Data Governance Act: fare di necessità, virtù

Data Governance Act: fare di necessità, virtù
La Commissione europea il 25 novembre 2020 ha pubblicato il Data Governance Act: la sua proposta di regolamento per il mercato europeo dei dati. Il Data Governance Act è un quadro giuridico e politico volto a consentire alle autorità pubbliche, alle aziende, ai cittadini di ottenere il massimo valore dai dati in tutti i settori dell’economia e in molti aspetti della società. Ad oggi infatti è la mancanza di strumenti il vero problema, non di volontà, gli attori sono pronti a fare ognuno la sua parte.

Il Data Governance Act punta a:

  1. Mettere a disposizione i dati del settore pubblico (protetti da segreti commerciali, proprietà intellettuali di terze parti, ecc..) per il riutilizzo. Riutilizzo nel significato di uso da parte di cittadini o persone giuridiche di documenti detenuti da enti pubblici o imprese pubbliche (ad oggi non possibile salvo creare accordi esclusivi con partner per fini di interesse generali e per non oltre tre anni);
  2. Condivisione di dati tra imprese a fronte di remunerazione;
  3. Consentire l’utilizzo e l’accesso ai dati attraverso intermediari per la condivisione degli stessi.
    La nascita di questi nuovi interlocutori che sorpasseranno le figure dei (non sempre limpidi) data broker, implicherà un controllo massiccio della Commissione europea che li inserirà in un registro certificato con la garanzia che una delle loro sedi sarà sul territorio di un paese membro dell’Unione europea.
  4. Consentire l’utilizzo dei dati per fini altruistici attraverso intermediari che non agiranno a scopo di lucro ma alla luce di un interesse generale, come la sanità, la ricerca scientifica, le risposte ad emergenze come inondazioni e incendi, lo sviluppo di una medicina personalizzata, ecc.
La base giuridica di tale futuro regolamento è l’art. 114 del Trattato sul funzionamento dell’Unione europea (TFUE). La scelta dello strumento giuridico – Regolamento – è giustificata dalla esigenza di uniformità e ordine in senso orizzontale, non sottoposta alle visioni unilaterali degli Stati membri. L’iniziativa inoltre è proporzionale agli obiettivi: mai al di là di quanto necessario per l’armonizzazione del mercato digitale nel rispetto delle prerogative degli Stati membri.
Questa è la “strategia europea”, un innovativo approccio alla condivisione dei dati che crei fiducia e che faciliti lo scambio degli stessi in un “mercato unico ma sovrano”, che sia anche un modello alternativo alle pratiche di trattamento dei dati delle principali piattaforme tecnologiche. La linea europea è il risultato di lunghi ragionamenti in merito ad una precisa domanda: “che tipo di trattamento adottano le piattaforme tecnologiche che usiamo quotidianamente? E perché questo trattamento è caratterizzato da scorci di pericolosità?”.
Da Cambridge Analityca, passando per la vicenda Snowden e arrivando alla battaglia di Maximilian Shrems (e senza dover scomodare il Panopticon di Jeremy Bentham e il Grande Fratello di George Orwell) abbiamo avuto sotto gli occhi quale fosse la vera problematica: le attuali piattaforme tecnologiche, che tutti in qualche misura usiamo, dispongono di un elevato potere di mercato, poiché i loro modelli aziendali implicano il controllo di grandi quantità di dati.
Che cosa significa “controllano i dati”? – interrogarsi su chi li possiede è di primaria importanza al fine di comprendere gli sforzi che l’Unione europea sta compiendo -. Controllare i dati significa che le attuali piattaforme tecnologiche immagazzinano presso i loro database una elefantiaca massa di dati e hanno a disposizione gli strumenti per renderli appetibili, condizionandone le scelte.
Il quadro di azione è chiaro e l’esigenza di strutturarsi non è di certo solo un’aspirazione europea: anche la Svizzera corre su binari paralleli. Il nostro Stato si è mobilitato per far fronte alle stesse esigenze. La nuova Legge svizzera sulla protezione dei dati 2020 (DPA), approvata dal Parlamento federale svizzero venerdì 25 settembre 2020, entrerà in vigore verso la metà del 2022. La velocità con cui la Svizzera riuscirà a portare a termine i suoi obiettivi dipenderà anche dall’UE: ad oggi la Svizzera resta in attesa del rinnovo della decisione di adeguatezza della Commissione europea, decisione che consente il trasferimento di dati senza ostacoli verso la Svizzera. L’UE contemporaneamente potrebbe esercitare pressioni sulla Svizzera affinché acceleri l’attuazione della DPA. *(Approfondiremo tali aspetti nei prossimi articoli).

Il contesto in cui ci troviamo è carico quindi di riflessioni e di spunti di discussione.

Di certo l’Unione europea ha necessità di rendere ogni cittadino/azienda/ente pubblico consapevole della responsabilità verso i dati condivisi ed è palese che lo sforzo della Commissione europea mira a promuovere sì la disponibilità di dati da utilizzare ma anche ad aumentare la preziosa fiducia nei confronti degli intermediari dei dati e rafforzando i meccanismi di condivisione in tutta l’UE.

Posizionando meglio le diottrie, si acquisisce che:

  1. La proposta della Commissione europea guarda al futuro regolamento in un’ottica di continuazione di valori già forniti nel GDPR e nella direttiva ePrivacy, valori che parlano lo stesso linguaggio – anche a più lingue – e che condividono una cultura
  2. Punta a sbloccare il potenziale economico e sociale dei dati e di tecnologie come l’intelligenza artificiale nel rispetto delle norme e dei valori dell’UE
  3. Integra la direttiva sugli open data e sul riutilizzo dell’informazione del settore pubblico del 20 giugno 2019 n. 1024 del Parlamento e del Consiglio europeo al fine di creare un ordine e un approccio culturale di base
  4. Sostiene la creazione di una economia dei dati nel mercato unico digitale
  5. Marca una esigenza: evitare di sostare nella frammentazione degli spazi e dei luoghi dove i Big Data vengono custoditi e di conseguenza mirare all’innovazione. Il caso contrario comporterebbe inerzia, arresto nella propria (ad oggi fasulla) zona di comfort e diffidenza: chiari segnali da non più sottovalutare;
  6. Adottare chiare soluzioni volte a dare agli europei e agli stati che si adegueranno il controllo sull’uso dei dati che generano, rendendo più facile e sicuro per le aziende/cittadini/enti pubblici mettere volontariamente a disposizione i propri dati per il bene comune.
  7. Generare un nuovo e più consono concetto di neutralità per consentire ai nuovi intermediari di dati di diventare organizzatori affidabili della condivisione degli stessi; questi nuovi organizzatori della condivisione dei dati saranno i veri protagonisti di un importante obiettivo per aumentare la fiducia. Per garantire questa neutralità, l’intermediario per la condivisione dei dati non può trattare i dati per proprio conto (ad esempio vendendoli a un’altra società o utilizzandoli per sviluppare il proprio prodotto sulla base di questi dati) e dovrà rispettare requisiti rigorosi.
Da questo lato della visuale ci rendiamo conto che è una tematica che bolle in Europa ma non solo. Ad oggi il dibattito negli Stati Uniti verte sulla certezza che se l’America non si farà avanti nelle discussioni con proposte concrete, altri lo faranno. Ciò materializzerà il loro incubo peggiore: un mondo balcanizzato a svantaggio delle società e dell’economia statunitensi, per ora comunque le ipotesi restano anemiche. La Cina, dal canto suo, utilizza da tempo un regime di censura ad ampio raggio, soprannominato “il Great Firewall”, per regolamentare i contenuti e l’accesso a Internet. La Cina però non può dormire sogni tranquilli perché sa bene che se le stime del numero dei dispositivi collegati a Internet, prognosticato al triplo di quello attuale nel 2023, si realizzeranno, dovrà accelerare e rivedere la sua visione in merito e trasformare i modelli di business esistenti. La pandemia di Covid-19 ha ulteriormente accelerato la digitalizzazione in tutti i settori e il tempo stringe sempre di più.
Ritornando nel lato europeo, la proposta sarà discussa e negoziata dal Parlamento europeo e dal Consiglio dei ministri prima di essere adottata. Il dibattito continuerà anche alla luce delle nuove proposte sul Digital Markets Act, il Digital Services Act e le interazioni con le regole del GDPR.