Data Governance Act: guida all’uso secondario dei dati

Nell’attuale era digitale, i dati rappresentano una risorsa strategica e cruciale per cittadini e imprese. Infatti, già nel 2006, il matematico inglese Clive Humby affermava che “i dati sono il nuovo petrolio”, avendone intuito l’enorme potenziale informativo, economico e sociale.

Con i dati, infatti, si può rendere la produzione più efficiente; nel settore sanitario i dati possono contribuire a fornire un’assistenza più attenta, a migliorare i trattamenti, ad esempio personalizzandoli in base alle specifiche esigenze e possono dare una maggiore spinta verso nuove terapie per le malattie rare o croniche. I dati sono anche un potente motore per l’innovazione e per la creazione di nuovi posti di lavoro, nonché una risorsa fondamentale per le start-up e le PMI^[1].

Utilizzo dei dati e implicazioni etiche

Storicamente, l’utilizzo di sempre maggiori quantità di dati è stato il fulcro per l’esercizio del potere e, in diverse occasioni, ha rappresentato anche terreno fertile per il sorgere di conflitti e crisi diplomatiche. Si pensi allo scandalo Datagate, scoppiato nel 2013, quando l’informatico Edward Snowden ha rivelato che i dati di buona parte dei cittadini del mondo erano oggetto di spionaggio da parte del governo americano. L’evento ebbe un impatto sociale non indifferente e spostò l’attenzione sulla corretta gestione dei dati personali, rendendo i cittadini più consapevoli dell’importanza di questo diritto fondamentale.

Protezione dei dati personali e sfide normative

Non è un caso, infatti, che la protezione dei dati personali sia diventata un tema sempre più centrale negli ultimi anni, complici il crescente utilizzo delle tecnologie digitali data driven e lo scambio continuo di informazioni attraverso il web. Pertanto, l’estrazione e l’utilizzo massiccio di dati sollevano questioni complesse in termini di privacy, etica e conformità normativa.

Uso secondario dei dati e Piano Nazionale di Ripresa e Resilienza

Alla luce dell’enorme potenziale dei dati, negli ultimi anni, sta prendendo sempre più piede il tema dell’utilizzo di dati in contesti diversi da quello per cui sono stati raccolti, ossia l’uso secondario dei dati, soprattutto alla luce dell’approvazione del Piano Nazionale di Ripresa e Resilienza, il quale ha lo scopo di favorire la crescita economica e l’innovazione per risollevarsi dalle conseguenze della pandemia da Covid-19.

Definizione e applicazioni dell’uso secondario dei dati

L’uso secondario dei dati si riferisce alla pratica di impiegare informazioni raccolte per uno scopo iniziale in contesti e applicazioni differenti rispetto a quelli originariamente previsti. Questa pratica abbraccia un’ampia gamma di attività, tra cui analisi di mercato avanzate, personalizzazione di servizi, sviluppo di modelli predittivi e monetizzazione dei dati stessi.

Vantaggi dell’uso secondario dei dati in vari settori

In generale, sono svariati i settori che possono trarre dei vantaggi dall’uso secondario dei dati. Si pensi al campo della ricerca scientifica, nel quale i dati potrebbero essere utilizzati per dare un’accelerazione alle scoperte mediche e migliorare la comprensione di alcune malattie; ancora, l’uso secondario dei dati nell’agricoltura di precisione potrebbe aiutare gli agricoltori ad analizzare i dati in tempo reale, come meteo, temperatura, umidità o segnali GPS e dare informazioni utili a capire come ottimizzare i processi produttivi; inoltre, possono essere raccolti i dati sulle abitudini di spostamento e di consumo delle persone, allo scopo di meglio effettuare la pianificazione urbana, così da rendere le città sempre più sostenibili ed efficienti^[2].

Evoluzione del concetto di uso secondario dei dati

Il concetto di uso secondario dei dati ha inevitabilmente subito un’evoluzione nel tempo, anche alla luce dell’affermarsi dei nuovi bisogni sociali, fonte di produzione e aggiornamento normativo. In proposito, la Commissione europea, nel 2020, ha dato il via al progetto “strategia europea in materia di dati”, avente l’obiettivo di creare spazi europei comuni di dati, di modo da sfruttarne a pieno le potenzialità e dare il via al mercato unico dei dati per consentire loro di fluire liberamente all’interno dell’UE e tra i settori strategici, a vantaggio di aziende, ricercatori e pubbliche amministrazioni. In questo contesto, si è affermato un nuovo concetto di riutilizzo dei dati, ai sensi del Regolamento Ue 2022/868 (Data Governance Act), il quale, nell’ottica di garantire una maggiore condivisione dei dati, prevede la possibilità di riutilizzare determinate categorie di dati protetti detenuti da enti pubblici.

Uso secondario nell’ambito della strategia europea in materia di dati: il DGA

La strategia europea in materia di dati è stata elaborata dalla Commissione europea nel 2020 e mira a far acquisire all’UE una posizione di leadership nella società basata sui dati. Ricordiamo che il Regolamento Ue 2022/868 (Data Governance Act) è una componente fondamentale della suddetta strategia (insieme al Digital Services Act, Digital Markets Act e Data Act) e consente il riutilizzo di determinate categorie di dati detenuti da enti pubblici.

Obiettivi e condizioni del Data Governance Act

Al fine di sfruttare a pieno l’enorme potenziale dei dati, il legislatore europeo ha ritenuto che debba essere più facile condividere i dati in modo affidabile e sicuro attraverso tale pratica. Questa necessità è alla base del Data Governance Act, il quale cerca di promuovere la condivisione dei dati nell’Ue cercando di limitare una serie di ostacoli, tra cui la scarsa fiducia nello scambio delle informazioni, le questioni relative al riutilizzo dei dati del settore pubblico e alla raccolta dei dati per il bene comune, nonché gli ostacoli tecnici.

Categorie di dati riutilizzabili e condizioni

Nello specifico, per riutilizzo di dati il Data Governance Act intende l’utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell’ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico (art. 2 par. 2). Le categorie di dati che possono essere oggetto di riutilizzo sono i dati detenuti da enti pubblici che sono protetti per motivi di riservatezza commerciale, compresi i segreti commerciali, professionali o d’impresa; riservatezza statistica; protezione dei diritti di proprietà intellettuale di terzi; protezione dei dati personali, nella misura in cui tali dati non rientrano nell’ambito di applicazione della direttiva (UE) 2019/1024 (Direttiva Open Data relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico).

Tecniche di anonimizzazione e valutazione delle richieste di riutilizzo

Tuttavia, è necessario considerare che il Data Governance Act pone delle condizioni al riutilizzo dei dati. Difatti, ai sensi dell’art. 5 del DGA, il riutilizzo dei dati è possibile se i dati stessi siano anonimizzati nel caso di dati personali, oppure modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione, nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale. In tal senso, è fondamentale individuare le tecniche idonee di anonimizzazione e verificare il rischio di re-identificazione e i possibili impatti sugli interessati^[3]. Inoltre, lo stesso art. 5 aggiunge che le condizioni per il riutilizzo devono essere non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. È bene poi ricordare che, ai sensi dell’art. 9 DGA, l’ente pubblico deve valutare la richiesta di riutilizzo ricevuta entro un massimo di due mesi e in casi eccezionali di particolare complessità o in presenza di un volume elevato di dati richiesti, questo termine può essere prorogato di ulteriori 30 giorni.

Proposta di Regolamento European Health Data Space

Bisogna, poi, considerare che nonostante le difficoltà nell’assicurare l’irreversibilità assoluta del processo di anonimizzazione e l’effettività del risultato, a livello europeo l’utilizzo di tecniche di anonimizzazione e pseudonimizzazione a presidio della sicurezza dei dati è spesso incoraggiato soprattutto nel caso di trattamenti che coinvolgono categorie di dati particolari (art. 9 GDPR), come ad esempio in ambito sanitario e nel settore della ricerca medico-scientifica^[4]. Dunque, ad integrazione delle disposizioni del Data Governance Act, si pone la Proposta di Regolamento European Health Data Space (EHDS), lex specialis rispetto al DGA, in attesa di pubblicazione definitiva nella Gazzetta Ufficiale dell’Ue.

Obiettivi dell’European Health Data Space

L’EHDS ha diversi obiettivi, tra cui quello di consentire alle persone di assumere il controllo dei propri dati sanitari e agevolare lo scambio di dati per favorire la prestazione di assistenza sanitaria in tutta l’UE (uso primario dei dati); promuovere un autentico mercato unico per i sistemi di cartelle cliniche elettroniche; fornire un sistema coerente, affidabile ed efficiente per il riutilizzo dei dati sanitari in ambiti quali la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative (uso secondario dei dati)^[5]. In particolare, l’uso secondario sarà consentito tramite meccanismi di autorizzazione rilasciati da un organismo responsabile dell’accesso ai dati in ambienti sicuri di trattamento, attraverso l’applicazione di strumenti di anonimizzazione^[6].

La necessità di un quadro legislativo armonizzato con l’individuo al centro

In generale è comunque sempre necessario contemperare il progresso con diversi caveat, prime fra tutte le disposizioni legislative. Difatti, in contesti come questi, si tratta non solo di rispettare la normativa data protection, ma anche le disposizioni della strategia digitale europea (Data Governance Act, nonché la più specifica Proposta di Regolamento Ue sullo spazio europeo dei dati sanitari) e quelle inerenti la cybersecurity (prime tra tutte la Direttiva NIS2 e non solo), stante l’importanza di proteggere i dati (soprattutto le categorie particolari di dati ex art. 9 GDPR) dalle sempre più pressanti minacce dei cybercriminali.

In conclusione, è bene considerare che l’obiettivo dell’UE sia quello di confermarsi come leader nella gestione e circolazione dei dati, creando un unico apparato di regole che renda la dimensione digitale uno spazio aperto e sicuro. Tuttavia, l’incertezza giuridica provocata dalla frammentarietà del quadro normativo vigente – in un ambito transfrontaliero quale è quello attuale – da un lato, impedisce di mettere in luce la potenziale efficienza del riutilizzo dei dati (e, contestualmente, dell’IA), dall’altro, rischia di sollevare serie criticità con ricadute sulla tutela dei singoli coinvolti.

Perlopiù, trattasi di un ambito interdisciplinare che combina la protezione dei dati personali e non personali, la circolazione e il commercio dei dati, il dominio delle (grandi e piccole) piattaforme digitali, la preservazione della concorrenza, la salvaguardia del consumatore, la tutela dei diritti della proprietà intellettuale e così via. Dalle numerose difficoltà derivanti dalla suddetta frammentarietà (fra cui le complicazioni di “coordinamento interno”) sorge il dubbio se adottare un unico corpus iuris digitalis^[7].

Pertanto, per superare tali ostacoli, è cruciale mantenere la centralità dell’individuo e prevedere un quadro legislativo armonizzato idoneo ad assicurare un mercato unico che possa essere considerato un modello per gli Stati Membri^[8].

Note

[1] Commissione europea, L’atto sulla governance dei dati spiegato, disponibile al seguente link: https://digital-strategy.ec.europa.eu/it/policies/data-governance-act-explained#ecl-inpage-l4iguon6

[2] M. MASNADA, E. NUNZIANTE, Uso secondario dei dati personali: occasione di crescita che l’Italia non può perdere, Agenda Digitale, 7 dicembre 2023, disponibile al seguente link: https://www.agendadigitale.eu/sicurezza/privacy/uso-secondario-dei-dati-personali-occasione-di-crescita-che-litalia-non-puo-perdere/

[3] A. CATALETA, A. NISTICO’, Riuso dei dati e privacy, chiariamo i dubbi agli operatori, in Cybersecurity360, 3 agosto 2023, disponibile al seguente link: https://www.cybersecurity360.it/legal/privacy-dati-personali/riuso-dei-dati-e-privacy-chiariamo-i-dubbi-agli-operatori/

[4] E. CURRELI, L. LIGUORI, E. MANDARA’, Dati anonimi e pseudonimi: cosa cambia per la ricerca dopo l’ultima sentenza della Corte Ue, in Agenda Digitale, 28 giugno 2023, disponibile al seguente link: https://www.agendadigitale.eu/sicurezza/privacy/dati-anonimi-e-pseudonimi-cosa-cambia-per-la-ricerca-dopo-lultima-sentenza-della-corte-ue/

[5] Commissione europea, Spazio europeo dei dati sanitari, disponibile al seguente link: https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_it

[6] M. MASNADA, E. NUNZIANTE, op. cit.

[7] G. CERRINA FERRONI, Luci e ombre della Data Stategy europea, in Agenda digitale, Network Digital 360, 2022, in F. M. MANCIOPPI, La regolamentazione dell’intelligenza artificiale come opzione per la salvaguardia dei valori fondamentali dell’UE, in Federalismi.it n. 7 il 20/03/2024

[8] D. POLETTI, Gli intermediari, cit., p. 48, 54-55