Business Digitali
Data Governance Act: cosa fare per essere in regola
Il Data Governance Act è ormai alle porte, ma per chi si applica e cosa si deve fare per essere conformi a questa normativa se ne parla ancora poco.
Ad onor del vero, di cosa si tratta e quali sono le novità che introduce, ne abbiamo già parlato qui se volete approfondire.
In questo articolo, invece, parleremo di quali azioni devono mettere in campo enti pubblici, organismi competenti, società (private) e organizzazioni di data altruismo, per essere conformi al Data Governance Act.
Insomma, gli attori che, a diverso titolo, sono interessati da questa importante normativa europea la quale -lo ricordiamo- si applicherà in tutti gli Stati Membri a partire dal 24 Settembre 2023.
Seguendo, pertanto, gli articoli del Regolamento UE n. 2022/868 cercheremo di delineare le attività di compliance normativa che sono necessarie per allinearsi ai vari requisiti, rispetto ai quali il nostro Studio ha lavorato nelle ultime settimane per definire un quadro delle attività di consulenza a supporto di chi è chiamato a conformarsi alla norma.
Partiamo, quindi, dagli enti pubblici, grandi protagonisti di questo Regolamento.
Enti Pubblici e gli adempimenti previsti: come dovranno procedere?
Agli enti pubblici è richiesto un grande sforzo in termini di trasparenza a partire dalla pubblicazione delle proprie condizioni di riuso (cfr. art. 5).
Sarà importante quindi effettuare, in prima battuta, una serie di audit interne per definire tutte le fonti di dati disponibili, comprese, se del caso, quelle fonti di dati disponibili presso i punti di informazione settoriali, regionali o locali (cfr. Considerando 26). Da qui, si dovrà procedere per delineare una mappatura dei dati in possesso che potrebbero essere messi a disposizione per un loro riuso a favore di terzi. Va ricordato che in questa normativa si fa riferimento non solo a dati personali, ma anche a dati non personali su cui però potrebbero sussistere diritti di carattere commerciale (es. segreti commerciali) o di proprietà intellettuale.
A ciò seguirà poi la definizione e necessaria pubblicazione delle specifiche condizioni di riuso per ogni tipologia di dati mappata.
Come noto, gli enti pubblici hanno già degli obblighi di catalogazione dei propri asset, ma in questo caso occorrerà fare una due diligence specifica sui dati personali e non che si vogliono rendere disponibili a terzi per il riuso.
Altro tema riguarderà la redazione degli impegni contrattuali tra ente pubblico e riutilizzatore che intende trasferire tali dati a un paese terzo diverso da un paese “adeguato” (cfr. art. 5). In questo senso i termini e le clausole contrattuali avranno un impatto significativo e dovranno concentrarsi sulle finalità e le limitazioni connesse al riuso dei dati condivisi a favore del richiedente (c.d. re-user).
I dati della Commissione Europea sui valori economici che può generare la condivisione dei dati a seguito del Regolamento.
Gli organismi competenti a supporto degli enti pubblici
Un ruolo decisivo nella effettiva applicazione del Regolamento lo avranno certamente gli organismi competenti, probabilmente enti pubblici che avranno il compito di fornire assistenza ad altri enti pubblici nell’autorizzare il riutilizzo dei dati. In particolare, tali organismi dovranno informare gli enti pubblici, se questi ne fanno richiesta, riguardo alle migliori pratiche da implementare per soddisfare i requisiti stabiliti dal Data Governance Act. Di certo, dovranno avere all’interno un pool di esperti, insieme a consulenti esterni, in grado di comprendere come proteggere i dati in relazione ai vari scenari di riuso e lo dovranno fare sotto diversi profili, da quello legale a quello della sicurezza, definendo il livello di rischio e quindi gli opportuni controlli, fra cui l’uso di ambienti protetti per la condivisione (cfr. Considerando. 26).
Fra i compiti più delicati che possono essere demandati agli organismi competenti vi è poi quello di definire le procedure per ottenere, da parte degli enti pubblici, il consenso o le autorizzazioni da parte degli interessati e/o aziende, in massima confidenzialità senza divulgare medio tempore alcun nome o dato al re-user (art. 7).
È una fase molto importante, perchè una valutazione o procedura errata potrebbe condurre alla divulgazione -ad esempio- di dati personali o segreti commerciali, mettendo a repentaglio la legittimità di un intero trattamento di riuso.
Quali attività di conformità per le società che forniscono servizi di intermediazione
Partiamo con il dire che le Società che vorranno fornire questo tipo di servizio dovranno essere inattaccabili sotto il profilo della conformità al Data Governance Act (oltre che al GDPR, ovviamente), per ottenere la fiducia dei potenziali Clienti. Per esempio sarà fondamentale essere conformi anche alla normativa privacy, per quanto concerne i limiti connessi al trattamento da parte di tali Società di metadati derivanti dai servizi di data sharing; metadati che dovranno essere trattati solo allo scopo di fornire il servizio e non per altre finalità (ad esempio di profilazione o di tipo statistico).
Dovranno quindi dimostrare la conformità anzitutto della loro azienda e poi anche dei prodotti che eventualmente hanno sviluppato o che, per il tramite di terze parti, licenziano ai soggetti coinvolti, per agevolare la condivisione dei dati.
Questa prima attività di compliance sarà prodromica ad altre successive, come ad esempio la redazione di informative e di procedure per sensibilizzare l’utente prima di condividere volontariamente i propri dati così da “evitare pratiche fraudolente” e/o manipolatorie da parte di chi ha l’interesse ad ottenere tali dati (cfr. Considerando 30)
Inoltre, il Regolamento richiede la definizione di misure, da parte dei provider dei servizi di intermediazione, volte a garantire il rispetto del diritto della concorrenza disponendo di procedure a tal fine (cfr. Considerando 37). Tutto questo sempre nell’ottica di rendere il processo di condivisione accessibile -a parità di condizioni- a tutti gli operatori del mercato europeo che ne facciano richiesta.
Nel caso poi di società con sede legale extra UE, queste dovranno dotarsi di una rappresentanza legale in UE, che fungerà da punto di contatto a tutela di cittadini e società europee (cfr. art. 10).
In qualità di super partes del processo di condivisione, il provider di servizi di intermediazione dovrà rispettare severi canoni di trasparenza e neutralità, oltre a fornire supporto all’interessato che deve rilasciare un consenso informato. Sarà quindi suo onere dare riscontro ad eventuali domande o dubbi da parte dell’interessato che vuole “vederci chiaro” sui motivi legati alla condivisione dei propri dati (cfr. art. 12);
Infine è richiesta la tenuta del registro dell’attività di intermediazione dei dati (cfr. art. 12), che a molti ricorderà il cugino “registro delle attività di trattamenti dei dati personali” previsto dall’art. 30 del GDPR. Insomma un altro strumento di accountability per dimostrare la propria conformità.
Diagramma di flusso che descrive gli obiettivi di alto livello del nuovo Regolamento UE.
E le Organizzazioni di Data Altruism?
Anche per queste organizzazioni (rigorosamente no-profit), vale quanto detto sopra in ordine alla importanza di essere internamente conformi, per poter legittimamente operare come garanti di processi di condivisioni molto delicati, in cui è la persona fisica a “donare” i propri dati per una finalit di benessere collettivo. Sarà quindi importante definire una serie di procedure interne “per il mantenimento di standard elevati di etica scientifica e di protezione dei diritti fondamentali; per la definizione di strumenti tecnici efficaci e comunicati con chiarezza; per revocare o modificare il consenso in qualsiasi momento” (cfr. Considrando 46).
Questo aspetto finale è davvero decisivo, perchè il consenso -soprattutto in questo ambito- dovrà certamente rispettare gli alti standard richiesti dal GDPR e le stesse Organizzazioni dovranno monitorare a che i dati donati siano effettivamente utilizzati dal re-user su progetti orientati al benessere della collettività.
Anche alle stesse Organizzazioni spetterà la tenuta di un registro, oltre alla redazione di una relazione annuale alla Autorità Competente che a breve gli Stati Membri sceglieranno, probabilmente tra le Autorità Garanti già esistenti all’interno del proprio ordinamento. (art. 21)
Articoli correlati