//

Data 
Governance Act
– 2

Torna agli articoli

Riprendiamo l’analisi del Regolamento UE detto Data Governance Act, esaminando il servizio di riutilizzo dei dati detenuti da enti pubblici e le sue implicazioni con la disciplina sulla protezione dei dati personali.

Per stabilire quale sia la disciplina del GDPR applicabile al governo dei dati occorre distinguere tra:

  1. Riutilizzo dei dati detenuti da enti pubblici
  2. Servizi di intermediazione dei dati
  3. Servizi di altruismo dei dati.

1. Riutilizzo di dati detenuti da enti pubblici

Il Capo II del DGA affronta il tema della messa a disposizione di dati protetti del settore pubblico per il riutilizzodegli stessi all’interno dell’Unione. Il regolamento definisce il “riutilizzo” come «l’utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell’ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti (…)» 

art. 2, 2)
.

Il riutilizzo (cioè, concedere l’accesso ai dati per il riuso da parte di terzi) è una facoltà concessa dalla normativa nazionale agli enti pubblici; quando essa è riconosciuta, gli enti rendono pubbliche le condizioni e la procedura di richiesta attraverso uno sportello unico e possono essere assistiti da organismi competenti di assistenza.

Il riutilizzo di “dati personali” in possesso degli enti pubblici solleva il problema della conciliazione tra i due regimi. L’articolo 1(3) del DGA precisa che il GDPR si applica a qualsiasi utilizzo di dati personali che rientri nell’ambito applicativo del regolamento sul governo dei dati ed aggiunge che, in caso di conflitto tra le due disposizioni, prevale il GDPR insieme alle pertinenti norme nazionali di attuazione.

Preventiva anonimizzazione dei dati

Per risolvere questo aspetto alla radice, il DGA condiziona la concessione dell’accesso per il riutilizzo alla preventiva anonimizzazione dei dati personali da parte dell’ente pubblico o dell’organismo competente 

art. 5(3), lett. a), punto i) del DGA
; in tal modo, le successive operazioni effettuate dall’utente dei dati non ricadono nell’ambito applicativo del GDPR e delle leggi nazionali di adeguamento. L’utente dei dati, dal suo canto, ha l’obbligo di non effettuare alcun tentativo di re-identificazione dei dati anonimizzati 
art. 5(5) DGA
.

La base giuridica per l’operazione di trattamento consistente nell’anonimizzazione non è individuata in modo specifico ma potrebbe ritenersi che tale finalità secondaria – cioè trasformare i dati personali in non-personali per il riutilizzo – possa venir considerata come finalità compatibile ai sensi dell’articolo 5(1)(b) GDPR, senza che essa richieda pertanto una nuova base giuridica.

Riutilizzo di dati personali

Qualora l’operazione di anonimizzazione non risulti praticabile, il riutilizzo riguarderà informazioni che preservano la loro natura di dati personali. Questa eventualità causa la piena applicazione del GDPR e non sembra richiamata in modo esaustivo nel DGA.

Operazioni di trattamento di dati personali

l riutilizzo dei dati personali detenuti da enti pubblici comporta in teoria due tipi di trattamenti:

  • la comunicazione dei dati dall’ente pubblico a terzi (utenti dei dati) per finalità differenti dallo scopo iniziale
  • il trattamento effettuato dall’utente dei dati per propri fini commerciali o non commerciali.

In entrambi i casi, il trattamento dei dati personali deve sempre fondare su una delle basi giuridiche dell’articolo 6 GDPR e sulle deroghe dell’articolo 9, quando esso abbia per oggetto categorie particolari di dati personali.