DATA GOVERNANCE ACT: il futuro europeo del data sharing

Il Data Governance Act vuole creare uno spazio comune di data sharing in cui l'innovazione sia sostenuta da dati sicuri, facilmente reperibili e riutilizzabili.

Data Governance Act della Commissione

Che il dato sia il nuovo petrolio lo sentiamo ripetere da tempo.
Eppure, ancora oggi sono pochi gli enti (pubblici e privati), in grado di sfruttarne il suo potenziale intrinseco.
Il Data Governance Act, nella versione proposta dalla Commissione lo scorso 25 Novembre, vuole produrre una inversione di rotta su questo fronte.

L’obiettivo dichiarato è infatti proprio quello di massimizzare il valore dei dati, anche di quelli che non sono disponibili come open data, favorendone la circolazione per mezzo di attori qualificati e strumenti di tutela che ne garantiscano una condivisione sicura all’interno di un mercato unico digitale.

credit: immagine tratta dalla Brochure ufficiale della Commissione Europea

Per raggiungere un obiettivo così ambizioso, la proposta di Regolamento si fonda su 3 pilastri chiamati a sorreggere l’intero ecosistema di governance dei dati pensato dalla Commissione.

Nello specifico, i tre pilastri sono:

  • le regole che disciplinano le condizioni di riuso di certe categorie di dati in possesso degli enti del settore pubblico;
  • i meccanismi di condivisione dei dati (c.d. data sharing), con l’ingresso di fornitori dediti a tali servizi di intermediazione;
  • il concetto di “data altruism”, vale a dire la raccolta e il trattamento di dati resi accessibili a terzi per fini altruistici da parte di imprese o persone fisiche.

1. IL RIUSO DEI DATI: UNA PREMESSA

Perchè si parla di riuso dei dati in possesso degli enti pubblici?

Il concetto si ricollega ad una idea di base molto nobile: i dati generati o comunque derivati dall’utilizzo di soldi pubblici devono portare benefici a tutta la società.

Per farlo è necessario che siano di nuovo messi in circolo, dando supporto a progetti di ricerca e innovazione digitale che, nell’era dei big data e del machine learning, sono sempre più “affamati” di dati.

Le condizioni di riuso, dunque, servono a rendere possibile ciò che tutt’ora, purtroppo, non sta accadendo. La realtà dei fatti ci dice infatti che i database degli enti pubblici si rivelano spesso difficilmente reperibili per ragioni di mera burocrazia; altre volte il loro accesso è vietato perchè si invoca la segretezza dei contenuti o la privacy dei cittadini.

Vi è quindi un tesoro sommerso di dati lasciati giacenti tra le “stanze” (e i server) della pubblica amministrazione che continua a non essere utilizzato, neppure per fini di ricerca o innovazione, sebbene vi siano ad oggi tutti gli strumenti tecnologici adatti per trattarli in sicurezza.

Definiamo dunque quali sono le categorie di dati a cui potranno applicarsi le condizioni di riuso definite dalla Commissione.
Sul punto, l’art. 3 fa espresso riferimento a dati in possesso degli enti pubblici (es. lo Stato, gli enti regionali o locali), che sono protetti per motivi di confidenzialità commerciale o statistica oppure per tutelare i diritti di proprietà intellettuale di terzi o, ancora, per ragioni di privacy.

Si tratta quindi di dati che dovrebbero subire un trattamento di tipo legale e tecnico prima di essere resi accessibili, per evitare qualsiasi pregiudizio a danno di terzi.
Ma, come noto, tali trattamenti richiedono competenze specialistiche e ingenti investimenti anche in termini di tempo.
Da qui lo stallo descritto in precedenza e che il nuovo Regolamento si propone di superare, liberando di fatto il potenziale di quei dati il cui valore potrebbe essere decisivo in numerosi campi dell’innovazione, dall’intelligenza artificiale alla mobilità, dalla medicina personalizzata alla sostenibilità ambientale.

2. LE CONDIZIONI DI RIUSO E LE REGOLE TECNICHE DI DATA SHARING

Partiamo dunque dalla norma che delinea le condizioni di riuso dei dati (art. 5), con la precisazione, però, che tali condizioni non comportano alcun obbligo – in capo agli enti pubblici – di consentire il riuso dei dati, ma appunto stabiliscono in quali casi è ammissibile.

I primi due paragrafi sono già una dichiarazione di intenti: con il primo la Commissione si preoccupa di prescrivere principi di trasparenza, imponendo la pubblicità delle condizioni da parte delle istituzioni; con il secondo, invece, si precisa che le condizioni dovranno essere non discriminatorie, proporzionate e giustificate in ragione delle categorie dei dati trattati e delle finalità del riuso, allo scopo di favorire la creazione di una data governance sorretta da valori comunitari.

L’obiettivo è anche quello di evitare possibili distorsioni concorrenziali, tali da creare un mercato unico dei dati in cui il diritto di riuso sia appannaggio di poche realtà imprenditoriali o accademiche.

Non a caso, l’art. 4 prevede un generico divieto di accordi che abbiano lo scopo o l’effetto di creare diritti esclusivi per il riutilizzo di alcuni dati.

Sono sì previste deroghe, ma molto ristrette: in particolare, l’accordo è possibile solo se giustificato e necessario per la fornitura di un servizio di interesse generale.
Su questo punto, la Commissione fornisce un esempio all’interno dei considerando.

Si pensi al caso in cui una azienda privata europea si sia specializzata nel trattamento di uno specifico set di dati e che, in ragione di tale know-how, la stessa sia l’unica in grado di fornire all’ente pubblico interessato un servizio digitale innovativo di grande impatto per il benessere sociale dei cittadini.

In questo caso, vi sarebbero tutte le condizioni per giustificare l’esistenza di un accordo di esclusiva tra le parti, a condizione che sia circostanziato in termini di tempo (massimo 3 anni) e che sia altresì soggetto a revisione periodica sulla base di un’analisi di mercato che accerti se tale esclusività continui ad essere necessaria.


Veniamo ora al secondo pilastro: i meccanismi di condivisione dei dati.
Posto che la trasmissione dei dati per il riuso deve avvenire sempre in contesti di sicurezza e con misure tecniche e organizzative adeguate al caso specifico, sono due gli scenari possibili:

  1. CONDIVISIONE DI DATI PRE-TRATTATI: in relazione al caso concreto, i dati personali dovrebbero essere anonimizzati o perlomeno pseudonimizzati prima della loro trasmissione, mentre per i dati non personali è necessaria l’eliminazione di informazioni commerciali a carattere confidenziale. Quindi la trasmissione per il riuso a favore di chi ne fa richiesta (c.d. re-user) avviene solo in seguito ad uno specifico pre-trattamento effettuato dall’ente pubblico, che sul punto si potrà avvalere anche di organismi appositamente designati dagli Stati Membri in grado di fornire un supporto tecnico (cfr. art 7).
  2. CONDIVISIONE DI DATI NON PRE-TRATTATI IN AMBIENTI PROTETTI (secure processing environments): talvolta, però, il pre-trattamento dei dati potrebbe mettere a rischio le finalità di riuso del richiedente, o comunque pregiudicarne l’efficacia; potrebbe essere questo il caso di un ente di ricerca che necessita di dati sanitari “in chiaro” per ottenere risultati utili nell’ambito di uno specifico progetto. In questa ed altre analoghe circostanze potrebbe quindi essere consentito il riuso di dati (non pre-trattati) all’interno di ambienti protetti e controllati dall’ente pubblico, accessibili da remoto o, in casi limite, solo da locali fisici qualora l’accesso in remoto possa mettere a repentaglio diritti e interessi di terze parti.
Saranno necessari ambienti protetti per la condivisione di dati non pre-trattati, per salvaguardare diritti di terzi.

Gli enti pubblici avranno inoltre poteri di verifica esercitabili anche sull’output del trattamento di riuso, cioè sugli effetti e/o risultanti conseguenti ad esso, fino al punto di vietare l’utilizzo di tali output in caso di possibili violazioni di diritti e interessi di terze parti.

Potrebbe ad esempio accadere che, partendo da dati anonimizzati (quindi pre-trattati dall’ente pubblico), si riesca comunque a risalire ad un dato completo mediante l’associazione di altre informazioni, soprattutto in contesti di intelligenza artificiale e big data, dove sono più frequenti episodi come questi di reverse engineering. In quel caso, dunque, l’ente pubblico potrebbe intervenire, bloccando il riuso del dato completo.

Vi sono casi però in cui non è possibile garantire un riuso dei dati in piena sicurezza, secondo gli standard elencati in precedenza.
Per superare l’empasse, gli enti pubblici dovranno acquisire – in favore del re-user – il consenso degli interessati o le autorizzazioni necessarie presso le aziende coinvolte, a seconda che il riuso riguardi dati personali non coperti da altre basi giuridiche oppure dati non personali protetti da segreti commerciali o diritti di proprietà intellettuale.
In queste fasi di “ricerca” è importante – sottolinea la Commissione – che il re-user non riceva alcuna informazione di contatto delle persone fisiche o giuridiche interessate, e che siano soltanto gli enti pubblici a farsi da portavoce delle relative richieste di consenso o di autorizzazione.

3. IL RIUSO DEI DATI VERSO PAESI TERZI

La confidenzialità delle informazioni commerciali dovrà essere garantita anche nel caso di trasmissione di dati a favore di un re-user che intende trasferirli verso Paesi terzi. E in tal senso è stato previsto un meccanismo di garanzia in parte simile a quello stabilito dal GDPR (Reg.UE n. 679/2106) per il trasferimento di dati personali a Paesi extra UE.

La trasmissione sarà infatti ammessa solo se avviene a favore di un paese terzo già ritenuto adeguato dalla Commissione UE per mezzo di un atto di esecuzione che accerti un livello di protezione delle informazioni confidenziali equivalente a quello europeo, oltre all’esistenza di tutele giudiziarie effettive.


Se, invece, il re-user intende trasferire dati ad un Paese non adeguato, ciò potrà avvenire solo a seguito di un suo personale impegno a garantire, nei confronti dell’ente pubblico in possesso dei dati, lo stesso standard di sicurezza sancito dal Regolamento.
Dovrà inoltre accettare la giurisdizione dello Stato membro a cui appartiene l’ente pubblico in questione per qualsiasi controversia che dovesse sorgere in relazione al trattamento di riuso.

Come avrete compreso le condizioni sono piuttosto complesse e proprio al fine di agevolare una prassi quianto più possibile uniforme, l’art. 8 istituisce un unico punto di informazione (single information point) per ogni Stato Membro allo scopo di ricevere non solo richieste informative, ma anche le istanze di riuso da dirottare ai competenti enti pubblici, i quali dovranno fornire riscontro entro il termine di 2 mesi dalla richiesta.

4. I FORNITORI DEI SERVIZI DI DATA SHARING

Concluso il capitolo sulle condizioni di riuso che, come visto, attiene ad una specifica categoria di dati conservati dalla pubblica amministrazione, ora allarghiamo la nostra visuale di indagine, includendo i fornitori di servizi data sharing.

Essi sono i nuovi attori del futuro mercato digitale europeo; fungono da veri e propri intermediari (data intermediaries), con il compito di facilitare la raccolta e lo scambio di dati tra i possessori di dati (data holders) e i potenziali re-users.

Quindi, tra le aziende o le persone fisiche che da una parte sono in possesso di dati e hanno intenzione di renderli disponibili e i potenziali utenti di quei dati che dall’altra hanno l’interesse a utilizzarli e trattarli.

Ma quali soggetti possono assumere tale qualifica di fornitori?
La risposta è da ricercare nell’art. 11 che elenca una serie di requisiti da rispettare per chi intende attivare un servizio di data-sharing.

Volendo parafrasare il dettato normativo, da un lato i fornitori di questo servizio sono l’anello di congiunzione tra le parti e il vero motore dell’innovazione data-driven immaginata dall’UE, dall’altro però non devono mai assurgere a protagonisti interessati dello scambio di dati intercorso.


Devono pertanto rispettare severi canoni di neutralità, sia nei confronti delle parti, fungendo sempre e solo da intermediari, e sia nei confronti dei dati scambiati, che non dovranno essere utilizzati per nessun altro scopo diverso da quello di intermediazione.

Fra il novero dei dati, la Commissione ha voluto ricomprendere anche i metadati, cioè i dati generati dallo scambio (es. data, orario e luogo di trasmissione dei dati, durata dell’attività), consapevole del loro possibile riutilizzo per finalità esterne al data sharing.
Tra le altre condizioni è anche richiesta una separazione strutturale tra il servizio di condivisione dei dati e qualsiasi altro servizio fornito dal fornitore, in modo da evitare eventuali conflitti di interesse.

Insomma, la Commisisone ha voluto chiarire in modo netto che, all’interno di questa nuova economia digitale, non c’è spazio per intermediari che ottengono dati, li aggregano o li elaborano creando un surplus di valore al solo fine di rivenderli o concederli in licenza d’uso, senza stabilire una reale connessione tra i data holders e i data users.


Qualcuno, leggendo queste righe, sentirà riecheggiare il nome di Cambridge Analytica, la società di brokeraggio dei dati associata allo scandalo che nel 2018 coinvolse Facebook; e in effetti il profilo disegnato dalla Commissione combacia, ma in realtà non sono esclusi solo i data brokers dal novero dei data intermediaries.

Ad esempio anche i fornitori di servizi cloud o di piattaforme di scambio dati utilizzate da un solo data holder, non potranno fungere da fornitori di servizi data sharing.
Si vuole a tutti i costi evitare che gli intermediari possano in qualche modo elaborare i dati scambiati tra le parti, per creare un surplus di valore in grado di generare distorsioni concorrenziali.
Gli intermediari, infatti, potrebbero entrare in contatto con un patrimonio informativo tale, che se utilizzato per i propri fini commerciali, li porrebbe in una posizione di indubbio vantaggio rispetto ad ogni altro loro competitor (potrebbero ad esempio venire in possesso delle loro strategie di mercato o di qualsiasi altro loro segreto commerciale).

L’allora CEO di Cambridge Analytica che spiega il metodo OCEAN per un’analisi psicografica dei target.

In questo senso, la distanza dall’attuale mercato digitale americano, anche sotto un profilo etico, non potrebbe essere più ampia. Il Data Governance Act vuole essere tutto tranne che un terreno normativo su cui far fiorire altre big del tech in grado di arricchirsi senza generare la stessa quantità di ricchezza per la società.

Prima di esercitare il servizio di data sharing, ogni fornitore è inoltre obbligato all’invio di una notifica che includa le informazioni richieste dall’art. 10. La notifica, che equivale ad una dichiarazione di inizio attività, dovrà essere inviata ad una tra le autorità competenti a riceverla e all’uopo designate dai rispettivi Stati Membri.
Le stesse autorità avranno anche il compito di monitorare l’effettiva compliance degli intermediari ed eventualmente agire con sanzioni pecuniarie o richieste di cessazione o sospensione del servizio in caso di violazioni accertate.

4. IL “DATA ALTRUISM”: CONDIVIDERE I DATI PER IL BENE COMUNE

Il capitolo 4 del Regolamento è invece dedicato al concetto di “data altruism“, ovvero l’utilizzo di dati resi accessibili in maniera volontaria da aziende o persone fisiche per finalità di interesse generale.

Semplificando, si potrebbe dire che i dati vengono donati per il bene comune.

Chiunque potrebbe sostenere, mediante la conndivisione di dati in suo possesso, progetti che hanno un valore collettivo, come progetti di ricerca sulla mobilità o sul cambiamento climatico, oppure test di training su algoritmi di machine learning in ambito sanitario o campagne di etica sui dati.

Pensate quale vantaggio avrebbe procurato un modello del genere se implementato in epoca pre-Covid. Magari in questo momento sarebbe stata attiva una campagna di Crowdfunding a livello europeo per facilitare la raccolta su base volontaria di dati dei cittadini, volta alla creazione di statistiche ufficiali e analisi di dati sanitari per fini di contenimento del contagio. Le prospettive su questo e altri fronti sono davvero enormi.

La raccolta e il trattamento di questi dati è demandata ad apposite organizzazioni (Data Altruism Organizations), riconosciute dall’Unione Eruopea e presenti su apposito registro tenuto dalla Commissione (cfr. art. 15). Questo elemento, unito alla natura no-profit dell’organizzazione e agli obblighi di sicurezza e trasparenza sanciti dalla normativa, dovrebbe far accrescere un senso di fiducia tra i cittadini sulle finalità altruistiche di tali organizzazioni.

Nelle intenzioni, il concetto di data altruism, vuole avere un forte impatto nel mondo della ricerca e pertanto dovrà fare affidamento sul consenso degli interessati, qualora siano persone fisiche.

Il futuro flusso di data sharing dovrebbe aumentare la disponibilità e reperibilità di dati per fini di ricerca.

Proprio per conferire maggiore certezza giuridica alle fasi di concessione o revoca del consenso, si è pensato ad un modulo uniforme di consenso a livello europeo per il data altruism (European data altruism consent form). All’interno del modulo dovranno essere chiarite le modalità di trattamento dei dati personali conseguenti alla prestazione del consenso, nel segno della trasparenza richiesta dal GDPR.

5. L’EUROPEAN DATA INNOVATION BOARD.

Un ultimo cenno all’art. 26 che istituisce l’European Data Innovation Board, nella veste di un gruppo di esperti. Come si evince dalla relazione iniziale che accompagna la proposta di Regolamento, per motivi sia economici che politici è stata abbandonata l’idea di creare una struttura indipendente e con personalità giuridica sulla falsariga del European Data Protection Board.

Ad ogni modo, il Board avrà il compito di affiancare la Commissione nella corretta implementazione delle regole di governance, fornendo una consulenza continuativa su più fronti.

6. QUALE SARÀ L’IMPATTO DEL DATA GOVERNANCE ACT?

La Commissione ha fatto la sua proposta.
Ora si dovrà attendere il vaglio del Parlamento e del Consiglio Europeo ma si possono già fare alcune considerazioni sull’impatto che avrà il Data Governance Act.

È innegabile che, tra le righe di questo Regolamento, emerga una nuova concezione di economia digitale, guidata da valori comunitari che spingono verso una innovazione data-driven altamente concorrenziale e sicura.

Uno spazio comune nel quale i dati rappresentano un patrimonio da valorizzare non solo per scopi commerciali e privatistici ma anche di interesse comune.

Certamente questa visione avrà un impatto nell’ambito dell’intelligenza artificiale.
La speranza è che possa fornire il supporto necessario a ricercatori e aziende per arginare o mitigare decisioni o risultati dell’algoritmo inique, perchè basate su preconcetti o assunzioni polarizzanti o discriminatorie.
Si parla al riguardo di “bias”, e spesso seguono anche le nostre convinzioni sociali, etniche o di genere. Per combattere questo fenomeno allarmante, che cresce in parallelo alla diffusione capillare dei sistemi di machine learning o dei pattern di Big data, sarà cruciale avere a disposizione più dati possibili, diversi tra loro, anche per procedere ad eventuali correzioni in corso d’opera.

Ma anche la ricerca ne trarrà benificio, come le imprese private che potranno fare affidamento su dati ora detenuti dagli enti pubblici ma in futuro disponibili anche a tutti coloro che vorranno fare innovazione, senza limitarne l’accesso ai soliti noti.

Infine ci sono i numeri preventivati dalla stessa Commissione.
Si stima che le nuove regole di data sharing possano generare benefici sociali ed economici per un valore che oscilla tra l’1% e il 2,5% del PIL; le nuove misure potrebbero inoltre produrre un giro economico fino a 7-11 miliardi € entro il 2028.
Si prevedono infine impatti sul settore sanitario, con risparmi fino a 120 mld € e nel settore manufatturiero con un aumento della produttività fino a 1.3. trilioni € entro il 2027 grazie ad una maggiore implementazione dell’Internet Of Things Data.

L’impatto del Data Governance Act in numeri

Ci sono dunque tutti i presupposti perchè il Data Governance Act possa diventare un altro standard normativo, alla pari dEL GDPR, che come noto sta imponendo un cambio di paradigma nella protezione dei dati personali anche al di fuori dei confini europei.

L’augurio è che la “magia” possa ripetersi.