È opinione consolidata che i dati siano la principale risorsa della trasformazione digitale. Sono noti, e abbondantemente descritti, i processi di estrazione, accumulazione e valorizzazione dei dati da parte di pochissimi grandi oligopolisti, che ne hanno fatto la principale risorsa alla base della crescita straordinaria della loro ricchezza e del loro potere.

Scarsa è invece la consapevolezza, nella società e nella politica, che i dati possono essere una risorsa preziosa per riorientare la trasformazione digitale e, attraverso essa, la qualità di tutte le politiche, dalla salute al welfare, dalla finanza alla mobilità, dalla cultura alla sicurezza, dall’ambiente all’esercizio della partecipazione democratica.

Sono i dati che abbiamo consegnato più o meno consapevolmente ai dispositivi digitali utilizzati. Sono i dati raccolti e gestiti dalle pubbliche amministrazioni. Sono i dati estratti dei sensori attivati nei progetti di Smart City. Sono i dati accumulati dalle aziende pubbliche e private che offrono servizi a cittadini imprese. Sono i dati ripresi dalle mille telecamere di sorveglianza.

A chi appartengono questi dati e chi garantisce la possibilità, le finalità e le modalità del loro utilizzo?

Gli anni della pandemia hanno prodotto una crescita significativa di questa consapevolezza del valore sociale e politico dei dati.

Ad esempio, accanto e non in contrasto con il rafforzamento della tutela dei dati personali garantita dal GDPR (Regolamento (UE) 2016/79) è aumentata la consapevolezza che i dati, anche quando sono personali, hanno sempre natura e implicazioni sociali. Questo perché la singola persona fisica è parte integrante e inscindibile di una pluralità di relazioni biologiche e sociali. Pertanto i dati che rappresentano, definiscono, identificano la persona non “riguardano” soltanto la singola persona, ma sempre anche una pluralità di altre persone che con quella singola hanno connessioni dirette e indirette.

Ma sono dati socialmente rilevanti anche tutti i dati raccolti e gestiti dalle pubbliche amministrazioni, centrali e locali, e dalle imprese pubbliche che ad esse fanno riferimento. Lo sono i dati generati dai sensori che sempre più innervano le città e i territori. Lo sono anche i dati raccolti e gestiti dalle imprese private, che devono ad esempio poter essere utilizzati, per motivi di pubblico interesse, da ricercatori, giornalisti, associazioni e cittadini.

A questa crescita di consapevolezza sulla importanza dei dati, si accompagna la convinzione, generata dall’esperienza, che il valore sociale dei dati cresce e si moltiplica in ragione del loro uso e in particolare in ragione della possibilità di mettere in relazione dati con altri dati. Questo può aprire opportunità di conoscenza e di interpretazione che altrimenti resterebbero sconosciute.

Gli attuali processi massivi di spoliazione, appropriazione, privatizzazione dei dati – vere e proprie enclosures digitali – con la conseguente emersione di oligopoli, rappresentano, da questo punto di vista, un gigantesco fallimento politico, sociale, di mercato. Racchiudere i dati – estratti dalle comunità – all’interno di silos separati e inaccessibili, controllati da pochi soggetti, privati o pubblici che siano, significa rinunciare ad una porzione potenzialmente decisiva del loro valore. Oppure consentire che tale ricchezza resti nel dominio esclusivo degli oligopolisti.

Restituire i dati alle comunità significa trovare i modi per rendere i dati disponibili il più facilmente possibile a coloro che li vogliono usare. I dati possono/debbono essere considerati come una infrastruttura che abilita la creazione di valore per la società, per la ricerca, per l’economia pubblica e privata, per assumere decisioni, per il controllo pubblico sulle decisioni assunte, etc.. Occorre superare i silos per passare a modalità di intermediazione tra detentori e utilizzatori che moltiplichino l’utilizzo nell’interesse collettivo, per affrontare problemi sociali, ambientali, economici, sanitari.

È indispensabile però, che queste modalità siano regolamentate perché le singole persone, i detentori, pubblici o privati, dei dati e gli utilizzatori, possano compiere le loro scelte all’interno di un quadro dove siano definiti i limiti, le condizioni – anche economiche – e le garanzie per la condivisione e il riuso dei dati.

È a partire da queste considerazioni, che si è sviluppato il dibattito (soprattutto in ambito anglosassone) volto alla ricerca di modelli alternativi. Soluzioni giuridiche e gestionali differenti (data trust, cooperative, sindacati, beni comuni digitali, etc.) che in comune hanno la necessità di “liberare” il potenziale dei dati per restituirlo alle comunità attraverso forme di gestione collettiva dei dati.

Oggi è possibile immaginare e definire un quadro normativo che consenta, come minimo, di avviare pratiche sperimentali di restituzione dei dati alle comunità, e promuovere il loro utilizzo a fini socialmente utili.

È infatti in questa direzione che si muove, sia pure in forme iniziali, la proposta di Data Governance Act (vedi) che prevede il riuso dei dati del settore pubblico che sono normalmente soggetti a limitazioni, la condivisione di dati (personali e non personali) attraverso la diffusione e la regolamentazione di servizi di intermediazione, la promozione di esperienze no profit di uso dei dati per finalità di interesse generale, attraverso la previsione di norme nazionali che possano favorire l’altruismo dei dati e la regolamentazione di organizzazioni a tal fine costituite.

A questo scopo è prevista l’istituzione e la gestione di registri dei soggetti autorizzati all’intermediazione e all’altruismo, una regolamentazione e un controllo delle modalità e delle limitazioni a cui sono soggetti i servizi di condivisione, le condizioni economiche a cui il riuso è soggetto in determinati casi e per certi soggetti, l’attribuzione a specifiche ‘autorità’ di tali compiti.

Accanto al “Data governance act” sono già vigenti, o in avanzato corso di definizione, molti altri quadri normativi che riguardano i temi considerati. Sono ad esempio la disciplina del trattamento dei dati personali, la disciplina dei dati e del software della pubblica amministrazione, i servizi di intermediazione dei dati, lo spazio europeo dei dati sanitari, l’accesso ai dati.

A una sintetica descrizione di tali quadri normativi è dedicato l’allegato 3.

LA PROPOSTA

Si propone pertanto di procedere a sviluppare su base nazionale le indicazioni che emergono dal Data Governance Act europeo mediante due azioni sinergiche.

Promuovere, anche attraverso la definizione di un quadro normativo che le favorisca, esperienze di “altruismo dei dati” adottando idonee misure tecniche e organizzative, e incentivando la nascita nei territori di coalizioni tra soggetti diversi. Esiste una pluralità di pratiche che vanno nella direzione della condivisione dei dati. Le più significative seguono due modelli principali che possiamo distinguere in base alla direzione della spinta dell’iniziativa: dal basso e dall’alto. Dal basso, sono le esperienze che partono dalla messa in comune dei dati delle persone e delle comunità a cui appartengono. Quelle dall’alto si muovono principalmente dalla messa in comune dei dati di organizzazioni, aziende, enti pubblici. Nell’allegato 1 viene fornito qualche esempio per approfondire le due tipologie e successivamente viene formulata un’ipotesi per una o più esperienze che potrebbero essere avviate nella specificità del nostro paese.

Istituire una specifica autorità che consenta la gestione di tale quadro normativo, anche ampliando in una prima fase, per minimizzare i costi amministrativi, i compiti del Garante per la protezione dei dati personali, che potrebbe assumere la denominazione di Garante per la protezione dei dati personali, l’accesso ai dati di pubblico interesse e l’attuazione del regolamento UE sul governo dei dati (Data governance Act), attribuendole espressamente il compito di promuovere l’accesso ai dati per fini di pubblico interesse, anche eventualmente ordinando ai privati di consentire l’accesso, per tali fini, ai dati dagli stessi trattati. In contesto e le funzioni delle attuali autorità di garanzia, ed i compiti previsti per una eventuale nuova autorità sono descritti nell’allegato 2.

ALLEGATO 1: IPOTESI PER L’ITALIA

Esiste una pluralità di pratiche che vanno nella direzione della condivisione dei dati. Le più significative, ci pare, seguono due modelli principali che possiamo distinguere tipicamente in base alla direzione della spinta dell’iniziativa: dal basso e dall’alto.

Dal basso sono le esperienze che partono dalla messa in comune dei dati delle persone e delle comunità a cui appartengono. Quelle dall’alto si muovono principalmente dalla messa in comune dei dati di organizzazioni, aziende, enti pubblici. Di seguito diamo qualche riferimento per approfondire le due tipologie e successivamente formuliamo un’ipotesi per una o più esperienze che potrebbero essere avviate nella specificità del nostro paese.

1. Dati di comunità – condividere i dati delle persone

È forse nell’ambito della ricerca sanitaria che troviamo gli esempi più avanzati. È il caso di BioBank (UK), banca dati continuamente aggiornata con le informazioni di 500 mila persone che volontariamente mettono a disposizione i propri dati sanitari e genetici per favorire la ricerca. I ricercatori accreditati che accedono ai dati si obbligano in cambio a mettere a disposizione i risultati delle loro ricerche per favorire processi di sviluppo continuo.

JoinData è una piattaforma (cooperativa non profit) che raccoglie i dati prodotti giornalmente dalle aziende agricole olandesi allo scopo di restituire ai loro proprietari il controllo sui propri dati e consentirgli di decidere con quali soggetti condividerli e per quali finalità (clienti, fornitori, pubbliche amministrazioni, ricerca).

Qui altri esempi di sperimentazioni per la raccolta e gestione di dati di comunità.

2. Dati di organizzazioni

Consumer Data Research Center raccoglie dataset da diversi fornitori privati e pubblici (dati geografici, mobilità, etnografici, consumo, finanza, etc.) li mette in relazione per metterli a disposizione della ricerca (università partner) e offrire servizi di analisi sui comportamenti di consumo e sui fenomeni e tendenze sociali sia per le aziende che per le istituzioni e le amministrazioni.

Dall’aggregazione di dataset da fonti diverse nascono anche i marketplace di dati tipo Streamr che però, in genere, funzionano appunto come gli altri marketplace per mettere in relazione chi offre e chi compra senza il lavoro di connessione tra dataset nè servizi di analisi dedicati.

3. Ipotesi per l’Italia

Alcuni vincoli:

– scarsa consapevolezza e cultura dei dati, dei problemi e delle potenzialità correlati, presso le classi dirigenti (settore pubblico e privato) e presso l’opinione pubblica;

– cattiva qualità dei dati pubblicati dalle amministrazioni centrali e locali, cosa che disincentiva fortemente l’uso e lo rende in alcuni casi possibile solo a costo di investimenti rilevanti che sono appannaggio, di solito, di grandi aziende private;

– il valore dei dati pubblici è in gran parte inutilizzato o messo a frutto dagli oligopoli tecnologici, quello dei dati delle aziende private viene tenuto sotto chiave e utilizzato, quando è utilizzato, ad esclusivo vantaggio dell’azienda titolare e comunque rinunciando al valore derivante dalla connessione con altri dati.

Alcune conseguenze:

– il valore politico, sociale ed economico dei dati è in gran parte disperso;

– le decisioni pubbliche, la loro implementazione, la loro valutazione e discussione pubblica assai raramente si svolgono con l’ausilio dei dati;

– gli investimenti nel settore (dati, IA, etc.) non sono adeguati a colmare il divario con i paesi europei più avanzati e non sono parte di una strategia definita,

– la strategia europea sui dati trova il nostro paese gravemente impreparato a cogliere le opportunità con il rischio di perpetuare se non aggravare la colonizzazione tecnologica da parte dei paesi più attrezzati.

Finalità:

– spezzare il circolo vizioso sopra descritto creando cultura dei dati attraverso pratiche virtuose;

– superare la fase dell’apertura dei dati del settore pubblico come open data senza condizioni, che ha prodotto poco o nulla e che ha finito per avvantaggiare principalmente i soggetti privati già strutturati;

– creare un bacino (vedi Common European Data Spaces) in cui i dati siano valorizzati a vantaggio di diversi soggetti attraverso diversi approcci e servizi;

– affiancare alle infrastrutture tecnologiche le competenze di analisi nel dominio tematico in cui si agisce (no marketplace generico);

– attività di formazione, divulgazione e guida all’uso dei dati raccolti (e delle tecnologie necessarie per utilizzarli) rivolte a studenti, ricercatori, giornalisti, amministratori (politiche data driven), sindacati, associazioni, imprenditori;

– coinvolgere la/le comunità attraverso la raccolta diretta e condivisione di dati personali/aziendali e territoriali per favorire la valutazione, la progettualità e l’auto gestione delle comunità;

– modello non profit con mix di ricavi istituzionali (finanziamenti/investimenti pubblici) e commerciali (fornitura dati e servizi di analisi);

– comunità di pratica che gestisce che si connette culturalmente e tecnologicamente (servizi standard, integrazione) con pratiche analoghe che si svolgono in Europa e altrove nel mondo;

– sviluppo di tecnologie, competenze e standard per la condivisione e l’analisi dei dati;

– definizione di modelli di governance, configurazioni giuridiche, modelli di sostenibilità economica, regolamentazioni che permettano forme di recepimento e adattamento della normativa europea del settore e di aiutino a partecipare, con cognizione di causa, al dibattito sulla sua evoluzione.

Condizioni:

– ancorare il progetto a un territorio definito (comune/città metropolitana, provincia, regione) per individuare e mettere al centro la/le comunità interessate (i dati parlano di noi, siamo noi);

– unire approccio dall’alto (organizzazioni/istituzioni) e dal basso (persone/comunità);

– partnership diversificata: soggetti pubblici, privati, ricerca, terzo settore, cittadinanza;

– incentrare l’esperienza su un ambito tematico definito per quanto ampio, perché, nel nostro contesto in particolare, non è sufficiente mettere a disposizione i dati con le opportune tecnologie e formati, è invece necessario unire competenze e servizi di analisi (statistica, IA, etc.) che producono valore solo se si sa di cosa si parla e si è in grado di interpretare;

– coprire l’intera filiera del dato: raccolta, verifica, cura, connessione, gestione, analisi, distribuzione;

– creare un’infrastruttura in grado di raccogliere e gestire dati e di distribuirli dati in maniera differenziata secondo la tipologia di soggetti e le finalità che perseguono (applicando anche tariffe);

– applicazione di tecnologie e approcci di data science e intelligenza artificiale per l’analisi e l’estrazione di valore dei dati da mettere a disposizione di partner e utenti;

– il soggetto/ente che avvia il progetto/processo deve avere l’infrastruttura e le competenze tecniche per gestirla e svilupparla nel tempo;

– la governance definisce chi può accedere, come, a quali condizioni come pure le condizioni per i fornitori dei dati;

– il modello economico prevede che a seguito di un investimento iniziale (pubblico/privato) si possa raggiungere la sostenibilità anche attraverso la vendita di servizi (fornitura ed elaborazione di dati) al settore privato e pubblico, mentre una parte di questi servizi restano gratuiti per finalità di interesse generale (formazione, ricerca, giornalismo, etc.);

– i fornitori privati (aziende, associazioni, etc.) sono incentivati a mettere a disposizione i loro dati perché in cambio hanno accesso, gratuitamente, ad altri dati o perché ricevono remunerazione (sharing delle tariffe).

Ipotesi operativa – elementi:

– una soggettività giuridica dedicata e non profit che tendenzialmente rientri nella tipologia dell’altruismo dei dati (definito nella proposta di regolamento del Data Governance Act);

– partnership e protocollo di fornitura e aggiornamento dati con enti pubblici (amministrazioni centrali e territoriali, enti detentori dei dati, ….) e privati (aziende del settore pubblico, aziende private, associazioni tematiche, …);

– ambito territoriale sufficientemente ampio da comportare volumi di dati interessanti dal punto di visto economico, sociale e della dinamica dell’IA (big data): città metropolitana, provincia, regione;

– regolamento per la raccolta e la gestione dei dati, comprese tariffe;

– investimento iniziale con finanziamento pubblico;

– perimetro iniziale: dati non personali (settore pubblico, IOT, aziendali, …) cui, in una seconda fase, possono aggiungersi anche i dati personali (maggiori problemi di sicurezza);

– possibile ambito tematico dati urbani e territoriali e “smart city”: dati amministrativi, sociali, economici, servizi pubblici, mobilità, IOT, su base territoriale e georeferenziabili con granularità comunale e sub-comunale;

– Il Fondo Aree Sisma 2016-19 (Abruzzo, Lazio, Marche, Umbria) prevede a questo riguardo attraverso una misura dedicata¹ la realizzazione di una rilevante infrastruttura di rilevazione, monitoraggio e analisi dati basata sulla installazione di 17.000 IOT a supporto delle differenti politiche di gestione del territorio (sicurezza sismica, monitoraggio ambientale, rifiuti, mobilità, etc.). Considerata l’entità degli investimenti e le finalità dichiarate parrebbe essere un contesto ideale applicare un approccio di gestione collettiva dei dati che aiuti a scongiurare le tipiche pratiche “smart” che si rivelano per essere estrattive con ricadute negative per i territori e le comunità che li abitano.

4. Riferimenti

– ODI (UK): https://theodi.org/article/data-trusts-in-2020/

– Data Trust Initiative: https://datatrusts.uk/

– Ada Lovelace Insitute: https://www.adalovelaceinstitute.org/

– Data Governance (INDIA): https://datagovernance.org

– IT for Change (INDIA): https://itforchange.net/

ALLEGATO 2: QUALE AUTORITÀ NAZIONALE PER IL GOVERNO DEI DATI

Nel prossimo triennio la governance dei dati cambierà in tutti paesi europei. L’ampia regolamentazione europea (vedi allegato 3) che è in dirittura di arrivo, lascia ai paesi membri un margine di autonomia relativo alle istituzioni nazionali che saranno poi coordinate a livello europeo.

Ma il tema vero, più e prima della governance, sono gli obiettivi, le missioni, che le istituzioni nazionali e comunitarie si pongono.

Si tratta prevalentemente di obiettivi di garanzia (quali quelli delle autorità antitrust, per la privacy e per le comunicazioni) o di obiettivi di politica industriale o sociale?

La nostra proposta propende per quest’ultimo obiettivo. Senza un protagonismo sociale, una politica industriale europea sarebbe una rincorsa ai modelli americano o cinese; persino la garanzia dei diritti della persona e del mercato sarebbe frustrata dallo squilibrio di poteri tra i soggetti portatori di interessi.

La proposta italiana, quindi, sottolinea il riuso dei dati per motivi di pubblico interesse, un aspetto che la regolamentazione europea contempla, ma non sviluppa ancora con la stessa attenzione dedicata alla tutela del mercato o dell’individuo. L’attenzione europea verso questo aspetto dipenderà anche dalla missione che i paesi membri assegneranno alle rispettive autorità nazionali.

La principale nuova funzione che va inserita nella regolamentazione nazionale ed europea è quella di garantire l’accesso e il riuso per i dati raccolti:

• dalle pubbliche amministrazioni² , favorendo in particolare chi intenda avere accesso e utilizzare i dati delle pubbliche amministrazioni per fini di utilità sociale;

• da dispositivi digitali distribuiti sui territori;

• da soggetti privati, se necessari per fini di utilità sociale che riguardano l’ambiente, la sicurezza, la salute, il lavoro ed altri settori d’interesse pubblico.

Questa funzione necessita di soggetti sociali che rivendicano l’accesso ai dati per motivi di pubblico interesse; l’autorità infatti interviene in caso di diniego o ritardo da parte dell’ente o dell’impresa che custodisce i dati. Le imprese già oggi concedono talvolta l’accesso ai dati ai ricercatori. La possibilità di ricorso a un ente terzo di per sé incentiva questi accordi diretti tra le parti e riduce i costi del contenzioso.

Alcuni soggetti professionali possono essere esplicitamente citati nella norma istitutiva: ricercatori, giornalisti, sindacati, enti locali, associazioni di cittadinanza attiva. Non è possibile, né utile, trattare tutti i dati in regime di open data; l’elenco dei soggetti autorizzati all’accesso va quindi valutato caso per caso e aggiornato in continuazione

Una ulteriore funzione dell’autorità è quella di accompagnare l’ipotesi operativa esposta in conclusione dell’allegato 1 (Casi, esempi, ipotesi per l’Italia), sia nel caso che emerga un soggetto no profit di riferimento per gestire l’“altruismo dei dati”, sia nel caso in cui sia necessario indicare best practice a fronte di una pluralità di casi e di soggetti.

Nella legge istitutiva, ancor più della indicazione delle funzioni, contano le istruzioni per funzionamento.

Il principale obiettivo della nostra proposta è innescare un metodo partecipativo, capace cioè di coinvolgere anche interessi e soggetti non economici e non individuali. È infatti evidente che, se il tema dell’accesso ai dati rimane una preoccupazione di pochi addetti ai lavori, nessuna regolazione dall’alto può arginare il fenomeno dell’appropriazione dei dati da parte di poche grandi imprese globali.

L’interesse pubblico e quelli sociali, sinora meno tutelati a livello nazionale ed europeo, devono quindi essere i principali beneficiari della restituzione e riuso dei dati. 

Per raggiungere questo obiettivo è necessario istruire processi decisionali diversi da quelli delle attuali autorità. Più che una nuova autorità, serve un diverso tipo di autorità.

Di seguito sono indicate alcune modalità operative che differenziano le procedure per l’accesso dei dati per usi sociali da quelle sinora adottate dalle autorità per la tutela del mercato, della privacy e delle comunicazioni .

Il meccanismo di consultazione per coinvolgere i soggetti sociali interessati non deve seguire un protocollo gestibile solo da grandi imprese e lobby professionali, ma forme collaborative in forma comprensibile e interagibile.

Le motivazioni delle decisioni comparano la rilevanza degli interessi sociali rispetto a quelli personali ed economici.

Gli obiettivi attesi, le metriche, il monitoraggio dei risultati, i modelli predittivi adottati, sono anch’essi sviluppati con metodo collaborativo e devono essere trasparenti accessibili in permanenza.

Il finanziamento dei costi è correlato al rapporto tra risultati e obiettivi prefissati. Al posto del finanziamento da parte delle imprese o della fiscalità generale è preferibile che i costi di funzionamento siano coperti dalle parti ricorrente e resistente, in proporzione al fatturato, ciò che riduce il contenzioso.

In caso di inottemperanza, il meccanismo sanzionatorio prevede l’esclusione temporanea delle imprese inottemperanti dalla partecipazione a bandi, concessioni e autorizzazioni della pubblica amministrazione, ciò che è più efficace di quanto non si siano dimostrate le tradizionali sanzioni.

Con interventi a campione o su istanza di associazioni di cittadinanza attiva, l’autorità sorveglia anche in tutte le autorizzazioni rilasciate da pubbliche amministrazioni ai privati per la disposizione di sensori che estraggono dati, sia contenuta una clausola che riconosce l’accessibilità ai dati per motivi di pubblico interesse. Tali clausole si dimostreranno rilevanti per indirizzare la risoluzione di eventuali futuri contenziosi.

Laddove le regole di funzionamento sono embedded nella tecnologia (ciò che avviene spesso non solo per la cosiddetta intelligenza artificiale) e la verifica di compliance a posteriori può risultare proibitiva, si può disporre la partecipazione dei regolatori alla formazione delle ‘regole interne’ per il data mining e l’elaborazione.

Va sottolineato che su questo sviluppo, che supera la co-regolazione tradizionale basata su verifica ex post della compliance a regole di principio, la discussione nel regolamento europeo per l’intelligenza artificiale è ancora aperta e non sarà risolutiva, ma sarà influenzata dalla prassi delle prime autorità nazionali che si vanno formando³.

Sono evidenti le differenze di funzionamento rispetto ad altre autorità radicate in epoca analogica e focalizzate sulla tutela del mercato e/o della persona. Forse anche per questo motivo la UE sembra attendersi che gli stati membri si dotino di diversi tipi di autorità o agenzie autorità per l’intelligenza artificiale, coordinate a livello europeo da un comitato ibrido presieduto dalla Commissione, contemperando quindi funzioni di garanzia e di politica industriale e sociale. Ci sono però anche solidi argomenti a favore dell’inserimento delle nuove funzioni all’interno di una delle autorità esistenti e in particolare del Garante della privacy⁴.

La nostra proposta propende per quest’ultima soluzione che è la più economica, la più rapida e quella che meglio consente in seguito di armonizzare la normativa nazionale con l’evoluzione di quella europea e con gli sviluppi delle applicazioni dell’intelligenza artificiale.

In una fase transitoria il Garante potrebbe assumere la denominazione di Garante per la protezione dei dati personali, l’accesso ai dati di pubblico interesse e l’attuazione del regolamento UE, aggiungendo le funzioni e le modalità di funzionamento sopra indicate.

ALLEGATO 3: QUADRI NORMATIVI NAZIONALI ED EUROPEI

Atto sulla governance europea dei dati

Favorisce:

1. Il riutilizzo di alcune categorie di dati del settore pubblico soggette a diritti altrui
2. I servizi di intermediazione di dati per imprese e persone fisiche
3. La condivisione altruistica dei dati per fini di interesse generale.

Approvato da Parlamento e Consiglio UE, di prossima pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea: “Regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati e che modifica il Regolamento (UE) 2018/1724 (Atto sulla governance dei dati) del 04.05.2022 (PE-CONS 85/21)⁵“.

Tra l’altro, l’Atto sulla governance dei dati prevede:

• agli artt. 3-9 le condizioni (trasparenti, non discriminatorie, ecc.) per il riutilizzo, all’interno dell’Unione, di determinate categorie di dati detenuti da enti pubblici che sono protetti (per motivi di riservatezza commerciale, riservatezza statistica protezione dei dati personali e protezione dei diritti di proprietà intellettuale) prevedendo anche la designazione di organismi (dotati di adeguate risorse) competenti ad assistere gli enti pubblici che consentono, o meno, il riutilizzo dei dati e l’istituzione di uno sportello unico per accedere alle informazioni pertinenti;

• agli artt. 10-15 un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati tra titolari (compresi gli interessati che mettono a disposizione i propri dati personali) e gli utenti dei dati prevedendo anche le condizioni che devono soddisfare i fornitori di servizi d’intermediazione dei dati;

• agli artt. 16-25 un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici prevedendo anche le condizioni che devono soddisfare le organizzazioni per l’altruismo dei dati.

Protezione dei dati personali.
Disciplina del trattamento dei dati personali (dati che si riferiscono a persone fisiche determinate o determinabili) che prevede obblighi a carico di chi tratta i dati e diritti a favore delle persone interessate

Principali atti normativi in vigore:

• Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)⁶;

• Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE⁷;

• Decreto Legislativo 10 agosto 2018, n. 101 Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)⁸.

Principali atti normativi in corso di emanazione:

Proposta di Regolamento del Parlamento Europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche – COM/2017/010 final – 2017/03 (COD)⁹.

Dati della pubblica amministrazione.
Disciplina dei dati della pubblica amministrazione

Principali atti normativi in vigore:

• Artt. 50-62-quinquies del Decreto Legislativo 7 marzo 2005, n. 82 Codice dell’amministrazione digitale¹⁰;

• Artt. 22 e seg. della Legge 7 agosto 1990, n. 241 Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi¹¹;

• Decreto Legislativo 14 marzo 2013, n. 33 Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni¹²;

• Decreto Legislativo 24 gennaio 2006, n. 36 Attuazione della direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico che ha abrogato la direttiva 2003/98/CE¹³.

Spazio Europeo dei dati sanitari.
Disciplina che, tra l’altro, favorisce il controllo dei cittadini sui propri dati e l’uso dei dati sanitari per fini di ricerca

Principali atti normativi in corso di emanazione:

Proposta di regolamento su uno spazio europeo dei dati sanitari (attesa per il quarto quadrimestre 2021)¹⁴.

Accesso ai dati.
Disciplina che individua obblighi relativi alla messa a disposizione dei dati generati dall’uso di un prodotto o di un servizio e alla messa a disposizione di dati agli enti pubblici o alle istituzioni, agenzie o organismi dell’Unione

Principali atti normativi in corso di emanazione:

• Proposta di Direttiva del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati) del 23.02.2022 – COM/2022/68 final¹⁵.

Note

1 Fondo Complementare PNRR – Aree Sisma 2016-19 Macro Misura A1 – Sottomisura A1 – Innovazione Digitale

2 Aggiornamento e rafforzamento delle norme in materia di apertura dei dati e riutilizzo dell’informazione del settore pubblico (D. Lgs. 36/2006) e accesso civico (D. Lgs. 33/2013).

3 Vedi Fabio Bassan in https://formiche.net/2022/04/dsa-ue-digitale/

4 Vedi Guido Scorza in https://www.agendadigitale.eu/sicurezza/privacy/scorza-la-governance-europea-dellai-i-nodi-da-sciogliere/

5 Vedi https://data.consilium.europa.eu/doc/document/PE-85-2021-INIT/en/pdf

6 Vedi https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32016R0679

7 Vedi http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-06-30;196!vig

8 Vedi http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2018-08-10;101!vig

9 Vedi https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010

10 Vedi http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82!vig

11 Vedi http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:1990-08-07;241!vig

12 Vedi http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2013-03-14;33!vig

13 Vedi http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2006-01-24;36!vig

14 Vedi https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12663-A-European-Health-Data-Space-_en

15 Vedi https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A52022PC0068&qid=1649343497885