L’approvazione del Data Governance Act segna l’avvio di una nuova fase dell’economia europea basata sui dati dalla quale non torneremo più indietro
Il 16 maggio 2022 il Consiglio della UE ha approvato in via definitiva il Digital Governance Act che ora è in corso di pubblicazione. Il nuovo regolamento entrerà in vigore il ventesimo giorno successivo alla pubblicazione in G.U. della UE prevista prima dell’estate e dovrà essere applicato negli Stati membri allo scadere dei 12 mesi successivi alla data della sua entrata in vigore nella UE.
(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)
Si ripete così lo schema già adottato per il GDPR per il quale furono previsti più di due anni tra la pubblicazione in G.U. della UE e la sua entrata in vigore negli Stati membri.
La ragione di una vacatio legis così lunga è, del resto, la stessa per entrambi i Regolamenti. In entrambi i casi, infatti, si tratta di un corposo sistema di regole destinato a dare applicazione compiuta e uniforme nella UE a un diritto fondamentale quale la privacy (nel caso del GDPR) e di dare avvio a un processo uniforme di sviluppo dell’economia dei dati e, quindi, dello Spazio Europeo dei dati (con il DGA).
Entrambi i due complessi normativi, inoltre, hanno previsto e prevedono spazi non marginali per la legislazione nazionale e dunque il lungo periodo di vacatio legis si giustifica non solo per la necessità di dare tempo ai destinatari di impadronirsi della nuova normativa ma anche per dare tempo agli Stati membri di adattarsi alle nuove regole a partire dall’ integrazione della disciplina relativa alle autorità di controllo e di vigilanza sulla attuazione delle nuove regole europee.
È peraltro evidente che tutto questo comporta – è bene dirlo subito - anche un forte incremento delle competenze dei data protection officer così come dei manager che governano le imprese, il che ancora una volta dimostra l’urgenza di mettere a punto adeguati corsi di formazione/aggiornamento soprattutto per i DPO.
Come ha detto la Vicepresidente della UE e Commissaria al digitale Margrethe Vestager, “questo regolamento è un primo elemento costitutivo per un’economia solida ed equa basato sui dati. Si tratta di creare le giuste condizioni per una condivisione affidabile dei dati in linea con i nostri valori e diritti fondamentali europei. Un passo importante verso la creazione di un Mercato Unico Europeo unico per i dati, così come la Commissione ha annunciato nella sua Strategia Europea per i dati presentata due anni fa”. E, continua la Vestager dicendo “il Data Act chiarisce chi può avere accesso ai dati e condividerli e a quali condizioni. L’Act assicura certezza giuridica e ha lo scopo di rimuovere le barriere legali alla condivisione dei dati.”
In questo senso, come ancora una volta sottolinea la Vestager, "il Data Governance Act è parte integrante delle iniziative lanciate dalla Commissione per dar forma al futuro digitale dell’Europa; iniziative che comprendono, come ben sappiamo la proposta di Regolamento sulla Intelligenza Artificiale e le regole sulle piattaforme digitali e la loro affidabilità contenute nei Digital Services e Digital Market Acts”.
(Nella foto: Margrethe Vestager, Vicepresidente della UE e Commissaria al digital)
Dunque deve essere chiaro che il Digital Governance Act (DGA) è l’avvio di una strategia complessa che ha un obiettivo chiaro, anche se difficile a raggiungere: quello di creare uno spazio unico europeo dei dati che ne consenta anche la condivisione dettando allo stesso tempo regole che sia rispetto alla condivisione dei dati che alle piattaforme che ai servizi digitali siano coerenti coi diritti fondamentali della UE e, soprattutto, con la necessità di dare fiducia agli utenti dei servizi digitali sulle regole che presiedono appunto all’economia digitale e il trattamento dei dati, personali e non, nel quadro dell’economi digitale europea.
Se vista da questa prospettiva, dovrebbe essere subito chiaro che il pacchetto presentato dalla Commissione, del quale il Digital Governance Act è solo il primo passo, si inquadra perfettamente nella logica del GDPR.
Infatti, come chi scrive ha detto più volte, lo scopo principale del GDPR non è tanto quello di rafforzare la protezione dei dati personali in generale ma di consolidare la fiducia dei cittadini europei nella società digitale stabilendo, grazie allo stesso GDPR, regole di tutela dei dati personali già pensate in previsione del passaggio all’epoca digitale.
Tuttavia, come sia la Commissione Junker che quella von der Leyen hanno messo in evidenza più volte, il passaggio all’epoca digitale ha posto e pone alla Unione Europea un obbligo fondamentale: quello di garantire che il Mercato Unico Europeo, che è la ragione fondante della Unione, sussista e si consolidi anche nell’epoca digitale. In caso contrario, infatti, sarebbe la stessa ragione d’essere della Unione Europea ad essere minata alla base dall’evoluzione digitale.
Tutto questo però comporta la consapevolezza che se è vero, come è vero, che l’economia digitale si basa sull’uso e la libera circolazione dei dati, ne consegue che il primo e fondamentale passo per la costruzione di un effettivo Mercato Unico Europeo dei dati si deve basare sulle regole relative alla libera circolazione di questi dati e alla loro condivisione. Regole che devono comunque tener sempre fermi due punti fissi: a) la compatibilità con il quadro regolatorio relativo ai diritti fondamentali, primi fra i quali quello relativo alla protezione dei dati personali e alle regole sulla circolazione dei dati non personali; b) la tutela dei consumatori e di quanti utilizzano i servizi della società digitale rispetto all’uso dei dati che essi concorrono a generare attraverso la loro attività on line.
Proprio questo, d’altra parte, è, come dice la Vestager, il contenuto essenziale del DGA ed è questo che spiega anche perché proprio la sua approvazione sia vista dalla Commissione e dalla Vicepresidente e Commissaria competente, come il primo e fondamentale passo per la costruzione dell’Europa digitale o, se si preferisce, dello spazio unico digitale europeo dei dati.
D’altra parte è lo stesso Digital Governance Act che fin dall’inizio offre le coordinate per comprenderne contenuto e obiettivi.
Nell’art. 1 dedicato ad “oggetto e ambito di applicazione”, si specifica infatti che il Regolamento contiene: a) le condizioni per il riutilizzo all’interno dell’Unione di determinate categorie di dati detenuti da enti pubblici; b) un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati, c) un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici; d) un quadro per l’istituzione di un comitato europeo per la innovazione in materia di dati.
Peraltro va aggiunto che il medesimo articolo specifica anche che il Regolamento non crea alcun obbligo per gli enti pubblici di consentire il riutilizzo dei dati né esenta gli enti pubblici dal dovere di riservatezza stabilito dal diritto dell’Unione o degli Stati membri.
È evidente dunque, fin dall’art. 1, che il DGA non impone la condivisione dei dati tra gli enti pubblici anche contro il diritto degli Stati membri. Cosa questa che, fra l’altro, giustifica anche l’altrimenti incomprensibile architettura dell’altruismo dei dati”: figura giuridica questa che non solo serve a chiarire che la condivisione dei dati non deve avere alla base la vendita dei dati stesi ma anche che la condivisione è sempre una scelta o dei singoli enti pubblici o del diritto nazionale.
Dunque la cornice normativa che si vuole creare ha come scopo quella di consentire ma non di imporre la condivisione dei dati, il che lascia ampio spazio anche alle scelte nazionali degli Stati membri.
In altre parole la costruzione di una vera ed efficace economia digitale europea non è cosa che dipenda solo dal Digital Act ma è certo cosa che il Digital Act consente e regola.
Agli Stati membri resta un amplissimo spazio discrezionale circa la estensione di questa condivisione, tenendo ben presente comunque che è interesse di tutti gli Stati membri, proprio per consentire lo sviluppo anche delle loro economie nazionali, favorire e implementare la condivisione dei dati tra tutti i sistemi nazionali all’interno dell’Unione.
È ovvio peraltro anche che lo spazio lasciato ai legislatori nazionali è assai ampio tanto da non pregiudicare in alcun modo eventuali ragioni di tutela della sicurezza nazionale che può anche essere diversamente valutata da Paese e Paese.
Altro aspetto che va sottolineato è che l’art. 1 stesso chiarisce che il Regolamento costituisce un quadro regolatorio per la corretta condivisione dei dati ma non può esser assunto come base legale per le condivisone stessa. Il che rafforza ulteriormente il diritto nazionale che rimane la base legale relativa ai trattamenti di dati relativi alla loro condivisione con altri soggetti secondo il quadro del Digital Governance Act.
Per contro e a maggior chiarimento della logica complessiva del DGA sempre l’art.1 specifica che il esso non pregiudica eventuali regole europee o nazionali relative all’accesso a documenti pubblici così come non limita gli obblighi che eventualmente gli enti pubblici abbiano già, a norma del diritto dell’Unione o dello Stato membro, che prevedano l’obbligo di consentire il riutilizzo dei dati o regolino l’uso dei dati non personali.
In sostanza e per porre un primo punto fermo: il DGA lascia ampio spazio alle legislazioni nazionali e non pretende di sostituirsi ad esse sia rispetto ad obblighi da esse già previsti di accesso a dati detenuti da enti pubblici o relativi al loro riutilizzo.
Dunque lo scopo del Regolamento è quello di assicurare un minimo comune denominatore relativo alla libera circolazione e al riuso dei dati pubblici nell’Unione facendo riferimento essenzialmente alla regolazione dei soggetti che possono assicurare l’accesso ai dati e il loro riutilizzo. Condizioni che possono avere, come hanno, anche un rilevante peso economico per essere adeguatamente rispettate.
Allo stesso modo il Regolamento non pone limiti, né in senso restrittivo né ampliativo, alle scelte che autonomamente gli Stati membri possono fare, eventualmente anche nell’ambito di cooperazioni rafforzate, sempre ferme restando le regole e i meccanismi relativi all’accesso e alla condivisione dei dati.
Resta fermo comunque che l’obiettivo di fondo è favorire la condivisione dei dati e la loro libera circolazione nell’Unione così che l’art. 4 del DGA specifica che sono vietati tutti gli accordi e le pratiche relativi al riutilizzo di dati detenuti da enti pubblici che concedano diritti esclusivi, limitando la disponibilità dei dati per il loro riutilizzo da parte di entità diverse dalle parti degli accordi relativi al riuso. La norma è importante perché chiarisce che il riuso dei dati deve esser visto in un quadro che vuole favorire la libera circolazione dei dati e non, al contrario, in un quadro che, prevedendo diritti in esclusiva, ponga nuovi limiti. Diritti esclusivi possono essere previsti solo in casi che si rendano necessari per la natura del servizio per il quale i dati sono usati ma in ogni caso tale diritto esclusivo non può superare i 12 mesi.
Non solo: l’eventuale concessione di un diritto esclusivo deve sempre avvenire in una forma conforme al diritto dell’Unione in materia di appalti pubblici, a riconferma del fatto che il diritto in esclusiva è una eccezione la cui ragione deve essere resa nota in forma trasparente e pubblica ma è anche una decisione che deve esser adottata in forme e modalità che consentano a eventuali controinteressati di intervenire secondo le regole degli appalti pubblici.
Per lo stesso motivo, e nella stessa logica l’art.5, nello stabilire le condizioni per il riutilizzo dei dati, specifica che gli enti pubblici devono rendere pubbliche le condizioni che consentano il riutilizzo dei dati che loro considerano condivisibili specificando anche a procedura con la quale possono essere richiesti che deve far perno sullo sportello unico previsto dall’art.8. Ogni Stato infatti deve istituire un apposito ente al quale affidare le funzioni di sportelo unico ovvero affidare tali funzioni a un ente già esistente. Quello che il DGA vuole è che in ogni Stato membro sia indicato il soggetto competente a ricevere le richieste di informazione e di condivisione e riutilizzo dei dati. Lo sportello unico a sua volta rende pubblico e aggiorna costantemente un elenco delle risorse di dati disponibili, comprese quelle disponibili presso sportelli regionali o locali. Le informazioni comprendono anche il formato dei dati disponibili, la loro dimensione e le condizioni da rispettare per il loro riutilizzo.
È previsto anche che lo sportello unico possa istituire un canale informativo distinto per le PMI e le start-up, al fine di facilitare la condivisione dei dati anche a questi soggetti.
L’art.8 paragrafo 4 prevede anche che la Commissione istituisca un punto di accesso europeo che contenga un registro consultabile dei dati disponibili presso gli sportelli unici nazionali nonché ulteriori informazioni su come i dati possano essere richiesti attraverso gli sportelli unici nazionali.
Sulle richieste fatte attraverso gli sportelli nazionali si devono pronunciare, di norma entro due mesi, gli organismi competenti che a norma dell’art. 7 ogni Stato membro deve designare e che, a seconda delle scelte di ciascun Stato possono anche essere competenti per specifici settori.
In via generale, tali organismi sono abilitati dagli Stati membri a concedere l’accesso per il riutilizzo dei dati verificando che siano rispettate le condizioni per il riutilizzo dei dati stabilite dall’art.5 e che ogni Stato deve definire e gli enti pubblici rendere pubbliche, rendendo pubblica anche la procedura per la richiesta di utilizzo attraverso gli sportelli unici.
A prima vista la procedura qui sommariamente descritta può apparire complessa e il nuovo Regolamento può facilmente essere percepito come tale da porre in essere un complesso e anche un poco elefantiaco apparato burocratico, fonte certamente di costi economici e giuridico-organizzativi non indifferenti.
Questa sensazione può essere ulteriormente rafforzata dal fatto che il DGA prevede anche che ogni Stato debba designare una o più Autorità competenti a svolgere i compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati alle quali spetta anche monitorare e controllare la conformità dei fornitori dei servizi di intermediazione dei dati ai requisiti previsti dal Regolamento vigilando anche sulla loro attività tramite apposite richieste ai loro rappresentanti legali. Queste Autorità possono anche comminare sanzioni pecuniarie dissuasive e rilevanti così come possono disporre una sospensione del servizio di intermediazione dei dati o la cessazione del servizio quando ne ricorrano le condizioni. In questo quadro le Autorità nazionali possono anche chiedere alla Commissione la eliminazione del fornitore di servizio di intermediazione sanzionato quando ricorrano le condizioni stabilite al Regolamento.
Per quanto riguarda infine l’”altruismo dei dati”, il Regolamento affida a ciascun Stato membro il compito di definire la propria politica, prevedendo anche l’assistenza agli interessati allo scopo di rendere disponibili a fini di altruismo i dati, anche personali se anonimizzati, da loro detenuti. Tocca agli Stati anche stabilire le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati consentito e messo in atto nell’interesse generale.
Nel quadro di questo Regolamento inoltre assume particolare rilevanza il concetto di finalità dei trattamenti di dati e la necessità che di tali finalità gli interessati siano debitamente informati.
Nei casi di dati messi a disposizione nella logica dell’altruismo dei dati, infatti, è evidente che il riutilizzo dei dati può avvenire – e di norma avverrà - anche per finalità diverse da quelle per le quali i dati sono stati raccolti e trattati originariamente. Dunque la gratuità della messa a disposizione dei dati evita il tema della liceità o meno della vendita di dati ma deve fare i conti con la possibilità, quasi necessaria, che i dati siano usati per finalità nuove e diverse da quelle per le quali originariamente sono stati raccolti e trattati dall’ente pubblico. Di questo il DGA chiede sia informato l’interessato, prevedendo anche che questi possa opporsi al nuovo trattamento e dunque ostacolare la cessione dei dati stessi.
Si apre così una tematica amplissima e molto nuova sulla quale solo l’applicazione in concreto delle nuove regole potrà consentire di comprendere l’ampiezza dei problemi che pone.
Quello che allo stato è facile dire è che indubbiamente il DGA apre davvero una nuova epoca nel trattamento dei dati e nella relativa regolazione. A questo va aggiunto che i problemi sottolineati confermano l’importanza che la condivisione dei dati ha in un quadro economico dominato dai dati e dal loro scambio, così come avviene nella economia digitale.
In sostanza siamo solo all’inizio di una nuova fase della disciplina dei dati.
Quello che già fin da ora possiamo dire è che le autorità di controllo così come tutti gli operatori che si occupano di dati sempre di più dovranno tenere presente che già il tempo attuale ma molto più il futuro saranno caratterizzati da una sorta di duplice e diverso regime giuridico di trattamento dei dati a seconda che i trattamenti avvengano of line o on line.
Per questo è assolutamente essenziale che fin d’ora i DPO si aggiornino e prendano consuetudine coi problemi posti dai trattamenti on line.
Per questo il Data Governance Act è così importante, e segna l’avvio di una nuova fase dalla quale non torneremo più indietro.