Il Data Governance Act (DGA), entrato in vigore il 23 giugno 2022 e applicabile dal 24 settembre 2023, rappresenta una recente normativa europea di ampia portata che mira a promuovere la condivisione e il riutilizzo dei dati in Europa.
A differenza del GDPR, il cui focus è la protezione dei dati personali, il DGA si estende a tutti i tipi di dati digitali, compresi quelli non personali, come i dati protetti da leggi sulla proprietà intellettuale e segreti industriali.
Il DGA persegue l’obiettivo di facilitare la circolazione sicura dei dati in Europa, creando fiducia e condizioni competitive. Per raggiungere questo obiettivo, il regolamento si articola attorno a tre pilastri fondamentali:
- Riuso dei dati detenuti da enti pubblici: il DGA incentiva il riutilizzo dei dati generati dalle amministrazioni pubbliche per scopi che vanno oltre il motivo per cui i dati sono stati originariamente raccolti, promuovendo il loro impiego in vari settori economici e di ricerca.
- Servizi di intermediazione dei dati: sono stati introdotti nuovi obblighi per i fornitori di servizi di intermediazione dei dati, che fungono da ponte tra titolari dei dati e potenziali utilizzatori. Questi servizi, come i data marketplace, i data pool e i Personal Information Management Systems (PIMS), facilitano la condivisione e lo scambio dei dati in modo sicuro e trasparente.
- Altruismo dei dati: il DGA incoraggia lo scambio volontario di dati per il bene pubblico, ad esempio in ambito scientifico o sanitario, offrendo un quadro normativo per facilitare la condivisione sicura di dati sensibili da parte di organizzazioni che agiscono senza scopo di lucro.
Servizi di intermediazione dei dati
Uno degli aspetti centrali del regolamento è la neutralità dei servizi di intermediazione dei dati.
I fornitori di questi servizi devono operare con una struttura separata e non possono utilizzare i dati per scopi diversi da quelli per cui sono stati condivisi. Inoltre, devono garantire la trasparenza nei contratti e nelle tariffe applicate.
Ci sono tre principali tipologie di servizi di intermediazione:
- Servizi tra titolari e utenti dei dati: Piattaforme che facilitano lo scambio di dati tra aziende o organizzazioni, promuovendo transazioni sicure e verificate.
- Servizi tra individui e utenti di dati: Soluzioni che permettono ai cittadini di controllare e condividere i propri dati in modo consapevole e sicuro.
- Servizi di cooperative di dati: Organizzazioni collettive, come PMI o cooperative, che gestiscono i dati per conto dei loro membri, negoziando condizioni di utilizzo e favorendo la condivisione in ambito settoriale.
Questi servizi sono già presenti sul mercato sia in contesti B2B (come data marketplace e data pool), sia in ambiti B2C (ad esempio, i Personal Information Management Systems o PIMS). I PIMS aiutano i singoli a esercitare i loro diritti sui dati, offrendo strumenti di anonimizzazione e supporto per la gestione delle informazioni personali, garantendo che la condivisione avvenga in modo conforme alle normative vigenti.
Implicazioni per il mercato e le imprese
Il Data Governance Act rappresenta una sfida e un’opportunità per le imprese, specialmente le start-up e le PMI.
Da un lato, l’introduzione di regole chiare potrebbe favorire nuovi investimenti in infrastrutture per lo scambio di dati; dall’altro, la rigida disciplina potrebbe scoraggiare i piccoli operatori, che potrebbero non avere le risorse per conformarsi alle normative o sviluppare nuovi servizi di intermediazione.
I vincoli di neutralità e la necessità di separazione strutturale dei servizi rappresentano ulteriori sfide per le imprese che desiderano entrare in questo settore.
Il rapporto con il GDPR
Il Data Governance Act si affianca al GDPR senza sovrapporsi.
Tuttavia, resta da chiarire come i fornitori di servizi di intermediazione dovranno gestire i dati personali nel rispetto delle regole del GDPR.
La distinzione tra “titolari” e “utenti” dei dati, prevista dal DGA, implica che entrambi abbiano autonomia decisionale nell’uso dei dati.
Tuttavia, il ruolo dei fornitori di intermediazione nella gestione dei dati personali è ancora poco chiaro, e potrebbero sorgere difficoltà nell’identificazione di chi sarà considerato “responsabile del trattamento” ai sensi del GDPR.
Attuazione del DGA in Italia
L’attuazione del DGA in Italia è affidata al decreto legislativo n. 144/2024, che entrerà in vigore il 25 ottobre 2024. Il decreto designa l’Agenzia per l’Italia Digitale (AgID) come autorità competente per la gestione del DGA, affidandole diversi compiti:
- Assistenza agli enti pubblici: AgID supporta le pubbliche amministrazioni nella gestione delle richieste di riutilizzo dei dati, fornendo indicazioni sulle condizioni e le procedure da seguire.
- Sportello unico: AgID gestisce lo sportello unico per il riutilizzo dei dati, offrendo informazioni e assistenza ai potenziali utilizzatori.
- Promozione dell’altruismo dei dati: AgID adotta misure per facilitare e disciplinare i meccanismi di condivisione volontaria dei dati per finalità di interesse generale.
- Monitoraggio e controllo: AgID vigila sul rispetto del DGA da parte dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l’altruismo dei dati.
Il decreto legislativo n. 144/2024 introduce anche un sistema di sanzioni per le violazioni del DGA. Le sanzioni amministrative pecuniarie possono arrivare fino a 100.000 euro, o fino al 6% del fatturato mondiale totale annuo per le imprese.
Prossimi passi e impatto futuro
In conclusione, il Data Governance Act rappresenta un passo importante verso la creazione di un mercato unico dei dati in Europa, ma la sua efficacia dipenderà dall’interpretazione delle sue disposizioni in armonia con il GDPR e altre normative esistenti.
L’obiettivo finale è promuovere l’innovazione e l’uso dei dati in maniera sicura e responsabile, rafforzando la fiducia degli operatori e dei cittadini.