L’economia dei dati si basa sul “data sharing” cioè la condivisione degli stessi con terze parti. La strategia UE sull’economia dei dati, finalizzata a incentivarne lo sviluppo e a eliminare le barriere che vi si frappongono, ha promosso una serie di atti legislativi, per lo più in forma di regolamento e immediatamente applicabili, volti a facilitare il data sharing. La condivisione dei dati, pertanto, è un importante snodo di intersezione tra protezione e valorizzazione, con significativi impatti quando le informazioni condivise sono anche “dati personali”.
Sintesi
Quello che nel contesto della data economy si usa definire come “data sharing” si traduce nella dimensione data protection come “comunicazione di dati” ed avviene tra autonomi titolari di trattamento. Il “data sharing”, pertanto, non è necessariamente né un “trasferimento” di dati, né una “condivisione” e nemmeno richiede obbligatoriamente un accesso ai dati personali. Queste precisazioni si rendono opportune qualora – come appare possa accadere nella maggioranza dei casi – oggetto di “data sharing” saranno anche “dati personali”; in tali casi, in relazione ad essi o, se costituito da dati promiscui, anche in relazione all’intero set di dati messo a disposizione si applicherà la disciplina prevalente del GDPR e delle altre norme data protection. In queste ipotesi, il data sharing avverrà tra autonomi titolari, ciascuno dei quali sarà responsabile per il rispetto delle prescrizioni data protection riguardo alle attività di trattamento di propria pertinenza. Eventuali intermediari di dati che agiscano per conto delle parti, assumeranno il ruolo di responsabili del trattamento della parte per conto della quale effettuano operazioni di trattamento. Le parti del data sharing contrattualizzano il rapporto che li lega con clausole che rispondono a profili sia data protection sia di natura prevalentemente economica.
Interventi normativi per la strategia UE per i dati
La Commissione europea ha lanciato il piano strategico quinquennale per la creazione dello spazio comune europeo dei dati e l’economia digitale basata sui dati «che consenta di equilibrare il flusso e l’ampio utilizzo dei dati mantenendo al contempo alti livelli di privacy, sicurezza, protezione e norme etiche». A questo fine sono state proposte alcune iniziative legislative, tra cui ciò che è poi divenuta la direttiva Open Data (Dir. 2019/1024) per il riutilizzo delle informazioni del settore pubblico. Il riutilizzo dei dati oggetto di diritti di terzi (es. proprietà intellettuale, data protection) è invece oggetto della proposta di regolamento detta Data Governance Act (“DGA”). La proposta di regolamento sul governo dei dati si prefigge di affrontare le seguenti situazioni:
- riutilizzo e pertinenti condizioni, all’interno dell’Unione, di dati detenuti da enti pubblici
- fornitura di servizi di condivisione dei dati, soggetti a notifica obbligatoria e vigilanza
- altruismo dei dati, soggetto a un regime di registrazione volontaria.
La proposta di Data Act mira all’abbattimento delle barriere al data sharing che «prevenga l’ottimale distribuzione dei dati per il bene della società»; tra queste si registrano la mancanza di incentivi per i fornitori dei dati a sottoscrivere volontariamente accordi di condivisione dei dati, incertezza su diritti e obblighi in relazione ai dati, cattiva gestione dei metadati, assenza di standard per l’interoperabilità semantica e tecnica, abuso degli squilibri contrattuali per quanto riguarda l’accesso e l’utilizzo dei dati [Considerando (2) Data Act].
Coordinamento col GDPR
Tutti i citati atti normativi eurounitari hanno per oggetto prevalente dati “non-personali” ma non si esclude che l’attività regolata possa riguardare anche dati “misti” (cioè, dati personali e non-personali) e anche dati personali, tout court.
Laddove l’attività di “sharing” coinvolge dati personali la disciplina sulla protezione dei dati personali prevale sulle altre relative all’ economia dei dati, come specificato in tutti gli atti normativi citati.
La prevalenza del GDPR su DSA, DMA, Data Act e AIA nonché sulla direttiva sul libero accesso ai dati e sul regolamento per la libera circolazione dei dati, non discende da questa esplicitazione del legislatore bensì essa è diretta conseguenza della natura fondamentale riconosciuta al diritto alla protezione dei dati personali sia dalla Carta dei diritti fondamentali della UE (art. 8) sia dal trattato sul funzionamento dell’Unione (art. 16).
In pratica, la prevalenza del GDPR (e delle altre discipline di settore applicabili, come l’ePrivacy) comporta che il data sharing è attuabile solo se esso è realizzato nel rispetto dei principi e delle regole sanciti nelle norme sul data protection.
Concetto di “sharing”
La traduzione italiana più prossima al termine inglese “sharing” è quella di “condivisione” o “scambio” ma l’uso di questo termine all’interno della disciplina data protection può indurre a conclusioni errate, se non opportunamente precisato.
Il termine “sharing” si ritrova nel testo della versione inglese del GDPR solo in due circostanze:
- Al Considerando (6), laddove facendo riferimento alla rapidità dell’evoluzione tecnologica e alla globalizzazione, viene dichiarato che “[l]a portata della condivisione e della raccolta di dati personali è aumentata in modo significativo.”
- All’articolo 57.1, lettera g) dove, nell’elencare i compiti dell’autorità di supervisione nazionale, menziona che essa “collabora, anche tramite scambi di informazioni, con le altre autorità di controllo (…)” (nella versione inglese: “cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities (…)”.
A completamento, l’articolo 4 del GDPR che riporta le definizioni, stabilisce che deve intendersi per “trattamento”, tra l’altro, “la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione” di dati personali [art. 4, punto 2)].
Comunicazione e diffusione
I termini “comunicazione” e “diffusione” non sono definiti nel GDPR ma solo nel codice privacy italiano. Recita l’articolo 2-ter al comma 4 che deve intendersi per:
a) “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
b) “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
In verità, la distinzione tra “comunicazione” e “diffusione” non risiede nella modalità di “messa in conoscenza” che, di converso, è identica in entrambi i casi e consiste in qualsiasi forma di “messa a disposizione, consultazione o mediante interconnessione”; il criterio distintivo delle due operazioni di trattamento è offerto dalla capacità di determinare (cioè, specificare nel caso della “comunicazione”) i soggetti destinatari o meno (nella “diffusione”).
“Messa a disposizione”
Questa ricostruzione normativa può concludersi nel senso che per “sharing” – ai sensi del GDPR – deve intendersi qualsiasi “forma di messa a disposizione” di dati personali. Più precisamente, nel senso dell’economia dei dati e della pertinente normativa, la “messa a disposizione” di dati personali in favore di terze parti che agiscono nel proprio interesse. Infatti, ai fini dell’economia dei dati, non interessa la “messa a disposizione” di dati nell’ambito dell’assetto organizzativo interno dell’ente di riferimento, né all’interno dell’ambito di responsabilità del medesimo titolare (come sarebbe nel caso di “messa a disposizione” di dati personali ad un proprio responsabile del trattamento per consentirgli di svolgere il mandato assegnatogli); ciò che conta, invece, è la circostanza che i dati personali siano “messi a disposizione” di un terzo che agisce per proprio conto (titolare autonomo che riceve i dati mediante comunicazione o diffusione).