Il Data Governance Act, strumento volto a creare un ecosistema digitale, all’interno dello spazio economico europeo è stato approvato lo scorso 6 aprile dal Parlamento Europeo. Esso ha la mira di essere una pietra focale, cui fare riferimento, per la regolamentazione dei dati Europei in uno spazio comune. La sua prima bozza è apparsa nel Novembre del 2020, con il tentativo di creare nuove regole e l’ambizione di creare spazio ad un interscambio all’interno di un “marketplace” condiviso dei dati del settore pubblico. E come detto questa bozza che ha visto la luce nel 2020 è stato ora approvato dal Parlamento Europeo ed è stato adottato dal Consiglio Europeo senza ulteriori emendamenti, lo scorso 12 Maggio e pubblicato in gazzetta ufficiale dell’unione europea nei giorni scorsi. Oltre a creare un mercato comune dei dati il testo mira anche ad implementare l’interscambio sicuro di dati. E’ di importante rilevanza soprattutto in alcuni campi, quali quello della salute, dell’energia, della tecnologia e della mobilità.
GDPR E DGA A CONFRONTO
La ragione di una così lunga vacatio legis nell’adozione del GDPR e del Data Governance Act può considerarsi la medesima. In entrambi i casi, infatti, ci troviamo di fronte a un corposo sistema di norme volte a dare completa e uniforme applicazione nell’UE a un diritto fondamentale come la privacy (nel caso del Regolamento Europeo 16/679) e ad avviare un processo uniforme di sviluppo dell’economia dei dati e, quindi, dello Spazio europeo dei dati (con il DGA – Il Data Governance Act).
Entrambi i regolamenti, inoltre, hanno previsto e prevedono spazi non marginali per le legislazioni nazionali, per cui il lungo periodo di vacatio legis è giustificato non solo dall’esigenza di dare ai destinatari il tempo di prendere confidenza con la nuova normativa, ma anche di dare agli Stati membri il tempo di adeguarsi alle nuove regole, a partire dall’integrazione della disciplina relativa alle autorità di controllo e vigilanza sull’attuazione delle nuove regole europee.
È altresì evidente che tutto ciò comporta – è bene dirlo subito – un forte aumento delle competenze dei responsabili della protezione dei dati, nonché dei dirigenti che governano le aziende, il che dimostra ancora una volta l’urgenza di istituire adeguati corsi di formazione/aggiornamento soprattutto per i DPO.
Il DGA ED IL SETTORE PUBBLICO MA NON SOLO
Il Consiglio dell’Unione europea ha sottolineato che il DGA stabilirà procedure solide per facilitare il riutilizzo di alcuni dati protetti del settore pubblico e promuovere l’altruismo dei dati in tutta l’UE. Uno degli elementi più significativi della proposta di DGA è l’obiettivo del Consiglio di definire un nuovo modello di business per i servizi di intermediazione dei dati, che fungerebbero da ambienti affidabili per la condivisione dei dati da parte di organizzazioni o individui. Il Consiglio Europeo sottolinea che i servizi di intermediazione dei dati contribuiranno a:
- sostenere la condivisione volontaria di dati tra aziende
- facilitare l’adempimento degli obblighi di condivisione dei dati stabiliti dalla legge
- le organizzazioni condividano i dati senza temere che vengano utilizzati in modo improprio o che perdano il loro vantaggio competitivo
- le persone esercitano i loro diritti ai sensi del GDPR
- consentire alle persone di ottenere il controllo sui propri dati e di condividerli con aziende fidate.
Il Consiglio Europeo spiega inoltre che il controllo che gli individui otterranno sulle modalità di condivisione dei propri dati sarà gestito attraverso nuovi strumenti di gestione delle informazioni personali, come gli spazi di dati personali o i portafogli di dati. Si tratta di applicazioni che condividono tali dati sulla base del consenso dell’interessato. Ai fornitori di servizi di intermediazione dei dati sarà vietato trarre profitto dai dati che gestiscono, ma potranno richiedere un compenso per i loro servizi. Il DGA prevede anche certificazioni per identificare i fornitori di servizi di intermediazione dati conformi.
Inoltre, il DGA introdurrà salvaguardie contro il trasferimento illegale di dati non personali, in modo simile a come i trasferimenti di dati personali sono regolati dal GDPR. In questo modo, la Commissione europea potrebbe adottare decisioni di adeguatezza per i Paesi che dispongono di garanzie adeguate per proteggere i dati non personali secondo gli standard dell’UE. La Commissione potrebbe anche sviluppare una serie di clausole contrattuali per gli scenari in cui i dati non personali vengono trasferiti a un Paese terzo.
Per assistere la Commissione nel migliorare l’interoperabilità dei servizi di intermediazione dei dati, sarà creato il Comitato europeo per l’innovazione dei dati. Tra i suoi compiti ci sarà anche quello di emanare linee guida sullo sviluppo di spazi per i dati personali.
Sebbene tutto ciò sia direttamente rilevante per gli enti del settore pubblico, anche altre organizzazioni e individui in Europa che desiderano beneficiare di questi dati, così come qualsiasi persona fisica o giuridica a cui si riferiscono i relativi Dati, dovranno essere consapevoli dei cambiamenti introdotti dal DGA. Ciò sarà particolarmente rilevante per i trasferimenti di Dati al di fuori dell’Europa.
Amedeo Leone
