Data Governance Act e Gdpr, i profili di incompatibilità: il parere delle Autorità Ue | Agenda Digitale

normativa

Data Governance Act e Gdpr, i profili di incompatibilità: il parere delle Autorità Ue

L’EDPB e EDPS hanno rilevato profili di incompatibilità normativa di una certa rilevanza tra la proposta di Regolamento sulla governance europea dei dati e la normativa in materia di dati personali. Vediamo le disarmonie rilevate e i prossimi passi

26 Mar 2021
Bridget Ellison

Studio De Berti Jacchia Franchini Forlani

Adriano Garofalo

Studio De Berti Jacchia Franchini Forlani

Lo scorso 11 marzo 2021 lo European Data Protection Board (“EDPB”) e lo European Data Protection Supervisor (“EDPS”) hanno pubblicato un parere condiviso (“Parere”) sulla compatibilità tra la proposta di Regolamento sulla governance europea dei dati (pubblicata il 25 novembre 2020 dalla Commissione Europea) e la normativa in materia di dati personali, in particolare il GDPR.

La proposta di Data Governance Act

La proposta di Data Governance Act (“Proposta”) pubblicata lo scorso autunno intende costituire un ulteriore passo dopo la direttiva (UE) 2019/1024 (Open Data Directive) verso una migliore accessibilità e più diffuso riutilizzo dei dati nel settore pubblico.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

Infatti, la Proposta rientra nella Strategia europea per i dati, lanciata dall’Unione Europea un anno fa, che mira a creare un mercato unico per i dati, consentirà di essere in prima linea come data driven economy, più competitiva a livello mondiale e con capacità di sviluppare prodotti e servizi innovativi, pur garantendo la centralità dei diritti dell’essere umano, su cui l’Unione Europea si fonda. Conciliare la tutela dei diritti con una condivisione rapida, fluida dei dati, tale da stare al passo con le superpotenze e le BigTech, si sta rivelando una sfida notevole.

Vincere la sfida è importante: in un’economia basata sui dati attraente, sicura e dinamica, le imprese di ogni dimensione trarranno vantaggio da una riduzione dei costi per l’acquisizione ed elaborazione dei dati e dal dover affrontare minori ostacoli all’ingresso nei mercati, beneficiando anche della riduzione del time-to-market per nuovi prodotti e servizi.

Un’efficace regolamentazione della condivisione dei dati europei in tutti i settori, con spazi di dati interoperabili e comuni è indispensabile per la realizzazione di questi obiettivi, tanto ambiziosi, quanto concreti, e il Data Governance Act è un passo fondamentale in questa direzione.

Ambito di applicazione

L’EDPB e l’EDPS ritengono necessario, ai fini della certezza del diritto, specificare nell’art. 1 della Proposta che quanto disposto nella medesima non determina alcuna alterazione rispetto agli obblighi in materia di protezione dei dati di cui alla specifica legislazione applicabile in materia.

Definizioni

In particolare, le definizioni che suscitano perplessità sono quelle di titolare dei dati (colui che ha il diritto di concedere l’accesso a determinati dati personali o non personali sotto il proprio controllo o di condividerli) e utente dei dati (il soggetto che ha accesso legittimo ai dati ed è autorizzato ad utilizzarli a fini commerciali o non commerciali). Il GDPR non prevede il diritto a condividere i dati personali, né per le persone fisiche, né tantomeno, per le persone giuridiche, e l’EDPB e l’EDPS hanno pertanto manifestato l’esigenza di stabilire, con precisione, quali sono le condizioni che regolano la condivisione dei dati personali. Per quanto riguarda l’utente dei dati, la domanda che l’EDPB e l’EDPS si pongono è facilmente intuibile: l’utente dei dati è titolare, responsabile o contitolare del trattamento dei dati personali ai fini GDPR? Anche in questo caso il Parere esorta disposizioni più chiare e precise al fine di dirimere i dubbi esistenti con riferimento al ruolo rivestito non solo dagli utenti dei dati, ma di tutti gli attori coinvolti nei meccanismi introdotti dalla Proposta e quindi anche ai loro obblighi in materia di privacy.

La necessità di maggiore chiarezza si estende ad ulteriori definizioni, come quella di “condivisione dei dati” e quindi all’utilizzo “congiunto o individuale” di dati personali, e quella di “metadati”, i quali, in base all’attuale definizione proposta dalla Commissione Europea, ritenuta non chiara dall’EDPB e l’EDPS, potrebbero contenere dati personali e, pertanto, essere utilizzabili solo in presenza di un’adeguata base giuridica ai sensi del GDPR.

Base giuridica del trattamento

La Proposta fonda la liceità della condivisione dei dati sul consenso dell’interessato o sul “permesso” accordato dalla persona giuridica. La Proposta non fornisce la definizione di “permesso” e cio’[1], agli occhi dell’EDPB e dell’EDPS, rende necessario intervenire sul testo al fine di chiarire in modo inequivocabile che, laddove la condivisione coinvolga dati personali, non si può prescindere dall’applicazione di una delle basi giuridiche previste dal GDPR e che, pertanto, tale permesso sia complementare e non alternativo rispetto al consenso dell’interessato. In altre parole, il “permesso” alla condivisione del dato personale fornito da una persona giuridica non può in alcun caso far venir meno la necessità di ottenere il consenso dell’interessato.

In generale, l’EDPB e l’EDPS sottolineano la necessità di specificare che tutti i trattamenti di dati personali coinvolti nei meccanismi previsti dalla Proposta devono essere fondati su una delle basi giuridiche previste dal GDPR.

Dati personali e dati non personali

L’EDPB e l’EDPS osservano che le disposizioni della Proposta spesso non tengono in considerazione che gli obblighi e le normative applicabili al trattamento del dato sono differenti a seconda della tipologia dei dati in questione, personali o non personali. Ritengono fondamentale che la Proposta sia ristrutturata in modo da chiarire quali disposizioni si applichino solo in caso di trattamento di dati personali e quali, invece, si applichino esclusivamente ai dati non personali (e quali, invece, siano applicabili a prescindere dalla tipologia di dato utilizzato); secondo il Parere una tale ristrutturazione è imprescindibile per creare dei meccanismi di condivisione dei dati che siano conformi al GDPR o alle altre normative applicabili.

In generale, in tutta la Proposta, il Parere trova non chiara la distinzione tra dati personali e non personali.

Compiti delle autorità

La Proposta prevede la creazione di autorità che supportino gli enti pubblici che concedono il riutilizzo dei dati in ambito pubblico e, per quanto riguarda i fornitori privati di servizi di condivisione dei dati, svolgano compiti relativi all’obbligo di notifica e al controllo del rispetto delle disposizioni della Proposta medesima. Per le organizzazioni per l’altruismo dei dati, l’autorità conserva il registro delle organizzazioni stesse e monitora la conformità alle condizioni per la registrazione. Il rischio che i compiti di queste autorità siano sovrapponibili rispetto a quelli delle autorità garanti per la protezione dei dati personali è evidente e sarà necessario definire tali compiti con precisione, in modo da tutelare non solo gli interessati, ma tutti gli attori coinvolti. L’EDPB e l’EDPS raccomandano che in tutti i casi l’autorità principale responsabile per il controllo ed enforcement della conformità sia l’autorità garante dei dati personali.

La disarmonia tra la proposta e il Gdpr: gli aspetti specifici

L’obiettivo della Proposta è quello di massimizzare il valore dei dati, anche di quelli che non sono disponibili come open data, favorendone la circolazione per mezzo di attori qualificati e strumenti di tutela che ne garantiscano una condivisione sicura all’interno di un mercato unico digitale.

Per raggiungere questo obiettivo, la Proposta delinea tre diversi canali di condivisione, determinando:

  • le condizioni di riutilizzo di certe categorie di dati in possesso degli enti pubblici;
  • un quadro di notifica e vigilanza per la fornitura di servizi di condivisione dei dati (c.d. data sharing), realizzati grazie all’attività di intermediari;
  • un quadro per la registrazione volontaria delle entità che raccolgono e trattano dati per fini che ineriscono al bene della collettività (“data altruism).

I tre concetti appena menzionati sono stati declinati dalla Commissione Europea nella sua Proposta di Data Governance Act in modo da essere perfettamente in linea con quanto previsto dal GDPR?

Condizioni di riutilizzo dei dati detenuti nel settore pubblico

Anche in questo caso l’EDPB e l’EDPS hanno rilevato criticità di una certa rilevanza; infatti, è emblematico come una delle soluzioni proposte nel Parere sia quella di escludere i dati personali dal campo di applicazione del Proposta, per quanto attiene al riutilizzo dei dati detenuti nel settore pubblico[2].

Le condizioni di riutilizzo previste dalla Proposta non sono state determinate considerando le differenti normative che regolano la protezione dei dati personali e quella dei dati non personali (es. normativa sul diritto d’autore). L’assenza di specificità e coordinamento con la normativa sulla protezione dei dati personali rende inadeguate le condizioni di riutilizzo a garantire il rispetto dei principi fondamentali di cui all’art. 5 del GDPR (trasparenza, correttezza e liceità del trattamento, minimizzazione dei dati, esattezza, limitazione, integrità e riservatezza della conservazione), pertanto l’EDPB e l’EDPS consigliano la riformulazione di tali condizioni di riutilizzo.

Meccanismi di condivisione: gli intermediari

La Proposta mira ad aumentare la fiducia nella condivisione dei dati, sia personali che non, attraverso intermediari (tra titolari dei dati e utenti, tra soggetti interessati e potenziali utenti) e le cosiddette “data cooperatives[3] che forniranno servizi di supporto alle figure coinvolte nello scambio dei dati. L’EDPB e l’EDPS considerano troppo “leggero” il controllo che ne consegue e mettono a fuoco una serie di ambiguità con riferimento ai rispetti ruoli dal punto di vista privacy degli “attori” coinvolti nella condivisione. Il Parere, poi, si concentra sui diritti degli interessati previsti dal GDPR, evidenziando l’esigenza che la Proposta specifichi con precisione le modalità con cui, in concreto, gli interessati possano vedere i propri diritti tutelati rispetto all’attività svolta dagli intermediari.

Secondo EDPB ed EPS i servizi prestati dalle ”data cooperatives” agli interessati “di negoziare i termini del trattamento dei dati prima di dare il consenso, a compiere scelte informate…” devono essere riformulati, in modo da rendere inequivocabile che ciò sia compatibile con il GDPR. La posizione degli interessati nei confronti del titolare del trattamento dei suoi dati personali non è negoziabile, sia per quanto riguarda i diritti di cui godono gli interessati, che in relazione agli obblighi in capo al titolare del trattamento.

Il Parere sottolinea che il concetto di un servizio di condivisione dei dati come piattaforma “di intermediazione tra un numero indeterminato di titolari dei dati e utenti dei dati” o open data marketplace sarebbe contrario ai principi di Privacy by Design and by Default, trasparenza e limitazione delle finalità di cui al GDPR a meno che la piattaforma non consenta la pre-selezione delle finalità in base ad una adeguata informativa sulle finalità del trattamento e sui potenziali utenti.

Infine, in merito agli intermediari, l’EDPB e l’EDPS considerano particolarmente alto il rischio, avvertito in relazione alla Proposta in generale, che questa crei un insieme di regole concorrenti e non coerenti con quelle di cui al GDPR e raccomanda che la Proposta rifletta le norme del GDPR, secondo le quali le modalità per la condivisione dei dati personali possano essere più specificatamente determinate dall’EDPB.

Data altruism

Con “data altruism” si intende quel meccanismo per cui persone fisiche e giuridiche rendono i dati volontariamente disponibili per il riutilizzo, senza compenso, per finalità di generale interesse, come la ricerca scientifica o il miglioramento dei servizi pubblici[4].

A questo proposito, l’EDPB e il EDPS raccomandano, tra altro, che vengano definite meglio le finalità di interesse generale di tale “altruismo dei dati” e sottolineano la necessità di rispettare il principio della minimizzazione dei dati personali, che siano utilizzati solo quelli strettamente necessari per le finalità che caratterizzano il trattamento; se i dati possono essere anonimizzati senza che ciò influisca negativamente sul perseguimento delle finalità di interesse generale perseguite, dovranno essere solo i dati anonimi.

I prossimi passi nella strategia europea per i dati

L’EDPB e l’EDPS hanno dettato la via da percorrere; ora spetta alla Commissione Europea percorrerla con una radicale ristrutturazione e riformulazione della Proposta così da armonizzare il Data Governance Act con il GDPR e con l’altra normativa pertinente come la Open Data Directive e la Direttiva E-privacy. L’auspicio è quello per cui ciò venga effettuato in modo tanto preciso quanto veloce, in modo che si possa proseguire con gli ulteriori step previsti dalla “Strategia europea per i dati”, che dovrebbero terminare alla fine del 2021.

L’”apertura” dei dati rappresenta una sfida affascinante e sarà interessante scoprire se il Data Governance Act – una volta definito – permetterà l’utilizzo e la condivisione dei dati nel rispetto della privacy in maniera tale da favorire le imprese, stimolando la crescita e creando valore in un mercato unico dei dati.

  1. Oltre a questo, il Parere sottolinea un altro punto controverso in base al quale il “permesso” alla condivisione del dato fornito dalla persona giuridica sembrerebbe poter sostituire il consenso dell’interessato: Proposta Data Governance Act art. 5 (6) “Where the re-use of data cannot be granted in accordance with the obligations laid down in paragraphs 3 to 5 and there is no other legal basis for transmitting the data under Regulation (EU) 2016/679, the public sector body shall support re-users in seeking consent of the data subjects and/or permission from the legal entities”.
  2. Paragrafo 71 Joint Opinion: “As an alternative, without prejudice to the further indications in this Joint Opinion about the impact on the individuals’ right to privacy and data protection of the rules of the Proposal governing the re-use of certain categories of protected data held by public sector bodies, personal data could be excluded from its scope
  3. Art. 9 (2) (c) Proposta Data Governance Act: “services of data cooperatives, that is to say services supporting data subjects or one-person companies or micro, small and medium-sized enterprises, who are members of the cooperative or who confer the power to the cooperative to negotiate terms and conditions for data processing before they consent, in making informed choices before consenting to data processing, and allowing for mechanisms to exchange views on data processing purposes and conditions that would best represent the interests of data subjects or legal persons”
  4. Art. 10 2(10) Proposta Data Governance Act

WEBINAR, 13 luglio
Data management, l'approccio agile aumenta il valore dei dati (e conviene)
Big Data
Cloud
@RIPRODUZIONE RISERVATA

Articolo 1 di 3