Conseguenze del “Data Governance Act” sulla normativa privacy

A decorrere dal 24 settembre 2023 è diventato applicabile in ciascuno degli Stati membri – in modo obbligatorio ed in tutti i suoi elementi – il Regolamento (UE) 2022/868 del 30 maggio 2022 denominato “Data Governance Act”.

L’obiettivo di quest’articolo è far chiarezza non tanto sul Regolamento in sé per sé, quanto piuttosto su come questo si ponga nei confronti della normativa vigente in materia di privacy, ovverosia il GDPR – Regolamento europeo 679/2016 –, il Regolamento 2018/1725, le direttive 2002/58/CE e 2016/680 e, con riferimento al nostro ordinamento, il Codice privacy per come modificato ed integrato ad opera del D.lgs. 101/2018.

Per comprendere bene l’argomento è necessario un previo breve cenno sull’intento che ha spinto il legislatore europeo ad emanare tale regolamento. La ratio risiede nell’idea, poi divenuta consapevolezza, che i dati raccolti o generati dagli enti pubblici, possono concretamente apportare benefici alla società, ovviamente laddove riutilizzati nell’ottica del bene comune. Ed è proprio il termine riutilizzo a fare da perno nelle disposizioni ivi dettate, dal momento che si mira ad ampliare gli scopi per cui questi vengono raccolti, in modo da poter fornire prodotti e servizi migliori di quelli di cui si dispone attualmente.[1] I dati di cui si parla[2] son quelli protetti per motivi di “a) riservatezza commerciale, compresi i segreti commerciali, professionali o d’impresa; b)  riservatezza statistica; c)  protezione dei diritti di proprietà intellettuale di terzi; o d)  protezione dei dati personali, nella misura in cui tali dati non rientrano nell’ambito di applicazione della direttiva (UE) 2019/1024”[3] e si tratta, come già detto, di dati protetti e detenuti da enti pubblici.[4]

Naturalmente il tutto avverrebbe all’insegna di una precisa regolamentazione atta ad essere tecnicamente efficiente ed a garantire sicurezza nella fase di riutilizzo, onde evitare impatti controproducenti sull’economia, idonei a creare significative distorsioni di mercato. Proprio per questo nel DGA sono dettate delle condizioni per poter riutilizzare questa tipologia di dati, le cui principali categorie potrebbero essere così schematizzate: facoltatività e trasparenza; – non discriminazione e proporzionalità; – riutilizzo non anticoncorrenziale; – sicurezza del riutilizzo; – residualità del consenso; – tariffe eque.

Introdotto l’argomento rimane ora da capire se sussistono profili di incompatibilità con la normativa vigente e, in caso di risposta positiva, quale debba essere la norma di rango primario.

Sicuramente tra DGA[5] e GDPR, è agevole notare come sia diverso proprio l’approccio con cui i due regolamenti si pongono nei confronti dell’uso dei dati personali. Mentre infatti da una parte il primo spinge per aumentare gli scopi di utilizzo degli stessi, dall’altra il secondo fa pressione nella direzione opposta, avendo come focus un intento protezionistico e dunque volto a limitarne l’uso al fine di evitare pregiudizi per gli interessati. A prima vista allora potrebbe apparire un controsenso la mossa appena fatta dal legislatore, ma soffermandosi ad una più attenta analisi si comprende come appaia tale solo escludendo l’attenzione dello stesso volta alla definizione di un sistema idoneo a garantirne un’adeguata protezione. Si pensi infatti alla previsione, interna al regolamento, di un modulo di consenso volto non solo a facilitare l’acquisizione dei dati, ma anche a consentire agli interessati di poter esprimere positivamente o revocare il proprio consenso sulle operazioni per cui questi vengono raccolti; o ancora all’utilizzo di metodi all’avanguardia volti a garantire la protezione della vita privata.

Quanto appena detto dimostra la chiara volontà del legislatore europeo di voler instaurare un’armonica coesistenza tra gli intenti del DGA e le tutele predisposte dal GDPR, basti pensare a quanto sancito all’art. 1 del Regolamento 2022/868. Il disposto normativo appena richiamato infatti, evidenzia come il regolamento non vada a pregiudicare “i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo.” ed aggiunge che “In caso di conflitto tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell’Unione, prevale il pertinente diritto dell’Unione o nazionale in materia di protezione dei dati personali.”

In conseguenza, dunque, di quanto appena rilevato, in caso di contrasto tra DGA e GDPR – come anche tra DGA e normativa nazionale – non sarà certamente il primo a prevalere; ma sicuramente all’entrata in vigore di questo seguirà un periodo di assestamento necessario, durante il quale sarà possibile valutare quanto il diverso approccio alla materia, da parte dei due Regolamenti, e la diversa finalità propria di ognuno, andrà ad incidere sulla pacifica convivenza.

[1] Si pensi, a mero titolo esemplificativo, al potenziale insito dei dati raccolti in ambito sanitario laddove, qualora riutilizzati, si prevede un risparmio di circa 120 miliardi di euro all’anno nel settore sanitario. O ancora nel settore manifatturiero, laddove si prevede che tale strumento contribuirà a generare 1,3 trilioni di euro di aumento della produttività entro il 2027.

[2] Identificati all’art. 2 del Regolamento in commento come “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva.”

[3] Art. 3 Regolamento (UE) 2022/868.

[4] Ovviamente dietro alla ratio della norma vi è sempre e comunque l’intento del legislatore europeo di dettare una disciplina comune a tutti gli Stati membri al fine di evitare discrepanze nel disciplinare medesime fattispecie.

[5] Acronimo di Data Governance Act.

The following two tabs change content below.

• Bio
• Latest Posts

Avv. Emmanuele Zappatore

Avvocato

Latest posts by Avv. Emmanuele Zappatore (see all)

• Adempimenti fiscali nel sequestro antimafia - 26 June 2024
• Limiti dell’accesso del socio e conseguenze del recesso dalla compagine sociale - 5 December 2023
• Conseguenze del “Data Governance Act” sulla normativa privacy - 6 October 2023