Il valore dei dati non personali per PA e aziende e l’emersione di mercati innovativi e competitivi

Introduzione

L’Unione Europea ha assunto una posizione chiara e distintiva rispetto al tema della circolazione dei dati: realizzare un mercato unico digitale europeo in cui i dati (oltre che le persone, i capitali, i beni ed i servizi) possano circolare liberamente e rendere l’Europa competitiva e sovrana dei propri dati.

All’interno di questo obiettivo si collocano le politiche, gli studi e gli interventi normativi delle istituzioni europee, quali, per esempio, il Regolamento (UE) 2018/1807 che intende assicurare la libera circolazione dei dati non personali nell’UE, eliminando le restrizioni geografiche sull’elaborazione e sull’archiviazione dei dati non personali, salvo ragioni imperative di pubblica sicurezza. 

Grazie a questo Regolamento, le pubbliche amministrazioni e le aziende sono in grado di determinare liberamente come utilizzare i dati non personali all’interno del territorio europeo e di quale fornitore di servizi cloud servirsi, certi dell’applicazione di requisiti di sicurezza e privacy standard.

Per mercato dei dati si intende lo scambio di dati digitali relativi a prodotti e servizi, a partire dall’estrazione e lo sviluppo di dati grezzi. Esso comprende il valore generato dai servizi informatici, dalla ricerca sui dati e dalle imprese.

Dal momento dell’applicazione del Regolamento sui dati non personali, quali mercati sono emersi? Qual è il valore potenziale del mercato dei dati non personali? E quali ostacoli necessitano di essere abbattuti e quali strategie di essere attuate per facilitarne lo sviluppo?

Tutti questi quesiti sono stati affrontati in un recente studio, intitolato “The emergence of non-personal data market”, richiesto dalla Commissione Industria, Ricerca ed Energia del Parlamento Europeo (ITRE) al fine ultimo di garantire condizioni migliori per la condivisione dei dati.

Lo studio affronta aspetti prettamente economici e di mercato, qui ci limiteremo a dare rilievo ai profili giuridici trattati.

Il concetto di dati non personali

I dati non personali sono definiti in negativo rispetto ai dati personali perché sono quei dati che non si riferiscono a persone fisiche identificate o identificabili ai sensi dell’articolo 4, paragrafo 1, del GDPR.

Di conseguenza, compongono il genere dei dati non personali:

1. I dati che non sono mai stati associati, direttamente o indirettamente, a persone fisiche. Si pensi, per esempio, ai dati generati nell’ambito di processi di produzione, ai dati sulle esigenze di manutenzione di macchine industriali o ai big data;
2. I dati che in origine erano considerati personali ma che, a seguito di un processo tecnico di anonimizzazione, non consentono più l’identificazione della persona fisica. Questi dati generano alcune incertezze che dipendono dalla validità e dall’efficacia della tecnica di anonimizzazione stessa.  A tal proposito, il Comitato ITRE ha promosso la stesura di una guida dettagliata a livello europeo che possa fornire standard comuni sulle tecniche di anonimizzazione e tenere indenni le organizzazioni che hanno tentato in buona fede di anonimizzare i loro dati;
3. I dati misti ovvero un insieme di dati composto da dati personali e dati non personali, come per esempio, i dati contenuti in un documento fiscale o in un CRM, o i dati relativi all’Internet delle cose. All’interno dei dati misti, laddove non sia possibile una separazione che consenta l’applicazione delle normative di riferimento si utilizza la maggior tutela, con conseguente applicazione del GDPR per l’intero set di dati misti. In questo senso, lo studio del Parlamento Europeo  invita, con l’elaborazione di apposite Linee guida, a risolvere i problemi di incertezza derivanti da un insieme di dati misti; una netta separazione dei dati personali da quelli non personali, infatti, potrebbe favorire un uso più trasparente dei dati, proteggendo di conseguenza ancora più efficacemente la privacy delle persone.

Accessibilità e flusso dei dati non personali

Il presupposto necessario per sfruttare pienamente il valore dei dati non personali è la presenza di un quadro giuridico chiaro che regoli l’accesso da parte di entità pubbliche e private ed il flusso dei dati non personali.

Tali dati riguardano trasversalmente diversi settori: la salute, la sicurezza alimentare, la mobilità, l’energia di pubblica utilità, l’ambiente, i trasporti, la finanza e così via. 

Anche la Strategia europea per i dati elaborata dalla Commissione Europea nel 2020 ha individuato alcuni “spazi di dati comuni europei” (che coincidono in parte con i settori prima indicati) esplicitando gli scopi da raggiungere e come l’uso dei dati sia in grado di contribuire allo sviluppo economico delle imprese e di migliorare la salute e il benessere, l’ambiente, la trasparenza della governance e i servizi pubblici.

Ad oggi, la principale disciplina in tema di circolazione dei dati non personali nell’Unione Europea è contenuta all’interno del succitato Regolamento (UE) 2018/1807 che si pone l’obiettivo di stimolare l’innovazione nel settore privato e aumentare l’efficienza nel settore pubblico. Le previsioni più importanti riguardano il divieto agli Stati membri dell’Unione europea di imporre degli obblighi di localizzazione dei dati (a meno che non rispondano ad esigenze di pubblica sicurezza), il diritto alla portabilità anche a favore degli utenti business e lo sviluppo di codici di condotta per il cloud computing.

Oltre al citato Regolamento, sono stati adottati a livello europeo una serie di altri importanti atti giuridici che concorrono alla realizzazione di un mercato unico dei dati di cui abbiamo già fornito una panoramica nel White Paper “Dove trovo e come uso i dati” cui si rinvia per approfondimento (scarica il white paper)

Gli ostacoli allo sviluppo dei mercati di dati non personali

Il Comitato ITRE, all’interno dello studio, ha individuato i fattori principali che ostacolano lo sviluppo dei mercati di dati non personali in relazione a ciascun settore esaminato (manifatturiero, energia, trasporti e mobilità). In linea generale, i rilievi comuni a tutti i settori sono i seguenti:

1. Mancanza di conoscenze informatiche e scarsa digitalizzazione dei processi necessari a consentire uno scambio sicuro dei dati tra i vari soggetti (in particolare nelle piccole e medie imprese);
2. Mancanza di interoperabilità tra i diversi sistemi utilizzati e mancanza di standard comuni che permettano di condividere agevolmente i dati;
3. Problemi di proprietà e riservatezza dei dati quando i dati vengono caricati su piattaforme che funzionano su una infrastruttura cloud generale;
4. Controllo limitato su chi utilizza i dati condivisi dalle organizzazioni attraverso uno spazio comune dei dati e problemi legati a pratiche anticoncorrenziali.

Possibili soluzioni e opportunità

Lo studio si chiude con una serie di raccomandazioni che includono soluzioni legislative e politiche per facilitare l’ulteriore sviluppo dei mercati dei dati non personali nell’Unione europea. 

Secondo il Comitato ITRE, sono sei le aree in cui sarebbe opportuno intervenire:

1. Disponibilità dei dati: è necessario estendere anche ad altri settori le misure di promozione della digitalizzazione e sviluppare strumenti per il monitoraggio dei progressi e per l’identificazione tempestiva dei problemi per le attività di digitalizzazione.
2. Accessibilità dei dati: è necessario fornire alle organizzazioni incentivi positivi e mitigare i disincentivi alla condivisione dei loro dati non personali. La legislazione europea dovrebbe prevedere dei modelli di compensazione chiari e coerenti rispetto a quelli già esistenti (come nel Digital Market Act) per evitare sovrapposizioni e contraddizioni.
3. Integrazione dei dati: è necessario creare degli standard comuni in relazione ai dati per consentire l’interoperabilità tra diverse piattaforme e servizi e lo scambio tra il settore pubblico e privato.
4. Sicurezza informatica: è un tema rilevante anche per la condivisione di dati non personali, tuttavia, il Comitato non ha individuato dei rischi di sicurezza informatica che non sono già coperti dalla legislazione esistente (Cybersecurity Act e la Direttiva NIS 1 e 2).
5. Pratiche anticoncorrenziali: è necessario che le autorità nazionali garanti della concorrenza e i tribunali nazionali acquisiscano una maggiore competenza digitale e sui dati affinché il diritto della concorrenza possa essere applicato anche all’interno dei mercati dei dati non personali. Potrebbero sorgere problemi di natura concorrenziale rispetto alla condivisione dei dati ma gli strumenti attualmente a disposizione, il Digital Market Act e il Data Act, risultano in grado di limitare il potere di mercato delle imprese dominanti.
6. Alfabetizzazione dei dati: è necessario intervenire ulteriormente sul problema della mancanza di specialisti qualificati e sulla limitata alfabetizzazione in tema di dati. Un primo passo è stato già fatto nell’ambito del “Piano d’azione per l’istruzione digitale 2021-2027” come parte dell’Agenda europea per le competenze ma serve implementare misure specifiche per i dati sia nell’istruzione che nalla formazione e nell’aggiornamento professionale.

Le implicazioni sul piano pratico e le prospettive

Lo studio del Parlamento Europeo, attraverso l’analisi di alcuni casi di studio, è riuscito nell’intento di identificare le opportunità di natura socioeconomica che possono essere generate dalla condivisione dei dati non personali nel territorio europeo.

I risultati chiave, in particolare, riguardano:

• la crescita economica, creando nuovi posti di lavoro, sviluppando nuove opportunità di mercato e di business e aumentando la produttività;
• l’agevolazione della transizione verde grazie allo sviluppo di soluzioni sostenibili e riducendo così l’impatto ambientale dei vari settori produttivi;
• il miglioramento dei servizi pubblici come l’istruzione, la sanità e i trasporti, ottimizzando per esempio, i percorsi con i mezzi pubblici;
• la protezione della privacy dal momento che un uso più trasparente dei dati comporta anche una protezione più efficace dei dati personali;
• il miglioramento della ricerca e dell’innovazione in vari campi quali la sanità, la scienza e la tecnologia con risvolti utili ad altri settori economici (si pensi all’ottimizzazione dei raccolti e alla sostenibilità dell’agricoltura).

I vantaggi sopra elencati permettono di comprendere meglio, non solo la direzione delle politiche europee, ma soprattutto le aree di azione prioritarie a cui dovrebbero prestare attenzione tutti gli operatori economici, pubblici e privati, che appartengono all’Unione Europea.

Valorizzare i propri dati, investire sulla formazione e l’aggiornamento del personale, rivolgersi a professionisti dei dati qualificati, adottare solidi modelli di organizzazione privacy, convertire i propri processi basandosi su soluzioni sostenibili, creare o avvalersi di servizi che garantiscano la portabilità e l’interoperabilità dei dati, rappresenta la chiave del futuro in questo mercato.