L’economia dei dati si basa sul “data sharing” cioè la condivisione degli stessi con terze parti. La strategia UE sull’economia dei dati, finalizzata a incentivarne lo sviluppo e a eliminare le barriere che vi si frappongono, ha promosso una serie di atti legislativi, per lo più in forma di regolamento e immediatamente applicabili, volti a facilitare il data sharing. La condivisione dei dati, pertanto, è un importante snodo di intersezione tra protezione e valorizzazione, con significativi impatti quando le informazioni condivise sono anche “dati personali”.
Quello che nel contesto della data economy si usa definire come “data sharing” si traduce nella dimensione data protection come “comunicazione di dati” ed avviene tra autonomi titolari di trattamento. Il “data sharing”, pertanto, non è necessariamente né un “trasferimento” di dati, né una “condivisione” e nemmeno richiede obbligatoriamente un accesso ai dati personali. Queste precisazioni si rendono opportune qualora – come appare possa accadere nella maggioranza dei casi – oggetto di “data sharing” saranno anche “dati personali”; in tali casi, in relazione ad essi o, se costituito da dati promiscui, anche in relazione all’intero set di dati messo a disposizione si applicherà la disciplina prevalente del GDPR e delle altre norme data protection. In queste ipotesi, il data sharing avverrà tra autonomi titolari, ciascuno dei quali sarà responsabile per il rispetto delle prescrizioni data protection riguardo alle attività di trattamento di propria pertinenza. Eventuali intermediari di dati che agiscano per conto delle parti, assumeranno il ruolo di responsabili del trattamento della parte per conto della quale effettuano operazioni di trattamento. Le parti del data sharing contrattualizzano il rapporto che li lega con clausole che rispondono a profili sia data protection sia di natura prevalentemente economica.
La Commissione europea ha lanciato il piano strategico quinquennale per la creazione dello spazio comune europeo dei dati e l’economia digitale basata sui dati «che consenta di equilibrare il flusso e l’ampio utilizzo dei dati mantenendo al contempo alti livelli di privacy, sicurezza, protezione e norme etiche». A questo fine sono state proposte alcune iniziative legislative, tra cui ciò che è poi divenuta la direttiva Open Data (Dir. 2019/1024) per il riutilizzo delle informazioni del settore pubblico. Il riutilizzo dei dati oggetto di diritti di terzi (es. proprietà intellettuale, data protection) è invece oggetto della proposta di regolamento detta Data Governance Act (“DGA”). La proposta di regolamento sul governo dei dati si prefigge di affrontare le seguenti situazioni:
riutilizzo e pertinenti condizioni, all’interno dell’Unione, di dati detenuti da enti pubblici
fornitura di servizi di condivisione dei dati, soggetti a notifica obbligatoria e vigilanza
altruismo dei dati, soggetto a un regime di registrazione volontaria.
La proposta di Data Act mira all’abbattimento delle barriere al data sharing che «prevenga l’ottimale distribuzione dei dati per il bene della società»; tra queste si registrano la mancanza di incentivi per i fornitori dei dati a sottoscrivere volontariamente accordi di condivisione dei dati, incertezza su diritti e obblighi in relazione ai dati, cattiva gestione dei metadati, assenza di standard per l'interoperabilità semantica e tecnica, abuso degli squilibri contrattuali per quanto riguarda l'accesso e l'utilizzo dei dati [Considerando (2) Data Act].
Tutti i citati atti normativi eurounitari hanno per oggetto prevalente dati “non-personali” ma non si esclude che l’attività regolata possa riguardare anche dati “misti” (cioè, dati personali e non-personali) e anche dati personali, tout court.
Laddove l’attività di “sharing” coinvolge dati personali la disciplina sulla protezione dei dati personali prevale sulle altre relative all’ economia dei dati, come specificato in tutti gli atti normativi citati.
La prevalenza del GDPR su DSA, DMA, Data Act e AIA nonché sulla direttiva sul libero accesso ai dati e sul regolamento per la libera circolazione dei dati, non discende da questa esplicitazione del legislatore bensì essa è diretta conseguenza della natura fondamentale riconosciuta al diritto alla protezione dei dati personali sia dalla Carta dei diritti fondamentali della UE (art. 8) sia dal trattato sul funzionamento dell’Unione (art. 16).
In pratica, la prevalenza del GDPR (e delle altre discipline di settore applicabili, come l’ePrivacy) comporta che il data sharing è attuabile solo se esso è realizzato nel rispetto dei principi e delle regole sanciti nelle norme sul data protection.
La traduzione italiana più prossima al termine inglese “sharing” è quella di “condivisione” o “scambio” ma l’uso di questo termine all’interno della disciplina data protection può indurre a conclusioni errate, se non opportunamente precisato.
Il termine “sharing” si ritrova nel testo della versione inglese del GDPR solo in due circostanze:
Al Considerando (6), laddove facendo riferimento alla rapidità dell’evoluzione tecnologica e alla globalizzazione, viene dichiarato che “[l]a portata della condivisione e della raccolta di dati personali è aumentata in modo significativo.”
All’articolo 57.1, lettera g) dove, nell’elencare i compiti dell’autorità di supervisione nazionale, menziona che essa “collabora, anche tramite scambi di informazioni, con le altre autorità di controllo (…)” (nella versione inglese: “cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities (…)”.
A completamento, l’articolo 4 del GDPR che riporta le definizioni, stabilisce che deve intendersi per “trattamento”, tra l’altro, “la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione” di dati personali [art. 4, punto 2)].
I termini “comunicazione” e “diffusione” non sono definiti nel GDPR ma solo nel codice privacy italiano. Recita l’articolo 2-ter al comma 4 che deve intendersi per:
“a) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
b) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
In verità, la distinzione tra “comunicazione” e “diffusione” non risiede nella modalità di “messa in conoscenza” che, di converso, è identica in entrambi i casi e consiste in qualsiasi forma di “messa a disposizione, consultazione o mediante interconnessione”; il criterio distintivo delle due operazioni di trattamento è offerto dalla capacità di determinare (cioè, specificare nel caso della “comunicazione”) i soggetti destinatari o meno (nella “diffusione”).
Questa ricostruzione normativa può concludersi nel senso che per “sharing” – ai sensi del GDPR – deve intendersi qualsiasi “forma di messa a disposizione” di dati personali. Più precisamente, nel senso dell’economia dei dati e della pertinente normativa, la “messa a disposizione” di dati personali in favore di terze parti che agiscono nel proprio interesse. Infatti, ai fini dell’economia dei dati, non interessa la “messa a disposizione” di dati nell’ambito dell’assetto organizzativo interno dell’ente di riferimento, né all’interno dell’ambito di responsabilità del medesimo titolare (come sarebbe nel caso di “messa a disposizione” di dati personali ad un proprio responsabile del trattamento per consentirgli di svolgere il mandato assegnatogli); ciò che conta, invece, è la circostanza che i dati personali siano “messi a disposizione” di un terzo che agisce per proprio conto (titolare autonomo che riceve i dati mediante comunicazione o diffusione).
Stabilito il significato di “data sharing” nella logica della “data economy”, passiamo ad esaminare cosa e come gli attori di questa transazione devono attuare per effettuare tra loro una “condivisione” di dati nel rispetto della normativa data protection e dei requisiti propri del data sharing.
Il data sharing avente ad oggetto (anche) dati personali è un tipo di trattamento che deve soddisfare tutte le obbligazioni che la disciplina pone in capo al titolare e al responsabile del trattamento (ad es. valutazione del rischio – cioè dell’impatto sugli interessati che il data sharing può causare, eventuale DPIA, data protection by design e by default – in modo da incorporare le misure di tutela e protezione sin dalla fase di ideazione e come impostazione predefinita, registro dei trattamenti, contrattualizzazione dei rapporti, gestione dei flussi esteri di dati). Tra questi adempimenti spiccano, per primaria importanza, quelli dell’informativa e del consenso dell’interessato: adempimenti che vanno soddisfatti prima di procedere alla condivisione dei dati personali col presupposto che il titolare abbia già chiaro cosa intenda perseguire, con quali modalità e quali siano i destinatari. Presupposti questi che sono difficili da determinare ab initio, specie se il data sharing assume una valenza di business ordinario anziché occasionale e su base di eccezione.
L’interessato cui si riferiscono i dati personali deve essere reso consapevole delle informazioni riguardanti il loro utilizzo, secondo le prescrizioni degli articoli 12-14 del GDPR. Se il data sharing comporta dei rischi per l’interessato, il titolare ha il dovere di rappresentarglieli, anche nel rispetto del principio di correttezza. Analogamente, il data subject deve essere messo nelle condizioni di controllare l’ambito di divulgazione dei propri dati almeno entro i limiti dell’indicazione delle categorie soggettive dei destinatari. In aggiunta, il rispetto della trasparenza deve consentire all’interessato di poter esercitare agevolmente i propri diritti data protection e, loro tramite, acquisire ulteriori informazioni ed esercitare il potere di controllo e parzialmente dispositivo sui propri dati personali.
Il data sharing avente ad oggetto dati personali è un trattamento e, come tale, deve trovare giustificazione in una specifica base legale (art. 6, GDPR); qualora i dati rientrino nella speciale categoria di sensibilità, si dovrà avere cura di verificare che l’attività programmata risponda anche a uno dei casi di deroga dal divieto di utilizzare tale tipologia di dati (art. 9).
Limitandoci al data sharing in ambito privatistico e considerando l’eventualità che la “messa a disposizione” dei dati venga effettuata per perseguire una finalità diversa da quella originaria, eccettuato il solo caso di compatibilità di tale scopo con quello iniziale, la base legale della comunicazione tra titolari cadrà nella maggioranza dei casi sul consenso specifico dell’interessato (esplicito, in ipotesi di dati di cui all’articolo 9 del GDPR).
Pertanto, poiché l'organizzazione “A” desidera condividere i dati con l'organizzazione “B” per un nuovo scopo, “A” deve notificare agli interessati il nuovo scopo e ottenere il loro consenso. Agli interessati deve essere concesso di revocare il proprio consenso se non desiderano più che i propri dati personali vengano condivisi a tale scopo.
Nel contesto della condivisione dei dati, in particolare per attività come l'analisi dei big data, a volte può essere difficile per le organizzazioni determinare le finalità della condivisione dei dati all'inizio e far sì che il consenso ottenuto in fase di raccolta dati possa valere anche per la successiva condivisione.
Nel contesto della condivisione dei dati, in particolare per attività come l'analisi dei big data, a volte può essere difficile per le organizzazioni determinare le finalità della condivisione dei dati all'inizio e far sì che il consenso ottenuto in fase di raccolta dati possa valere anche per la successiva condivisione.
In tali circostanze, potrebbe essere implementato un approccio dinamico per ottenere il consenso. Invece di una casella di spunta di conformità una tantum, la presa del consenso può essere una scelta continua e gestita attivamente, con opzioni granulari offerte agli interessati in vari "punti di contatto". Ciò consente di utilizzare (o riutilizzare) lo stesso insieme di dati personali con la consapevolezza e il consenso degli interessati ogni volta che le finalità della raccolta, dell'utilizzo o della divulgazione dei dati personali cambiano. Gli individui, a loro volta, avranno un maggiore controllo sulle loro preferenze di consenso (cioè gli individui possono scegliere di dare o ritirare il proprio consenso) e sono più propensi a fare scelte più informate quando il loro consenso viene ottenuto in momenti appropriati.
In conclusione, si ha data sharing - nell’accezione propria del data economy - quando il destinatario dei dati riceve (dal fornitore) i dati per un loro utilizzo a propri fini; quindi, per aversi “data sharing” occorrono i seguenti due elementi:
La messa a disposizione dei dati personali da parte di un fornitore terzo (messa a disposizione).
L’utilizzo dei dati da parte del ricevente, nel proprio esclusivo interesse (uso in proprio).
Quanto appena chiarito consente di distinguere il termine “sharing”, nell’accezione del data economy, da quelli di “trasferimento”, “condivisione” e “accesso”, nel significato assunto da tali termini nel contesto data protection.
Difatti, per aversi “sharing” non occorre che i dati siano materialmente trasferiti dal fornitore al destinatario, in quanto è sufficiente che quest’ultimo ne abbia la disponibilità: l’interconnessione con un data set – ad esempio – produce lo sharing dei dati in esso contenuti tra i soggetti interconnessi, senza che si abbia un trasferimento degli stessi.
Quanto al termine “condivisione” – sebbene esso sia la traduzione letterale più prossima a quello inglese di “sharing” – esso implica un significato di “comunanza” che prevale, sino ad escludere, quello di “messa a disposizione”: infatti, nella “condivisione” (il cui esempio tipico nel data protection è fornito dalla contitolarità), il dato non è “messo a disposizione” di un destinatario, in quanto esso è già nella disponibilità “congiunta” o “condivisa” delle parti interessate (i contitolari). Di conseguenza, nella contitolarità non si ha “sharing” di dati personali (nell’ accezione propria del data economy) fra i contitolari.
In aggiunta, lo “sharing” di dati non necessariamente implica l’accesso ai dati personali né tanto meno si identifica con esso, in quanto la titolarità del trattamento non presuppone forzosamente il materiale accesso ai dati personali da parte del titolare (in tal senso, EDPB 8/2020 sul targeting degli utenti dei social media par. 47, che richiama in ambio di contitolarità le decisioni della CGUE Wirtschaftsakademie , C-210/16, punto. 38 e Testimoni di Geova, C-25/17, par. 69).
Esempi tipici di data sharing nel contesto data protection sono i credit bureau (come il SIC), i servizi centralizzati antifrode, i CRM condivisi tra consociate di uno stesso gruppo societario. Nella maggioranza dei casi si registra la presenza di un intermediario (che nel gruppo aziendale può essere la casa madre o una delle consociate) con compiti di gestione della piattaforma comune che raccoglie ed elabora i dati condivisi.
Altro esempio di data sharing nel contesto data protection con rapporto di reciprocità tra fornitore di dati ed utilizzatore è quello tra una banca e un operatore di telecomunicazioni per comprendere meglio le esigenze di una base clienti comune e fornire soluzioni, esperienze e offerte più pertinenti, tratto dal lavoro “Trusted data sharing framework” di SG:D, IMDA e Commissione Protezione Dati di Singapore.
Dal punto di vista dei ruoli soggettivi, portando a conseguenza quanto indicato in precedenza, il “data sharing” nel contesto del data economy – e quando esso riguarda dati personali – si realizza tra autonomi titolari del trattamento. Se l’operazione include la partecipazione di un intermediario dei dati e questi utilizza i dati personali oggetto di sharing per conto delle parti o di una di esse, l’intermediario assume il ruolo di responsabile del trattamento del titolare per conto del quale agisce.
Nel contesto della data economy, il data sharing deve soddisfare alcune regole e principi che, qualora esso riguardi anche dati personali, si aggiungeranno a principi e regole del GDPR e della normativa data protection: eventuali restrizioni d’uso, l’allocazione delle responsabilità per inadempimento contrattuale o altre forme di responsabilità, riservatezza delle informazioni, durata dell’accordo, legge applicabile.
Tuttavia, i principali aspetti da disciplinare nella dimensione economica del data sharing sono:
La concessione di diritti d’uso sui dati messi a disposizione
La modalità di risoluzione delle controversie eventualmente insorte tra le parti.
Nel contesto della data economy, il fornitore di dati non solo ne ha il possesso ma ha anche la legittima disponibilità degli stessi; cioè è legittimato ad utilizzarli e a farli utilizzare da terzi destinatari. Tale legittimità viene assicurata:
in presenza di dati personali, dal rispetto di principi e regole data protection
per i dati non-personali, dal godimento di diritti di proprietà intellettuale su tali informazioni (ad es. il diritto sui generis sulla banca dati).
L'autorizzazione a utilizzare i dati per lo scopo previsto dal fornitore di dati all’utilizzatore di dati è generalmente concessa sotto forma di licenza e può includere la proprietà di dati derivati. In altri termini, l’utilizzatore che eventualmente generasse un set di dati attraverso l'analisi o la compilazione dei dati forniti da un fornitore di dati, potrebbe vantare la proprietà (o una quota di proprietà) dei dati derivati, come eventualmente previsto nel contratto di licenza.
Nell’eventualità insorgano controversie tra i fornitori di dati e i destinatari dei dati – ad esempio, relative al pagamento, alla violazione dei termini della licenza o alla violazione di altri termini concordati – il contratto disciplinerà, o raccomanderà alle parti di concordare, semplici procedure di escalation per garantire che all'interno di ciascuna organizzazione una controversia riceva un'attenzione da parte di responsabili di rango sufficientemente elevato, al momento opportuno e che le parti dispongano di procedure per rispondere rapidamente ai problemi per limitare le perdite. Allo stesso modo, le parti dovrebbero concordare come risolvere le controversie in cui la risoluzione amichevole non viene raggiunta dopo un'adeguata escalation.
ROSARIO IMPERIALI D'AFFLITTO
Aderisci a Officine Dati e diventa insieme a noi portavoce della tutela e della valorizzazione dei dati.