di condivisione dei dati stabiliti da tale atto ma anche da altre disposizioni di legge, europee o nazionali. Utilizzando tali servizi le imprese potranno condividere i loro dati senza il timore di un uso improprio o di una perdita di vantaggio competitivo.

Il Consiglio dell’UE il 16 maggio 2022 ha approvato il Data Governance Act

Per quanto riguarda i dati personali, inevitabili sono le interferenze con il regolamento generale sulla protezione dei dati n. 2016/679 (GDPR) e nello stessa proposta di regolamento approvata dagli organi comunitari viene precisato che l’atto sulla governance dei dati non deve intendersi, in particolare, come creazione di una nuova base giuridica per il trattamento dei dati personali per nessuna delle attività regolamentate, né come modifica dei requisiti in materia di informazione stabiliti nel regolamento (UE) 2016/679.

Inoltre, l'attuazione del nuovo regolamento non deve impedire i trasferimenti transfrontalieri di dati in conformità del capo V del GDPR. Viene anche evidenziato che in caso di conflitto tra il DGA ed il diritto dell'Unione in materia di protezione dei dati personali o del diritto nazionale adottato conformemente a tale diritto dell'Unione, il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali deve prevalere.

Con riferimento, quindi, ai dati personali i servizi previsti dal DGA ed i relativi fornitori devono aiutare i cittadini a esercitare i loro diritti ai sensi del GDPR e ad avere così il pieno controllo sui propri dati, consentendo loro di condividerli con un'impresa in cui hanno fiducia. Tale risultato può essere ottenuto, ad esempio, mediante nuovi strumenti di gestione delle informazioni personali, quali spazi di dati personali o portafogli di dati – applicazioni che condividono siffatti dati con altri, sulla base del consenso del titolare dei dati.

Tali spazi di dati personali consentirebbero che il trattamento possa aver luogo all'interno degli stessi senza che i dati siano trasmessi a terzi, al fine di ottimizzare la protezione dei dati personali e della vita privata. Essi potrebbero contenere dati personali statici quali nome, indirizzo o data di nascita, nonché dati dinamici generati da una persona ad esempio con l'utilizzo di un servizio online o di un oggetto connesso all'internet delle cose. Potrebbero essere utilizzati anche per conservare informazioni verificate sull'identità quali i numeri di passaporto o informazioni sulla sicurezza sociale, nonché credenziali quali informazioni sulla patente di guida, diplomi o conti bancari.

Viene anche incoraggiato l’utilizzo di tecniche che consentono l'analisi di banche dati contenenti dati personali, quali l'anonimizzazione, la privacy differenziale, la generalizzazione, la soppressione e la casualizzazione, l'utilizzo di dati sintetici o metodi analoghi, nonché altri metodi all'avanguardia di tutela della vita privata che possono contribuire a un trattamento dei dati maggiormente rispettoso della vita privata. Inoltre, i fornitori di servizi di intermediazione dei dati dovranno essere iscritti in un registro, in modo che i clienti sappiano che sono affidabili.

I fornitori di servizi non saranno autorizzati a utilizzare i dati condivisi per altri scopi né potranno beneficiare dei dati, ad esempio vendendoli, mentre possono imporre tariffe per le operazioni che effettuano.

Sarà creata una nuova struttura, il comitato europeo per l'innovazione in materia di dati, con l'obiettivo, fra l'altro, di consigliare e assistere la Commissione nel rafforzare l'interoperabilità dei servizi di intermediazione dei dati ed elaborare orientamenti sulle modalità con cui agevolare lo sviluppo degli spazi di dati.

L'atto sulla governance dei dati introduce tutele per i dati detenuti da enti pubblici, i servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati al fine di proteggerli dal trasferimento internazionale illecito di dati non personali o dall'accesso governativo illecito a tali dati. Per i dati personali l'UE dispone già di tutele analoghe a norma del GDPR.

In particolare la Commissione, attraverso il diritto derivato, può adottare decisioni di adeguatezza in cui dichiara che determinati paesi terzi forniscono tutele adeguate per l'utilizzo di dati non personali trasferiti dall'UE. Tali decisioni sarebbero simili alle decisioni di adeguatezza relative ai dati personali ai sensi del regolamento generale sulla protezione dei dati. Si ritiene che siffatte tutele esistano qualora nel paese terzo in questione siano in vigore misure equivalenti che garantiscono un livello di protezione analogo a quello previsto dal diritto dell'UE o dello Stato membro.

La Commissione può inoltre adottare clausole contrattuali tipo per sostenere gli enti pubblici e i riutilizzatori in caso di trasferimento verso paesi terzi di dati non personali di cui all'atto sulla governance dei dati. 

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Trasferimento dati negli Usa: ora serve un’accelerazione e una concretizzazione delle promesse fatte durante l'ultimo vertice Nato
Next Metaverso: gli impatti per la privacy, tra interrogativi e possibili scenari

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy