Anche tra le imprese e gli operatori, parlare di dati solitamente implica l’aggiungere l’aggettivo “personali” e far vertere quasi tutto il discorso sul GDPR. Meno considerata, tuttora, è l’importanza dei dati che non riguardano specificamente le persone fisiche identificate o identificabili, i dati non personali (per es. quelli generati da sensori IoT industriali) ma che stanno guadagnando sempre più importanza e valore in vari settori.
Ma cosa li rende così cruciali, e quali sono le politiche e le sfide che li circondano nell’Unione Europea?
Un recente studio del Parlamento Europeo, intitolato “The emergence of non-personal data markets”, esplora l’importanza crescente dei mercati di dati non personali, le politiche che ne abilitano la condivisione, il quadro giuridico attuale e i prossimi passi legislativi unionali. Per scoprire come l’Europa sta affrontando queste sfide e sta plasmando il futuro di tali dati, aprendo nuove opportunità per l’innovazione e la competitività che finora sono state sacrificate da diversi fattori.
Lo sfruttamento dei dati può fornire intuizioni preziose e guidare decisioni informate in molti ambiti, dalla ricerca scientifica alla pianificazione urbana, dall’ottimizzazione delle operazioni aziendali alla previsione delle tendenze di mercato.
Vediamo di seguito come lo studio affronta soprattutto i temi giuridici, precisando che il documento affronta altresì aspetti più prettamente economici e di mercato, a cui accenneremo soltanto.
Politiche per abilitare il libero flusso di dati non personali
Come anticipato, i dati non personali possono essere utilizzati in una varietà di settori, come energia, mobilità, ambiente, salute, settore alimentare e finanza, per citarne alcuni. Per usufruirne appieno è fondamentale che esista un quadro chiaro e il più possibile certo, giuridicamente parlando, per il libero flusso e l’accesso da parte di entità pubbliche e private. Tale accessibilità ha il potenziale di stimolare l’innovazione nel settore privato e aumentare l’efficienza nel settore pubblico, fungendo da incentivo al mercato.
Protezione dei dati grazie ai servizi gestiti: da dove iniziare?
Attualmente, una disciplina minima già esiste per i dati non personali (ovvero, per definizione normativa, “diversi dai dati personali”), è contenuta nel Regolamento UE 2018/1807 “relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea”, principale normativa di riferimento. Questo atto, piuttosto conciso, mira a garantire il libero flusso transfrontaliero di dati non personali (vietando dunque fenomeni di lock-in), all’interno dell’UE, garantendo un diritto alla portabilità anche a utenti business e incoraggiando l’adozione di codici di condotta per il cloud computing.
Successivamente, la Commissione Europea ha accompagnato il tema nelle sue “istruzioni per l’uso”: una comunicazione intitolata “Guidance on the Regulation on a framework for the free flow of non personal data in the European Union” ove forniva maggiori dettagli (per es. sul tema dei dati misti, personali e non) sull’applicazione del Regolamento.
Per favorire la creazione di un mercato unico sicuro per dati personali e non personali, la Commissione europea ha anche adottato in seguito, nel 2020, il proprio documento sulla Strategia europea per i dati.
Ai sensi di questa visione strategica, l’uso dei dati può potenziare le imprese, sostenere la loro crescita, innovazione e competitività, contribuire allo sviluppo di tutti i settori dell’economia e migliorare la salute e il benessere, l’ambiente, la trasparenza della governance e i servizi pubblici.
La Commissione ha organizzato il suo lavoro per realizzare questa visione, suddiviso in quattro priorità:
- misure legislative per la governance degli spazi comuni europei per i dati (come vedremo oltre);
- disponibilità di dati del settore pubblico di alta qualità per il riutilizzo gratuito (coinvolge il tema dei c.d. Open Data, vedi oltre);
- incentivazione della condivisione orizzontale dei dati all’interno e tra i settori tramite lo sviluppo di infrastrutture di trattamento dei dati, strumenti di condivisione dei dati, architetture e meccanismi di governance per una condivisione dei dati fiorente e per federare infrastrutture cloud efficienti sotto il profilo energetico e affidabili e servizi correlati (qui influisce in particolare il Data Governance Act recentemente entrato in vigore);
- consentire l’accesso a servizi cloud sicuri, equi e competitivi facilitando l’istituzione di un mercato degli appalti per i servizi di elaborazione dei dati e creando chiarezza sul quadro normativo applicabile alle norme sul cloud.
L’Unione Europea sta facendo passi significativi per la propria autonoma governance dei dati e del digitale – tuttavia, c’è ancora molto lavoro da fare per garantire che questi dati non personali possano essere utilizzati in modo efficace e sicuro.
Il quadro giuridico attuale
Per meglio comprendere l’effettiva realizzabilità delle proposte sopradette, è necessario comprendere l’attuale quadro normativo, come esaminato nello studio in parola.
Oltre al sopracitato Regolamento sui dati non personali, è centro di discussione in materia di dati non personali la Direttiva 2019/1024 sui c.d. Open Data, una pietra miliare per il riutilizzo comune dei dati del settore pubblico. L’obiettivo principale è rimuovere le barriere all’uso e alla condivisione di tali dati, sì da promuovere l’innovazione.
Questo è particolarmente importante per le PMI e le start-up, che spesso si scontrano con gli ostacoli finanziari e di accesso ai dati.
Secondo l’art. 6 della Direttiva, il riutilizzo dei dati del settore pubblico deve essere gratuito, consentendo solo il recupero dei costi marginali per la riproduzione, la fornitura, la diffusione e l’anonimizzazione dei dati.
La stessa Direttiva introduce anche il concetto di “set di dati ad alto valore“: sono dati con un alto potenziale commerciale, come quelli sulla mobilità, di geolocalizzazione, le osservazioni meteorologiche, sulla qualità dell’aria e statistiche varie.
Secondo gli artt. 13 e 14 della Direttiva, tali set di dati ad alto valore devono essere disponibili gratuitamente in un formato leggibile in maniera automatizzata, tramite API e fruibili in blocco tramite download.
La Commissione ha pertanto creato delle liste apposite e ha stabilito accordi per la loro pubblicazione e riutilizzo.
Il ruolo del Data Governance Act
Si affianca a ciò il citato Data Governance Act (Regolamento 2022/868 – “DGA”), da poco applicabile, che integra la Direttiva sui Dati Aperti e stabilisce condizioni chiare per il riutilizzo dei dati. Il DGA non obbliga i detentori di dati a consentire il riutilizzo dei dati protetti, bensì stabilisce le condizioni armonizzate in base alle quali poterlo fare (ci permettiamo di rimandare al nostro precedente contributo “Il Data Governance Act è applicabile: nuove opportunità e rischi della data economy” per approfondimenti).
Tra gli elementi fondamentali di questa normativa possiamo richiamare le dettagliate condizioni richieste, comprese le misure tecniche che gli enti pubblici devono adottare per garantire la protezione della privacy e della riservatezza, nonché i principi fondamentali del riutilizzo, il divieto di conclusione di accordi esclusivi per il riutilizzo dei dati protetti e, in ultimo, l’applicazione di tariffe per il riutilizzo dei dati trasparenti, non discriminatorie, proporzionate, giustificate oggettivamente e non restrittive sulla concorrenza.
Senza dilungarci oltre rispetto a quanto già approfondito nel nostro precedente contributo, rammentiamo che comunque il DGA introduce un nuovo modello di condivisione dei dati attraverso i “fornitori di servizi di intermediazione dei dati” (terze parti neutre che facilitano il collegamento tra i detentori di dati e gli utenti dei dati, promuovendo la fiducia e garantendo procedure equità e trasparenza per l’accesso).
Oltre al concetto di “altruismo dei dati”, consentendo la condivisione volontaria e gratuita dei dati generati da aziende e individui per scopi di interesse generale.
La Direttiva sui servizi di pagamento (PSD2)
Esistono anche una serie di regolamenti settoriali che disciplinano la gestione di dati specifici. Un esempio è la Direttiva sui Servizi di Pagamento (PSD2), che regola i dati relativi ai pagamenti e che aveva introdotto obblighi innovativi di apertura e condivisione dei dati. Mentre i dati personali associati ai pagamenti sono già disciplinati dal GDPR, la PSD2 si concentra sulla raccolta e la condivisione di dati statistici relativi a frodi, transazioni, prestazioni e altri aspetti correlati ai pagamenti.
Questi dati sono scambiati tra i fornitori di servizi di pagamento, le autorità nazionali competenti, l’Autorità Bancaria Europea e la Banca Centrale Europea. La PSD2 è attualmente in fase di revisione per favorire la condivisione di dati non personali, come entità commerciali o dettagli dei prodotti finanziari, mirando a una PSD3 di prossima approvazione.
Regolamenti settoriali per il trattamento dei dati non personali
Tra le altre normative rilevanti troviamo il c.d. Regolamento “REACH” concernente la registrazione, la valutazione, l’autorizzazione e la restrizione delle sostanze chimiche (Reg. 1907/2000), cruciale per il settore chimico e che crea un sistema di ammissione delle sostanze chimiche nel mercato dell’UE.
La normativa richiede la registrazione e, in alcuni casi, l’autorizzazione delle sostanze chimiche prima che possano essere commercializzate. In questo processo, i produttori o gli importatori devono fornire un dossier completo con dati specifici sulla sostanza, molti dei quali sono dati non personali come informazioni fisicochimiche e tossicologiche. Inoltre, contiene disposizioni per la condivisione dei dati non personali al fine di evitare test inutili su animali.
Nel settore alimentare, invece, rileva il Regolamento generale sul diritto alimentare (Reg. 178/2002) disciplina la condivisione dei dati relativi alla valutazione del rischio nella catena alimentare. Nuovi alimenti o additivi alimentari messi sul mercato dell’UE devono essere notificati o autorizzati per garantire la sicurezza del consumo. Come per il Regolamento REACH, questo processo coinvolge dossier con dati non personali.
Infine, altre legislazioni che lo studio richiama sono il Regolamento 2018/858 dell’UE sui veicoli a motore, oppure la Direttiva 2019/944 sull’elettricità, ciascuno con regole specifiche sulla condivisione dei dati non personali. Non manca il Regolamento 2019/1150 “Platform-2-Business”, sulla trasparenza ed equità per gli utenti commerciali dei servizi di intermediazione online, e che richiede ai fornitori di servizi di intermediazione online e ai motori di ricerca di divulgare eventuali trattamenti differenziati che riservano ai loro utenti commerciali in merito all’accesso ai dati.
Digital Markets Act: regole chiare sui mercati digitali
In aggiunta possiamo citare il c.d. Digital Markets Act, ovvero il Regolamento 2022/1925, che per frenare il potere di mercato delle piattaforme dominanti e prevenire pratiche di concorrenza abusive, impone regole chiare ai cosiddetti “gatekeeper“. Il DMA proibisce ai gatekeeper, in concorrenza “sleale” con i propri utenti commerciali, di utilizzare dati, compresi i dati non personali, che non siano pubblicamente disponibili e siano stati generati o forniti da questi utenti nel contesto dell’uso dei servizi.
La protezione giuridica dei dati non personali si estende poi alla proprietà intellettuale. Alcuni dati non personali o set di dati possono rientrare sotto la protezione come segreti commerciali o know-how. Secondo la Direttiva 2016/943 sui segreti commerciali, i dati possono qualificarsi ed essere protetti se soddisfano tre criteri: devono essere segreti (non noti o facilmente accessibili), devono avere un valore commerciale dovuto al loro segreto e devono essere oggetto di misure ragionevoli (di sicurezza) per mantenerne la segretezza.
Tuttavia, applicare queste regole ai dati non personali può essere complesso, specialmente quando più entità sono coinvolte nella raccolta. Inoltre, collegare direttamente il segreto dei dati al loro valore commerciale è complicato, poiché il valore spesso emerge attraverso l’analisi degli stessi, ad esempio nelle inferenze e nelle correlazioni con altri dati.
In conclusione, tutte queste normative stanno cercando di affrontare queste sfide, garantendo che i dati non personali siano trattati in modo equo e conforme.
Prossimi passi legislativi per la condivisione di dati non personali
L’Unione sta facendo progressi significativi per rimuovere le barriere alla circolazione dei dati non personali e regolare i diritti e gli obblighi di tutti gli attori economici coinvolti.
Uno degli sviluppi più recenti in questo ambito è la proposta del c.d. European Data Act (COM(2022) 68 final – proposta di Regolamento per regole armonizzate sull’accesso equo ai dati e al loro utilizzo), presentata dalla Commissione europea il 23 febbraio 2022.
Questa legislazione mira a creare un mercato unico per i dati generati da prodotti e servizi, consentendo di farli fluire liberamente all’interno dell’UE e tra vari settori, promovendone la condivisione tra consumatori, imprese e autorità pubbliche.
Gli obiettivi principale della proposta sono:
- l’accesso obbligatorio ai dati generati da dispositivi connessi, detenuti da coloro che sono soggetti a obblighi di condivisione dei dati per legge;
- la condivisione dei dati quando coinvolgono piccole e medie imprese (PMI), favorendo così un ambiente di business più equo e promettente per le imprese di dimensioni minori;
- la legislazione copre anche i servizi di elaborazione dei dati, come i cloud provider e la loro sostituzione (anti lock-in), il trasferimento internazionale di dati non personali e l’interoperabilità.
Questo approccio orizzontale alla legislazione copre una vasta gamma di aspetti relativi alla condivisione – tuttavia, una delle questioni chiave rimane il tipo di dati che dovrebbero essere coperti da questa legislazione.
La proposta si concentra sui dati non personali raccolti dai prodotti dell’IoT (Internet of Things), ma al momento si escludono i dati risultanti dall’elaborazione e dall’inferenza di “algoritmi proprietari complessi”, distinzione che riflette la complessità dell’elaborazione dei dati nell’era digitale. Vedremo come verrà finalizzata la normativa dopo l’attuale dibattito politico.
In ultimo, si deve badare alla strategia di creare spazi comuni europei dei dati, integrativi in particolare degli sforzi del citato DGA. Gli spazi permetteranno di scambiare (volontariamente) i dati – provenienti sia dal settore pubblico che dalle imprese – in modo affidabile e a costi contenuti, prevedendo sia un’infrastruttura tecnologica sicura che meccanismi di governance.
La Commissione sostiene la creazione e lo sviluppo di tali spazi comuni europei in nove settori strategici: salute, ambiente, energia, agricoltura, mobilità, finanze, industria manifatturiera, pubblica amministrazione e competenze.
Un esempio rilevante è la Commissione con la proposta del c.d. Regolamento EHDS, cioè per la creazione di uno spazio europeo per i dati sanitari, inclusi sia i dati personali (ad esempio, dati dei pazienti) che i dati non personali (ad esempio, dati sui patogeni).
Questa disciplina permetterà di collegare i set di dati sanitari, finora fin troppo “bloccati” da incertezze e restrizioni normative, promuovendone sia l’uso primario per l’assistenza ai pazienti che l’uso secondario per scopi di innovazione, ricerca e decisioni.
Per quanto riguarda i dati non personali, sono previste disposizioni speciali per la condivisione e il trasferimento: i detentori dei dati dovranno garantire un accesso illimitato attraverso database aperti e affidabili.
Questi database dovrebbero avere robuste disposizioni di governance, trasparente e sostenibile.
Le barriere allo sviluppo dei mercati di dati non personali
Bisogna poi ragionare su quali siano le barriere e gli ostacoli che non permettono – oggi – il pieno utilizzo dei dati non personali e lo spiegarsi del loro immenso potenziale. Lo studio rileva le seguenti:
- In primis, la digitalizzazione è l’elemento necessario per aumentare la disponibilità dei dati, cioè sarebbe necessaria una maggiore “datificazione” in digitale di vari settori. Aziende più grandi e ambiti più avanzati digitalmente tendono a disporre di una quantità maggiore di dati, rispetto alle aziende più piccole e ai settori minori. La soluzione chiave per affrontare questo dislivello è quindi accelerare il processo di digitalizzazione per tutti i settori e le organizzazioni in ritardo. L’Unione Europea ha lavorato diligentemente su questo fronte per oltre un decennio, con politiche mirate a favorire la trasformazione digitale delle imprese e dei servizi pubblici entro il 2030. E con il supporto di una serie di misure specifiche per i vari settori, tra cui energia, mobilità e salute. Inoltre, è stata sviluppata una strategia specifica dedicata alla digitalizzazione delle piccole e medie imprese (PMI). Insomma, si devono aumentare gli incentivi (forse anche gli obblighi) e mitigare i disincentivi alla condivisione dei dati. Un elemento cruciale di questa iniziativa è proprio lo sviluppo di spazi di condivisione per i dati: un’infrastruttura per lo scambio sicuro dei dati.
- In secondo luogo, l’accesso potrebbe essere ostacolato da incertezze legali, dubbi sulla titolarità e mancanza di incentivi alla condivisione. Ad esempio, i set di dati possono essere misti, contenendo sia dati personali che non personali portando all’applicazione di regole diverse, di incerta sovrapposizione e coordinamento, con relativo rischio di mancata compliance. Questa ambiguità legale spesso frena le aziende dal condividere i dati, poiché a volte non è possibile filtrarli o anonimizzarli completamente. Per fronteggiare questo problema è stata proposta l’introduzione di un regime di “porto sicuro” (“Safe Harbour regime”) per le organizzazioni che tentano – in buona fede – di separare i dati personali dai set di dati misti, anonimizzandoli. In base a questo regime, le aziende non dovrebbero essere ritenute responsabili ai sensi del GDPR se dimostrano di aver rispettato gli standard qualitativi di anonimizzazione.
- Anche l’interoperabilità, ovvero la capacità di far dialogare e condividere dati tra sistemi diversi, è fondamentale per sfruttare appieno il potenziale dei dati. La mancanza di standard comuni è uno dei principali ostacoli a ciò. Azioni di coordinamento e supporto nell’ambito del programma Horizon Europe stanno cercando di sviluppare gli standard necessari; tuttavia, per far progredire la standardizzazione davvero sono necessari passi più audaci. La proposta di Data Act propone di autorizzare la Commissione Europea a emettere mandati alle “organizzazioni europee di standardizzazione” per sviluppare standard armonizzati. Lo stesso Data Act può rappresentare un modello di standardizzazione, estendibile oltre a quanto disciplinato attualmente. La Commissione stessa, inoltre, può utilizzare i suoi poteri per adottare programmi di lavoro annuali con priorità strategiche, includenti questi standard. Infine, la consultazione con il nascente European Data Innovation Board (varato dal DGA) può essere essenziale per identificare gli standard strategici necessari.
- Anche la sicurezza informatica è un altro tema di perenne, primaria importanza. I rischi dipendono ovviamente dalla natura dei dati trasferiti o elaborati e se il settore è classificato come infrastruttura critica o meno. Le normative dell’Unione Europea affrontano già in modo dettagliato le questioni legate alla sicurezza informatica, ad esempio con il Cybersecurity Act e la Direttiva NIS (1 e 2). Secondo lo studio, la normativa esistente pare essere sufficiente a fronteggiare i rischi connessi all’uso dei dati non personali e pertanto l’obiettivo è che venga attuata pienamente. La Commissione ha l’opportunità di adottare un atto di attuazione rendendo obbligatorio lo Schema di certificazione europeo per la sicurezza informatica; questa misura potrebbe essere cruciale per garantire standard uniformi e robusti in tutta l’Unione Europea.
- Un ulteriore punto è il diritto della concorrenza che può essere applicato a qualsiasi problematica legata alle pratiche anticoncorrenziali all’interno del mercato dei dati non personali. Tuttavia, affinché sia efficacemente applicato, è essenziale che le autorità della concorrenza nazionali acquisiscano una maggiore competenza digitale e sui dati. Il quadro normativo esistente, con l’ausilio del Digital Markets Act e del proposto Data Act, sarebbe attrezzato per affrontare le sfide attuali e future che possono generarsi dal potenziale pericolo che i soliti “Big players” possano avvantaggiarsi, da soli o quasi, di una maggior condivisione di dati;
- In ultimo, l’Unione Europea riconosce la carenza di specialisti qualificati e la limitata alfabetizzazione in tema di dati (parimenti a livello di imprese). Per far fronte a questa sfida, sono stati avviati sforzi significativi nell’ambito del “Piano d’azione per l’istruzione digitale 2021-2027” come parte dell’Agenda europea per le competenze. Tale piano prevede diverse azioni chiave, tuttavia si concentra principalmente sulle competenze digitali in generale e tralascia quelle relative ai dati. La formazione dovrà essere sì scolastica ma rivolgersi altresì alle fasi di formazione “continua” dei lavoratori, anche per far acquisire nuove competenze.
Un mercato dei dati non personali è possibile
All’interno dello studio che abbiamo appena esplorato, sono inserite svariate raccomandazioni finali da tener a mente per l’evoluzione futura dell’utilizzo di dati non personali, dirette in primis agli Stati membri:
- è fondamentale che vengano sviluppati strumenti per il monitoraggio dei progressi e l’identificazione tempestiva dei problemi per le attività di digitalizzazione; questa raccomandazione è cruciale sia per le imprese che per la pubblica amministrazione: per le imprese, ciò significa migliorare l’efficienza operativa e ottimizzare l’uso dei dati non personali – per la pubblica amministrazione, la capacità di monitorare i progressi è essenziale per garantire il buon governo e l’efficacia delle politiche pubbliche;
- bisogna sviluppare incentivi positivi e mitigare i disincentivi per le organizzazioni al fine di condividere i loro dati non personali, anche per il tramite di modelli di compensazione; le imprese possono beneficiare dall’adozione di modelli di compensazione che riconoscano il valore dei dati condivisi e forniscono incentivi economici o altre forme di riconoscimento; la pubblica amministrazione può incentivare la condivisione dei dati non personali semplificando i processi e riducendo gli oneri amministrativi associati – la chiave è trovare un equilibrio tra l’incentivazione e la regolamentazione;
- bisogna condurre ulteriori studi e un allineamento dei modelli di compensazione tra le diverse norme esistenti; gli studi approfonditi e l’allineamento dei modelli di compensazione tra le diverse norme esistenti sono essenziali per ottenere coerenza e chiarezza, e sarà particolarmente utile per le imprese che operano in settori diversi e che devono rispettare normative specifiche; la pubblica amministrazione potrà trarre beneficio dall’allineamento delle norme esistenti per agevolare la condivisione dei dati tra le varie entità della P.A. e i settori del comparto;
- bisogna estendere su una scala più ampia le disposizioni proposte nel Data Act che forniscono un modello utile per la standardizzazione; ciò significa che le imprese e la pubblica amministrazione, anche tra loro, potranno adottare standard comuni per la condivisione e l’uso dei dati e ne semplificherà le operazioni, promuovendo l’interoperabilità tra diverse piattaforme e servizi, oltre che nello scambio pubblico-privato;
- bisogna redigere raccomandazioni e linee guida più specifiche per gli Stati membri in merito alla mancanza di competenza in ambito di dati; la mancanza di competenza in materia di dati è una sfida significativa, considerato lo stato attuale.
Non possiamo che aggiungere che il potenziale dei dati non personali sarà fondamentale humus, tra l’altro, per lo sviluppo di compiuti sfruttamenti dell’intelligenza artificiale, sia a scopi privati che – ancor più e per il benessere generale – che pubblici (pensiamo allo sviluppo concreto delle Smart Cities in Europa).
L’agenda di tutti gli Stati europei dovrebbe avere un focus specifico sui temi e le raccomandazioni appena esposti: se è vero che la normativa sarà giocoforza europea ed armonizzata, saranno comunque gli Stati a dover rendere concrete molte delle misure e incentivi prospettati.
L’Italia non pare all’avanguardia sullo scacchiere internazionale per un compiuto sfruttamento dei dati, non è troppo tardi per adottare azioni che invertano la rotta, anche grazie alle indicazioni di studi come quello qui trattato.
La data economy è già qui, molto lavoro è ancora da fare.
La Top 5 delle minacce informatiche e come contrastarle
@RIPRODUZIONE RISERVATA