loader image
Data Governance Act: nuova vita ai Dati Europei

Data Governance Act: nuova vita ai Dati Europei

I 3 pilastri del Data Governance Act

Ancora oggi sono pochi gli enti (pubblici e privati), in grado di sfruttare il potenziale effettivo dei dati: infatti il Data Governance Act, nella versione proposta dalla Commissione Europea lo scorso 25 novembre, vuole promuovere un cambio di rotta su questo fronte.

L’obiettivo dichiarato è proprio quello di ottimizzare il valore dei dati, anche di quelli che non sono disponibili come Open Data, favorendone la circolazione per mezzo di attori qualificati e strumenti di tutela che ne garantiscano una condivisione sicura all’interno di un mercato unico digitale.

Per poter raggiungere un obiettivo così temerario, la proposta di Regolamento si fonda su 3 pilastri, i quali sono volti a sorreggere l’intero ecosistema del Data Governance Act pensato dalla Commissione Europea.

  1. Il Primo Pilastro del Data Governance Act definisce le regole che disciplinano le condizioni di riuso di certe categorie di dati in possesso degli enti del settore pubblico.
  2. Il Secondo Pilastro del Data Governance Act prevede invece i meccanismi di condivisione dei dati (cosiddetta Data Sharing), con l’ingresso di fornitori dediti a tali servizi di intermediazione.
  3. Infine il Terzo Pilastro del Data Governance Act definisce il concetto di Data Altruism, ossia la raccolta e il trattamento di dati resi accessibili a terzi per fini altruistici da parte di imprese o persone fisiche.

 

Data Governance Act e Primo Pilastro: il riuso dei Dati

Perché la Commissione Europea prende in considerazione i Dati in possesso degli enti pubblici per un loro eventuale riuso?

Il concetto si ricollega ad una idea di base molto nobile: i dati generati o derivati dall’utilizzo di soldi pubblici devono portare benefici a tutta la società.

Le categorie di dati a cui potranno applicarsi le condizioni di riuso definite dalla Commissione Europea saranno quindi quelli in possesso degli enti pubblici (ad esempio lo Stato, gli enti regionali o locali) e in particolare quei dati protetti da ragioni di privacy o proprietà intellettuale e/o industriale.

L’obiettivo è dunque quello di sfruttarne il valore statistico e/o di ricerca, evitando che restino giacenti negli archivi fisici o telematici della pubblica amministrazione.

Il Regolamento del Data Governance Act inoltre prevede divieti circa accordi di esclusiva per il riutilizzo di alcuni dati, scongiurando possibili accordi bilaterali che potrebbero nuocere al principio di concorrenza.

L’accordo è infatti ammesso solo se giustificato e necessario per la fornitura di un servizio di interesse generale.

data governance act e commissione europea

 

Data Governance Act e Secondo Pilastro: i meccanismi di condivisione dei Dati (Data Sharing)

Due sono gli scenari possibili: la condivisione di dati pretrattati o la condivisione di dati non pre-trattati in ambienti protetti.

  • In relazione al primo meccanismo di condivisione, i dati personali dovrebbero essere anonimizzati o almeno pseudonimizzati prima della loro trasmissione.
  • Mentre per i dati non personali è necessario eliminare le informazioni commerciali a carattere confidenziale. Solo in seguito a tale pre-trattamento, i dati potranno essere trasmessi a favore di chi ne fa richiesta (il re-user).

Ci sono casi però in cui il pre-trattamento potrebbe mettere a rischio le finalità di riuso del richiedente o pregiudicarne l’efficacia. Un esempio potrebbe essere quello di un ente di ricerca che necessita di dati genetici in chiaro.

In situazioni come questa l’uso dei dati potrebbe essere concesso – anche in assenza di un pretrattamento – ma in ambienti protetti e controllati – in questo caso dall’ente pubblico – e accessibili anche da remoto.

Se però queste garanzie non fossero sufficienti per un riuso dei dati in sicurezza, gli enti pubblici dovranno adoperarsi per acquisire il consenso degli interessati – in favore del re-user – o le autorizzazioni necessarie presso le aziende coinvolte.

La trasmissione dei dati può avvenire anche a favore di un re-user che intende trasferirli verso Paesi terzi. In tal senso, la trasmissione potrà avvenire senza particolari problemi nei confronti di Paesi terzi già ritenuti adeguati dalla Commissione UE, con un livello di protezione delle informazioni confidenziali equivalente a quello presente in Europa.

Laddove il trasferimento sia diretto ad un Paese non adeguato, il re-user dovrà impegnarsi personalmente a garantire, nei confronti dell’ente pubblico che possiede i dati, il medesimo standard di sicurezza sancito dal Regolamento.

 

Data Governance Act e Terzo Pilastro: condividere i dati per fini altruistici (Data Altruism)

Il Regolamento del Data Governance Act dedica una parte al concetto di Data Altruism – ovvero la possibilità di utilizzare dati resi accessibili in maniera volontaria da aziende o persone fisiche – per finalità di interesse generale.

Il trattamento e la raccolta di questi dati viene affidata ad apposite organizzazioni (Data Altruism Organizations), riconosciute dall’Unione Europea e segnate in un apposito registro tenuto dalla Commissione Europea.

Il concetto di Data Altruism vuole avere un forte impatto nel mondo della ricerca, sarà necessario quindi fare affidamento sul consenso degli interessati qualora siano persone fisiche.

Si è pensato infatti ad un modulo uniforme di consenso a livello europeo per il Data Altruism nel quale dovranno essere indicate le modalità di trattamento dei dati personali e le rispettive basi giuridiche.

L’impatto del Data Governance Act

È indiscutibile che dal Regolamento del Data Governance Act emerga una nuova concezione di economia digitale volta a creare uno spazio comune nel quale i dati rappresentano un patrimonio non solo a fini commerciali e privatistici ma anche di interesse comune.

La Commissione Europea ha fatto la sua proposta, ora si dovrà solo attendere un accordo tra Parlamento Europeo e Consiglio Europeo, nella speranza che non vengano intaccati i principi di trasparenza e di massima valorizzazione dei dati.

PHISHING: attenzione alle mail sospette

PHISHING: attenzione alle mail sospette

Quando si apre la casella di posta capita spesso di trovare alcune mail apparentemente “normali” ma con alcuni dettagli che non vanno (ad esempio: errori marchiani di ortografia, problemi di formattazione testo, link lunghissimi e incomprensibili anticipati da un “clicca qui”, indirizzo mail del mittente non riconducibile all’estensore della mail, ecc.). Nonostante molte riproducano fedelmente la grafia e il contenuto delle mail e Pec inviate da Agenzia delle Entrate oppure dalla propria banca, o ancora da Poste o Enel, è possibile che ci si trovi di fronte ad una frode informatica: il c.d. Phishing.

Tale tecnica è utilizzata da soggetti chiamati Phisher per ottenere informazioni e dati personali del destinatario della mail (ad esempio, nome, cognome e documento d’identità; le credenziali della carta di credito o del conto corrente; Username e Password per accedere all’Home Banking o ad archivi contenenti informazioni lavorative segrete o riservate; ecc) al fine di riutilizzarli nei più svariati modi: concludendo contratti, effettuare pagamenti, trasferire denaro, oppure rubare informazioni fondamentali sul piano lavorativo, il tutto “spacciandosi” per il reale titolare dei dati e senza destare alcun sospetto.

Quando ci si accorge di essere stati vittima di Phishing (es.: movimenti strani nel conto corrente oppure vi vedete recapitare fatture per prestazioni mai richieste), il primo passo è quello di denunciare tempestivamente l’accaduto alle Autorità.
E’ inoltre possibile, in particolari casi di “attacco” al proprio conto corrente e di mancato rispetto di adeguati standards di sicurezza da parte dell’istituto di credito, chiedere il ristoro integrale delle somme alla propria banca (sarà possibile altresì, solamente nei casi concessi, rivolgersi all’ABF – Arbitrato Bancario Finanziario).
Nel caso invece di notifica di contravvenzioni stradali senza tuttavia essere mai stati nel luogo dell’indicata violazione (potrebbe essere stata rubata la vostra targa oppure noleggiata una vettura on line utilizzando la vostra carta d’identità) si dovrà immediatamente procedere con l’impugnazione del verbale, denunciando contestualmente il furto e utilizzo illecito dei dati.