Tra i principali atti normativi della strategia UE sui dati vi è la proposta del Data Governance Act. Nella puntata dell’Alert dell’11/11/2021 ne abbiamo descritto gli aspetti generali; in questa, ci soffermiamo sui relativi impatti che essa determina sulla disciplina dettata dal GDPR, in particolare, sulle tre situazioni che la proposta di regolamento si propone di affrontare:

• riutilizzo e pertinenti condizioni, all’interno dell’Unione, di dati detenuti da enti pubblici
• fornitura di servizi di condivisione dei dati, soggetti a notifica obbligatoria e vigilanza
• altruismo dei dati, sottoposto a un regime di registrazione volontaria.

Oggetto e campo di applicazione

L’atto – che si ispira ai principi FAIR per la gestione e il riutilizzo dei dati: reperibili (Findable), Accessibili, Interoperabili e Riutilizzabili – integra la direttiva (UE) 2019/1024 sui dati aperti; come quest’ultima, esso riguarda il riutilizzo di dati del settore pubblico, ma diversamente dalla direttiva, esso si indirizza ai dati non liberi perchè oggetto di diritti di terzi. 

Nonostante l’ambito applicativo del DGA includa anche i dati personali, nella parte dispositiva della proposta non compare alcuna chiara indicazione in merito all’esclusiva competenza del GDPR a disciplinare l’utilizzo di tali dati; di converso, alcune disposizioni del DGA difficilmente si conciliano col GDPR o possono persino contrastarne le prescrizioni.

Ad esempio, la proposta accomuna allo stesso livello “i diritti e gli interessi” di persone fisiche e giuridiche in relazione ai loro dati (artt. 9, c) e 19), contrariamente alla considerazione che i diritti degli individui sui propri dati personali discendono dalla tutela della dignità e di altri diritti fondamentali, mentre ciò non trova corrispondenza riguardo alle persone giuridiche.

Organi e autorità competenti 

Anche nel DGA, come già nella proposta di regolamento ePrivacy ed in quella del regolamento sull’intelligenza artificiale, la Commissione propone l’istituzione di autorità indipendenti (quale l’autorità per i compiti di notifica dei fornitori di servizi di condivisione dei dati (art. 12) e l’autorità competente per la registrazione e la conformità degli organismi per l’altruismo dei dati (art. 20), nonchè di un comitato europeo di coordinamento (capo VI) le cui prerogative interferiscono con quelle delle autorità di controllo privacy e con l’EDPB. 

L’individuazione di tali autorità e comitati, distinti da quelle privacy nonostante la stretta correlazione di compiti e funzioni, genera complessità operativa, può determinare confusione e onerosità operative nonchè rende possibile il rischio di incoerenza e divergenza negli approcci normativi in tutta l’Unione. Come evidenziato dal citato parere congiunto di EDPB e EDPS, «le autorità di controllo della protezione dei dati dovrebbero essere le uniche competenti per la supervisione di tale trattamento dei dati personali.».

1) Riutilizzo di dati detenuti da enti pubblici

Il Capo II della proposta di DGA affronta il tema della messa a disposizione dei dati del settore pubblico per il riutilizzo degli stessi all’interno dell’Unione. La proposta definisce il “riutilizzo” come «l’utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell’ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti» [art. 2, 2)]. Quindi, il riutilizzo riguarda:

• dati detenuti da enti pubblici
• di natura sia personale sia non personale
• per finalità d’uso, commerciale e non commerciale, diverse dal fine dell’originaria raccolta
• messi a disposizione di persone fisiche e giuridiche.

La disciplina sul riutilizzo di dati, quando riguarda “dati personali” in possesso degli enti pubblici, solleva il problema della conciliazione tra i due regimi: DGA e GDPR.