Oggi, 23 giugno 2022, entra in vigore il tanto atteso Data Governance Act, il Regolamento (UE) 2022/868 del 30 maggio 2022 (di seguito, per brevità, “DGA”).
Insieme al Data Act, ancora in stato embrionale[1], il DGA si inserisce nella European data strategy volta, da un lato, a creare un mercato e un’economia basati sui dati e, dall’altro lato, a promuovere e a diffondere il modello europeo (non solo normativo, ma anche culturale) di tutela e di libertà dei dati.
Gli obiettivi del DGA sono ormai noti: circolazione e valorizzazione dei dati. Per questi fini, il DGA introduce due strumenti principali: il riutilizzo di dati da parte degli enti pubblici e il meccanismo di data altruism, definito quest’ultimo come “la condivisione volontaria di dati sulla base del consenso accordato dagli interessati (…) o sulle autorizzazioni di altri titolari dei dati (…), per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l’agevolazione dell’elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l’elaborazione delle politiche pubbliche o la ricerca scientifica nell’interesse generale”.
Gli operatori del settore non possono che accogliere favorevolmente quella che sembra una opportunità inedita, soprattutto per la ricerca scientifica: godere di un grande patrimonio informativo di dati, personali e non.
Questa spinta verso la libera circolazione e la condivisione dei dati non deve però indurre a pensare ad un “Far West dei dati”.
In primo luogo, nel caso del data altruism, la condivisione è subordinata al consenso dell’interessato (nel caso di dati personali) o all’autorizzazione del titolare di quei dati (nel caso in cui i dati non siano personali).
Inoltre, all’utilizzo dei dati è impresso un vincolo di destinazione, ossia il perseguimento di obiettivi interesse generale.
Infine, le persone giuridiche che intendono sostenere obiettivi di interesse generale mettendo a disposizione quantità considerevoli di dati pertinenti, affinché possano operare come “organizzazioni riconosciute”, devono soddisfare – e mantenere nel tempo – una serie di requisiti, oltre che adempiere ad obblighi di trasparenza e di tutela ed osservare il codice di condotta per le organizzazioni riconosciute (ancora in fase di elaborazione). Sul punto giova precisare, però, che la registrazione quale “organizzazione per l’altruismo dei dati riconosciuta” non dovrebbe essere un prerequisito per l’esercizio delle attività di altruismo dei dati.
Quindi: dati, consenso, finalità, utilizzo, codici di condotta. Non può che tornare alla mente un’altra normativa, lungamente approfondita, che fa largo uso di questi termini: il General Data Protection Regulation. E allora la domanda sorge spontanea: come si coordina questo nuovo testo normativo con il GDPR? Il GDPR, il Reg. (UE) 2016/679, rimane in ogni caso la norma per eccellenza a tutela dei dati personali, al punto da prevalere in caso di conflitto con il DGA. In altre parole, le norme dettate dal GDPR sono ancora valide e, nell’ambito dell’attuazione del DGA, occorrerà necessariamente rispettarle. Pertanto, a titolo esemplificativo, nel caso in cui la manifestazione altruistica di volontà concerna dati di natura personale, occorrerà che il relativo consenso al trattamento dei dati sia espresso nel rispetto dei requisiti del consenso lecito ai sensi degli artt. 7 e 8 del GDPR.
Tale precisazione non toglie però rilievo alla normativa qui in esame, che potrebbe forse rispondere all’esigenza sempre più diffusa di sfruttare – pur garantendone la protezione – i dati per fini di interesse collettivo. Non è difficile immaginare il fermento che questa innovazione porterà con sé tra gli operatori da qui al 24 settembre 2023, data in cui il DGA si applicherà in tutti gli Stati membri.
[1] Il Data Act è stato proposto dalla Commissione europea il 23 febbraio 2022, con la comunicazione COM(2022) 68 final. Si tratta della “Proposta di Regolamento del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati)”, attualmente al vaglio di Consiglio e di Parlamento europeo. Il testo della Proposta è disponibile al seguente link https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2022:68:FIN (consultato il 21 giugno 2022).