Enforcement La strategia europea per i dati – pt. 1 Anna Capoluongo 13 July 2023 I dati hanno un valore sempre crescente nella nostra società. Attualmente diversi fattori, tra cui anche ragioni etiche e di tutela della riservatezza, limitano il loro pieno utilizzo, che consentirebbe di migliorare diversi servizi e andare incontro con più precisione alle richieste dei consumatori. In questa serie di approfondimenti, analizzeremo la strategia europea per la gestione e la valorizzazione di questi dati. È stato stimato che ad oggi l’80% dei dati industriali non viene utilizzato. Ciò sembra dipendere dalla presenza di ostacoli all’accesso ai dati che a loro volta portano a una “riluttanza a condividerli”, creando un circolo vizioso continuativo. Come è ormai noto, per la Comunità europea i dati hanno assunto sempre maggior valore, sino ad essere definiti – con una locuzione decisamente abusata – come “il nuovo petrolio”. Ciò è tanto più vero se si guarda agli studi dell’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico), secondo cui l’accesso e il riutilizzo dei dati potrebbe generare benefici sociali ed economici fino all’1,5% del PIL nel caso di dati di proprietà pubblica, e tra l’1% e il 2,5% del PIL quando si includono anche dati di proprietà privata. Informazioni e dati sono, quindi, nuovi asset da tenere in considerazione, non solo nell’ottica (sposata ampiamente dall’Italia) di protezione del dato personale delle persone fisiche, ma anche e soprattutto quale bene a cui assicurare una libera circolazione all’interno del mercato europeo. In questa direzione, infatti, si sta muovendo da ultimo il copioso sforzo normativo e regolamentare dell’Ue, puntando a una valorizzazione e condivisione dei dati e alla costruzione di un mercato unico digitale. Questo ovviamente nel rispetto delle tutele dei diritti fondamentali (anche di protezione dei dati personali), così faticosamente raggiunte. Dati (non) personali Non si tratta più quindi solo della protezione del dato personale, ossia di qualsiasi informazione che renda identificata o identificabile una persona fisica, come il nome, lo stato di salute o l’ubicazione. In gioco c’è soprattutto la ricerca di un nuovo “focus” sulla libera circolazione di informazioni anche non personali, come ad esempio i dati relativi alle macchine industriali, all’agricoltura, al meteo o generati da dispositivi connessi (ad es. IoT o Internet of Things, sistemi di AI o Artificial Intelligence). Un vero e proprio cambio di marcia, una “nuova era” e una diversa dinamica nell’uso del dato, da intendersi come informazione, fonte di altri dati e opportunità (anche di business) per i cittadini e per l’economia. Il quadro generale Allo scopo di rendere più chiaro il perimetro della strategia europea per i dati analizzeremo, in una serie di approfondimenti, i principali regolamenti e/o direttive in materia. Per avere una panoramica d’insieme di questo complicato quadro normativo, in parte esistente ed in parte solo annunciato o in fase di proposta, si può suddividere la strategia per i dati in cinque ambiti: Libera circolazione dei dati (personali e non); Utilizzo dei dati nel settore pubblico; Cybersecurity; Mercati digitali e servizi digitali; Pagamenti digitali. Gli approfondimenti in serie seguiranno questa suddivisione, partendo dal primo ambito. A completamento di ciò, non va dimenticato l’aspetto della valorizzazione del dato nel senso di possibilità di scambio dati versus servizi e contenuti digitali: si sta parlando principalmente della cd. Direttiva Omnibus (2019/2161) e della Direttiva 2019/770. La libera circolazione dei dati Come detto, ad oggi la visione del dato sta cambiando, traghettata da un approccio “gdpr-centrico” ad una nuova era di dato come informazione non solo personale. Ecco che, quindi, il primo ambito che va analizzato prende in considerazione la normazione tanto dei dati personali, quanto di quelli non personali. In tal senso si può notare come l’Ue abbia concentrato i propri sforzi – lato dati personali – nella pubblicazione del GDPR, del Regolamento EUDPR (2018/1725) e nella Direttiva e-privacy (2002/58), di cui peraltro si attende l’evoluzione nel tanto vociferato Regolamento e-privacy (ad oggi non pervenuto). In queste normative, il dato personale trova infatti una forte regolamentazione: – nel caso in cui il titolare del trattamento dei dati sia stabilito in Ue o nel caso in cui non lo sia, ma offra beni o servizi agli interessati siti in UE o effettui il monitoraggio di un comportamento avente luogo in Ue (GDPR); – nel caso in cui il trattamento sia effettuato da parte delle istituzioni, degli organi e degli organismi dell’Unione (Reg. EUDPR); – sia con riferimento al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Dir. E-privacy). Il regolamento 1807 Sotto il profilo dei dati non personali, le norme di riferimento vanno invece ricercate nel Regolamento 2018/1807. Quest’ultimo, pur avendo anticipato di alcuni anni tematiche che ora godono di una potente centralità in recenti testi come il Data Act, non ha riscosso particolare entusiasmo ed interesse dalla sua entrata in vigore sino ad oggi. Il Reg. 1807 si focalizza sui dati non personali come i dati aggregati e anonimizzati per l’analisi dei megadati, i dati sull’agricoltura di precisione, i dati per la manutenzione delle macchine industriali. Esso punta a ottimizzare l’efficienza delle new tech, sfruttandone i vantaggi connessi alle stesse grazie alla libera circolazione dei dati, alla fruizione semplificata dei servizi, alla portabilità dei dati e alle misure di sicurezza a tutela delle informazioni. Verso il futuro: Ai Act e Data Act Infine, non si possono tralasciare le fonti normative che nascono già proiettate tanto sui dati personali quanto su quelli non personali, e cioè i recentissimi AI Act (Regolamento sull’Intelligenza Artificiale) e Data Act (contenente norme sui diritti e sull’uso dei dati generati da prodotti connessi e servizi correlati). Pur non essendo ad oggi disponibili in una versione finale consolidata, essi prevedono già un set di norme per una corretta governance dei sistemi di intelligenza artificiale (il primo) e per l’accesso equo e il corretto utilizzo dei dati generati dai dispositivi connessi e dai servizi correlati (il secondo). Anna Capoluongo