COMMISSIONE EUROPEA

Bruxelles, 25.4.2018

SWD(2018) 125 final

DOCUMENTO DI LAVORO DEI SERVIZI DELLA COMMISSIONE

Orientamenti sulla condivisione dei dati del settore privato


nell'economia europea dei dati

che accompagna il documento

Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni

"Verso uno spazio comune europeo dei dati"

{COM(2018) 232 final}

1. Introduzione

L'innovazione guidata dai dati è un motore essenziale per la crescita e l'occupazione in Europa. L'importanza dei dati raccolti online, il crescente rilievo dei dati generati da oggetti connessi all'Internet delle cose (Internet of Things, IoT), la sempre maggiore disponibilità di strumenti di analisi dei big data e l'affermarsi di alcune applicazioni di intelligenza artificiale rappresentano importanti catalizzatori tecnici. Data la natura non competitiva dei dati, per cui gli stessi dati possono sostenere molteplici nuovi prodotti e servizi o nuovi metodi di produzione, per le imprese può risultare conveniente condividere maggiori quantità di dati in loro possesso con altre imprese in modo da sfruttare al massimo il valore da essi derivante.

Nuovi modelli aziendali guidati dai dati e incentrati su tali catalizzatori tecnici rappresentano un'opportunità non solo per le grandi imprese, ma anche per le PMI e le start-up in Europa. Analogamente, il settore pubblico sta iniziando a cogliere le opportunità offerte dell'innovazione guidata dai dati. Le imprese possono già usufruire dell'accesso a informazioni del settore pubblico disponibili sotto forma di dati aperti 1 nonché della condivisione reciproca dei dati. Le PMI e le start-up, tuttavia, incontrano ancora varie difficoltà nel mettere a disposizione i propri dati oppure nel riutilizzare i dati provenienti da altre imprese, in particolare quando si tratta di dati non personali, generati da macchine. Analogamente, gli organismi del settore pubblico devono ammodernare le proprie modalità di funzionamento e sfruttare il potenziale delle nuove fonti di dati al fine di lasciarsi guidare maggiormente dai dati e migliorare l'efficienza in termini di costi. Ne trarranno beneficio sia i cittadini che le imprese, in particolare le PMI. Anche se in alcuni casi i servizi pertinenti fondati sui dati possono essere acquistati sul mercato, in altri casi il settore pubblico potrebbe dover analizzare direttamente i dati in possesso di un'impresa privata oppure avviare una regolare acquisizione dei dati, ad esempio a fini statistici ufficiali. Tali dati potrebbero non essere sempre accessibili al settore pubblico a causa di preoccupazioni riguardanti la riservatezza dei dati o dei rischi percepiti per gli interessi commerciali delle imprese. Le problematiche relative alla fornitura e al (ri)utilizzo dei dati ("condivisione dei dati") devono quindi essere affrontate in due situazioni: tra imprese (business-to-business, B2B) e tra imprese e pubblica amministrazione/settore pubblico (business-to-government, B2G).

La Commissione ha già proposto misure per migliorare la disponibilità dei dati per le imprese. Con il regolamento generale sulla protezione dei dati e la direttiva e-privacy 2 l'UE ha creato un quadro solido per il trattamento dei dati personali e dei dati relativi alle comunicazioni elettroniche al fine di generare un clima di fiducia digitale, presupposto essenziale per la condivisione dei dati. Tale quadro getta le basi per un futuro vantaggio competitivo che consentirà alle imprese europee di sfruttare al meglio le tecnologie dei dati. Inoltre, la proposta di regolamento relativo alla libera circolazione dei dati non personali 3 renderà più agevole il trasferimento di tali dati all'interno dell'UE.

Con la comunicazione "Costruire un'economia dei dati europea", del 10 gennaio 2017 4 , la Commissione ha fornito una prima descrizione delle potenziali problematiche di accesso ai dati, con particolare riguardo ai dati generati da macchine e alle relazioni tra piattaforma e imprese. Ha altresì sottolineato l'importanza di poter accedere ai dati del settore privato per fini di interesse pubblico.

Sulla base di tale comunicazione è stato condotto un ampio dialogo con i soggetti interessati, in cui si concludeva che la questione in esame non giustificava un intervento legislativo orizzontale in questa fase e che sarebbero risultati più opportuni degli orientamenti 5 . 

Nella comunicazione che questo documento di lavoro dei servizi della Commissione accompagna 6 , la Commissione definisce una serie di principi essenziali da considerare per garantire il buon esito delle interazioni tra imprese e tra imprese e pubblica amministrazione per tutte le parti coinvolte.

Inoltre, il presente documento di lavoro dei servizi della Commissione è finalizzato a fornire strumenti alle imprese che sono titolari o utilizzatrici dei dati, o entrambe le cose. A tal fine, esso contiene una guida sugli aspetti giuridici, commerciali e tecnici della condivisione dei dati che può essere utilizzata durante la valutazione e la preparazione dei trasferimenti di dati tra imprese appartenenti al medesimo settore o a settori differenti.

Gli orientamenti forniti dal presente documento sono rivolti trasversalmente a tutti i settori dell'economia. In conseguenza della differenza di struttura dei singoli mercati, può essere necessaria un'integrazione con misure specifiche per i singoli settori.

Infine, il presente documento non è destinato ad avere valenza giuridica e non pregiudica l'interpretazione del diritto dell'UE da parte della Corte di giustizia dell'Unione europea. Esso non vincola la Commissione per quanto riguarda l'applicazione del diritto dell'UE, in particolare le norme sulla concorrenza di cui agli articoli 101 e 102 del trattato sul funzionamento dell'Unione europea (TFUE).

2. Principi per la condivisione dei dati tra imprese (B2B) e tra imprese e pubblica amministrazione (B2G)

La comunicazione che il presente documento di lavoro dei servizi della Commissione accompagna 7 definisce i seguenti principi al fine di assicurare mercati equi per gli oggetti IoT e per i prodotti e servizi che si basano su dati creati da tali oggetti:

La comunicazione indica inoltre che il rispetto dei seguenti principi potrebbe favorire la fornitura di dati del settore privato a organismi del settore pubblico, a condizioni preferenziali, per il loro riutilizzo:

3. Condivisione dei dati tra imprese (B2B) – guida all'utilizzo

La fornitura e il riutilizzo dei dati nelle relazioni tra imprese possono assumere varie forme in termini di meccanismi tecnici e modelli commerciali sottesi e dello strumento giuridico alla base degli accordi di condivisione dei dati tra imprese. La presente sezione contiene maggiori dettagli in merito.

3.1. Modelli di condivisione dei dati tra imprese

I modelli commerciali sottesi alla condivisione dei dati possono variare notevolmente soprattutto in funzione della tipologia dei dati in questione e dell'interesse commerciale strategico. Essi possono andare da un approccio fondato su dati aperti a partenariati esclusivi in tema di dati con una sola parte.

a)Approccio fondato su dati aperti: quando il fornitore di dati è fortemente interessato al riutilizzo dei dati è possibile adottare un approccio fondato su dati aperti, in cui i dati in questione sono messi a disposizione di una gamma in linea di principio aperta di (ri)utilizzatori con restrizioni minime, a titolo gratuito oppure dietro remunerazione minima. È questo il caso dei fornitori di servizi che hanno intenzione di usufruire di un ecosistema di sviluppatori di applicazioni di terze parti al fine di raggiungere i clienti finali.

b)Monetizzazione dei dati su un mercato di dati: la monetizzazione o commercio dei dati può avvenire tramite l'intermediazione di un mercato di dati sulla base di contratti bilaterali a titolo oneroso. Può essere interessante per imprese che non conoscono potenziali riutilizzatori dei propri dati e che intendono intraprendere un'attività di monetizzazione dei dati una tantum. Tale meccanismo risulta idoneo nel caso in cui 1) sussistono rischi limitati di utilizzo illecito dei dati in questione, 2) il fornitore dei dati ha buoni motivi per fidarsi del (ri)utilizzatore, oppure 3) il fornitore dei dati dispone di meccanismi tecnici per prevenire o individuare gli usi illeciti. Clausole contrattuali tipo possono ridurre i costi di redazione degli accordi in materia di utilizzo dei dati.

Scambio dei dati su una piattaforma chiusa: lo scambio dei dati può avvenire su una piattaforma chiusa, istituita da un attore chiave in un ambiente di condivisione dei dati oppure da un intermediario indipendente. I dati in questo caso possono essere forniti in cambio di una retribuzione monetaria oppure di servizi a valore aggiunto erogati ad esempio all'interno della piattaforma. Tale soluzione consente di offrire servizi a valore aggiunto garantendo così una soluzione più completa per partenariati in tema di dati più stabili e permettendo il ricorso a un maggior numero di meccanismi di controllo sull'utilizzo dei dati; clausole contrattuali tipo possono ridurre i costi di redazione degli accordi in materia di utilizzo dei dati. Qualora la condivisione dei dati sia di natura esclusiva, occorre garantire la conformità alle norme sulla concorrenza 9 .

Tali modelli possono essere soggetti a modifiche e combinazioni e devono essere adattati alle reali esigenze commerciali. Il termine "condivisione dei dati" è utilizzato per descrivere tutte le forme e i modelli possibili alla base dell'accesso ai dati o del relativo trasferimento tra imprese.

3.2. Gli aspetti giuridici della condivisione dei dati: accordi di licenza o di utilizzo dei dati

La condivisione dei dati tra imprese avviene generalmente sulla base di contratti. Negli accordi di licenza o di utilizzo dei dati le parti concordano l'oggetto e il valore del contratto nonché tutte le altre modalità stabilite nelle clausole contrattuali. Gli accordi di monetizzazione dei dati possono essere bilaterali o anche essere conclusi tra molteplici parti.

La definizione delle clausole contrattuali pertinenti per gli accordi di licenza o di utilizzo dei dati richiede particolare attenzione al fine di rispettare la normativa vigente, in particolare la normativa che impedirebbe la condivisione dei dati o la subordinerebbe a condizioni specifiche, nonché di garantire la tutela degli interessi strategici di ciascuna parte e della concorrenza.

Sono già in corso di elaborazione clausole contrattuali tipo per diversi accordi di condivisione dei dati e per alcuni settori o tipologie di condivisione. La Commissione, tramite un centro di supporto per la condivisione dei dati che sarà operativo all'inizio del 2019, prevede di raccogliere migliori prassi, clausole contrattuali tipo esistenti e liste di controllo 10 . 

Le seguenti considerazioni potrebbero essere d'aiuto per le imprese nella preparazione e/o negoziazione degli accordi in materia di utilizzo dei dati.

a)Quali dati vanno resi disponibili?

-Descrivere i dati che si intende condividere il più concretamente e precisamente possibile (ad es. dati R&S, dati dei clienti, dati diagnostici), compresa l'entità degli aggiornamenti previsti in futuro. Quando insieme ai dati sono condivise risorse interpretative per consentirne l'analisi (ad es. metodi, modelli), queste devono essere descritte.

-Quale livello di qualità è possibile garantire per i dati, anche nel corso del tempo? I dati condivisi devono essere di buona qualità, ossia accurati, affidabili e, ove necessario, aggiornati. Garantire che non vi siano dati mancanti, duplicati o non strutturati. Specificare la fonte/origine dei dati e come sono stati raccolti/compilati. È possibile prevedere un meccanismo di segnalazione di errori nei dati.

-La condivisione riguarda un insieme di dati o un flusso di dati?

-Garantire il rispetto degli obblighi giuridici che potrebbero impedire a terzi l'accesso ai dati in questione o il relativo trasferimento. Garantire il rispetto degli eventuali diritti di terze parti sui dati. Verificare i diritti sui contenuti rappresentati dai dati (diritti di proprietà intellettuale e industriale).

-Garantire il rispetto della normativa in materia di protezione dei dati. Verificare, tra l'altro, l'esistenza di una base giuridica per il trattamento dei dati personali in linea con il regolamento generale sulla protezione dei dati.

b)Chi può accedere ai dati in questione e (ri)utilizzarli?

-Garantire che il contratto definisca in maniera trasparente, chiara e comprensibile chi ha il diritto di accedere ai dati, di (ri)utilizzarli e distribuirli e a quali condizioni. Specificare se e come può essere concessa una licenza per il riutilizzo dei dati. Spiegare chiaramente le condizioni delle licenze per il riutilizzo e la distribuzione dei dati. Occorre anche prendere in considerazione le sublicenze, prevedendone esplicitamente l'esclusione oppure specificando le condizioni alle quali sono consentite e per quali tipologie di dati.

-Il diritto di accesso e di (ri)utilizzo dei dati non deve essere necessariamente illimitato. L'accordo può, ad esempio, limitare il diritto di accesso solo ai membri di specifici gruppi professionali (ad es. agricoltori) oppure vincolarlo a determinate finalità di utilizzo (ad es. per un limitato uso commerciale).

c)Cosa può fare l'utilizzatore (o riutilizzatore) con i dati?

-Nei negoziati contrattuali, il (ri)utilizzatore dovrebbe illustrare il più possibile apertamente e chiaramente le modalità di utilizzo dei dati, anche dalle parti a valle, in modo da garantire la trasparenza e aumentare la fiducia del fornitore dei dati.

-Specificare l'esatto utilizzo che può essere fatto dei dati, compresi i diritti sui derivati dei dati (analisi).

-Definire norme di riservatezza relative alle parti a valle.

d)Definire gli strumenti tecnici per l'accesso ai dati e/o il loro scambio, tra cui

-la frequenza di accesso ai dati e il carico massimo;

-i requisiti di sicurezza informatica;

-i livelli di servizio per l'assistenza.

e)Quali dati occorre proteggere e come?

-Assicurarsi che siano in atto misure adeguate per la protezione dei dati. Tali misure devono applicarsi alle operazioni di condivisione dei dati e alla memorizzazione dei dati in quanto essi possono essere soggetti a furto o uso improprio da parte di gruppi di criminalità organizzata o singoli hacker. I dati possono anche essere divulgati accidentalmente, ad esempio per un errore umano o un problema tecnico. I dati possono essere altresì soggetti ad un accesso o una divulgazione non autorizzati o possono andare perduti.

-Garantire la protezione di segreti commerciali, informazioni sensibili sotto il profilo commerciale, licenze, brevetti, diritti di proprietà intellettuale. Nessuna parte deve cercare di ottenere informazioni sensibili dall'altra parte in seguito agli scambi di dati.

f)Inserire regole concernenti le disposizioni in materia di responsabilità per fornitura di dati errati, interruzioni nella trasmissione dei dati, lavoro interpretativo di scarsa qualità, se condiviso unitamente agli insiemi di dati, oppure distruzione/perdita o alterazione dei dati (se illecita o accidentale) che potrebbero arrecare potenziali danni.

g)Definire i diritti di entrambe le parti di effettuare verifiche in merito all'ottemperanza agli obblighi reciproci.

h)Qual è la durata prevista del contratto? Quali sono i diritti di recesso dal contratto? Quale preavviso occorre concedere ai partner?

i)Concordare la normativa applicabile e i meccanismi di risoluzione delle controversie.

3.3. Gli aspetti tecnici della condivisione dei dati

Esistono diversi meccanismi tecnici per condividere dati tra imprese. Alcuni di questi meccanismi possono fornire norme di utilizzo dei dati offrendo al contempo un ambiente sicuro e affidabile per lo scambio di insiemi di dati 11 .

Si possono distinguere tre tipi di meccanismi: a) il titolare dei dati rende dati selezionati direttamente disponibili a un vasto numero di riutilizzatori, ad esempio tramite un'interfaccia per programmi applicativi; b) il titolare dei dati rende dati selezionati disponibili tramite un intermediario (un mercato di dati) a uno o più riutilizzatori con controllo limitato sul successivo utilizzo; c) il titolare dei dati rende dati selezionati disponibili tramite un intermediario (una piattaforma o spazio di dati) a uno o più riutilizzatori in un ambiente che consente maggiore controllo e tracciabilità del successivo utilizzo.

a)Condivisione dei dati da uno a molti tramite un'interfaccia per programmi applicativi (API) o una piattaforma di dati industriali: alcune imprese impegnate in interazioni di dati con terze parti stanno utilizzando meccanismi unilaterali per consentire l'accesso ai dati a livello tecnico, quali API o piattaforme specifiche istituite per la memorizzazione, il trattamento e lo scambio di dati.

Sempre più di frequente si consente a terze parti di accedere ai dati tramite le API pubbliche, ovvero API accessibili al grande pubblico e non solo a parti interne all'organizzazione stessa. Dal 2010 il numero di API è notevolmente aumentato e tale tendenza continua 12 . 

Le API consentono alle piccole aziende in particolare di utilizzare o riutilizzare agevolmente i dati commerciali. API di facile utilizzo e ben progettate contribuiscono a creare e ampliare ecosistemi con nuovi prodotti innovativi utilizzando dati raccolti in precedenza.

Le API possono contribuire ad agevolare l'interoperabilità, consentendo alle applicazioni software di scambiare insiemi e flussi di dati 13 . Intrinsecamente, le API possono comprendere specifiche degli insiemi di dati stessi e possono offrire la gestione dei diritti di accesso a livello tecnico.

È sulla base di queste premesse che la Commissione esorta 14 le imprese di tutta Europa a prendere in considerazione il ricorso ad API aperte, standardizzate e ben documentate, compresa la messa a disposizione di dati in formati leggibili da dispositivi automatici e la fornitura di metadati associati.

TomTom è un'impresa neerlandese che realizza prodotti di mappatura, navigazione e analisi del traffico. Secondo i risultati di uno studio finanziato dalla Commissione 15 , gran parte delle entrate registrate dalle attività dell'impresa proviene dai dati (mappe e servizi online) concessi in licenza ad altre aziende. TomTom offre interfacce per programmi applicativi 16 per sviluppatori come strumento per accedere ai dati. Secondo l'impresa, rispetto ad altri meccanismi tecnici di condivisione dei dati, ciò offre i vantaggi seguenti: -accesso rapido e agevole ai dati; -monitoraggio dell'utilizzo dei dati; -verifica delle violazioni contrattuali; -intervento rapido in caso di utilizzo improprio dei dati (ovvero interruzione o sospensione dell'accesso ai dati).

Le imprese, in particolare quelle di grandi dimensioni, sviluppano anche piattaforme di dati dedicate al fine di gestire le normali interazioni di dati con terze parti. Offrono funzionalità aggiuntive per lo scambio dei dati, in particolare per lo scambio bidirezionale, per la memorizzazione all'interno della piattaforma e per servizi offerti in aggiunta ai dati (sulla base dell'analisi dei dati).

Airbus è una multinazionale europea che progetta, realizza e vende prodotti aeronautici militari e civili. Dopo aver reso disponibili i dati alle autorità e ai partner commerciali in molti modi, nel giugno 2017 Airbus ha lanciato Skywise 17 , una piattaforma digitale aperta per l'aviazione. Le imprese clienti mettono a disposizione i dati in cambio di servizi basati sull'analisi dei dati. Il vantaggio principale di questo approccio tecnico, basato sul software Hadoop, risiede nell'agevole integrazione con le infrastrutture informatiche esistenti delle compagnie aeree, che consente ai partecipanti di mettere facilmente a disposizione i propri dati sulla piattaforma. Airbus può lavorare sulla base del formato di file originale e fornire informazioni tramite la piattaforma utilizzando tabelle e strumenti di visualizzazione comuni.

b)Monetizzazione dei dati attraverso un mercato di dati da molti a molti: il termine "mercato di dati" è utilizzato in questa sede al fine di designare una tipologia specifica di intermediario che può svolgere tre funzioni essenziali: 1) stabilire corrispondenze tra i potenziali fornitori e acquirenti dei dati, compresi contesti specifici in cui il potenziale fornitore e il potenziale acquirente dei dati possono mantenere l'anonimato durante la prima fase di preparazione del trasferimento dei dati in quanto l'intenzione stessa di fornire o acquisire dati potrebbe già rivelare informazioni commerciali segrete (future strategie aziendali); 2) l'effettivo trasferimento dei dati (e del compenso pattuito), in particolare la creazione di fiducia nel fatto che l'oggetto della trattativa non subirà modifiche durante i negoziati; 3) una funzione di certificazione che l'operazione è effettivamente avvenuta, potenzialmente interessante per la rendicontazione all'interno del bilancio aziendale. Inoltre, tali intermediari possono offrire servizi aggiuntivi quali clausole contrattuali tipo o servizi di anonimizzazione (nel caso di scambio di dati personali o riservati). Il ruolo di questo tipo di intermediario termina con il trasferimento dei dati.

DAWEX 18 è un'impresa francese, fondata nel 2015, che si definisce come un "mercato di dati mondiale". Dawex non acquista e non vende dati, si occupa invece di raggruppare imprese interessate a monetizzare e riutilizzare i dati e promuove la trasparenza tra i fornitori e gli utilizzatori dei dati garantendo che essi comunichino e conducano l'operazione direttamente sulla piattaforma. Dawex ha sviluppato una serie di strumenti per aiutare sia i fornitori che gli utilizzatori dei dati a comprendere, valutare e comunicare i dati. Strumenti di visualizzazione (ad es. mappe di calore, mappe ad albero) forniscono agli utilizzatori dei dati diverse informazioni su un insieme completo di dati che possono essere condivise prima di portare a termine un'operazione. Strumenti di campionamento generano automaticamente campioni di dati rappresentativi fondati su algoritmi in modo da evitare qualsiasi distorsione. Gli utilizzatori e i fornitori dei dati comunicano tramite uno strumento di messaggistica integrato nella piattaforma. Inoltre, DAWEX sostiene la negoziazione dell'accordo contrattuale tramite clausole tipo che possono essere generate automaticamente.

c)Condivisione dei dati tramite una soluzione tecnica: a differenza della tipologia di intermediario di cui sopra, tali soluzioni tecniche sono finalizzate a fornire servizi aggiuntivi allo scambio di dati, come il trattamento dei dati pertinenti al fine di rispondere a determinate esigenze o questioni commerciali. Ancora più importante è che tale intermediario offre funzionalità aggiuntive consentendo al fornitore di dati di controllare come essi vengono utilizzati, monitorando in particolare il rispetto delle disposizioni dell'accordo di trasferimento dei dati. Può includere forme di tracciatura dell'utilizzo dei dati, ad esempio la registrazione di tutte le azioni di accesso ai dati e relativo trattamento, utilizzando anche la tecnologia del registro distribuito (blockchain) oppure sviluppando forme di filigrana digitale. L'intermediario può anche sviluppare istanze di autoregolamentazione all'interno della comunità di utenti dello spazio o piattaforma di dati, eventualmente prevedendo una serie di sanzioni per gli utenti che violino gli accordi di trasferimento di dati individuali.

Nallian 19 ha sviluppato una piattaforma basata sul cloud che consente di condividere dati in tempo reale e sostiene la sincronizzazione del processo. L'impresa lavora con un livello base di tecnologia di condivisione dei dati che può essere personalizzato in base alle esigenze degli utilizzatori di dati in una particolare comunità o dominio. La piattaforma è basata sulla tecnologia del cloud in combinazione con uno strumento di gestione delle comunità. Gli attuali utenti di Nallian sono imprese attive nel settore della logistica, catene di fornitura verticali e reti di trasporto multimodali. Per queste imprese risulta fondamentale la capacità di affrontare le problematiche di frammentazione e condividere i dati agevolmente. La piattaforma accetta una vasta gamma di opzioni per inserire dati nel cloud: da semplici caricamenti di file a integrazioni basate sulle API. La piattaforma è corredata di API a valore aggiunto e applicazioni che utilizzano un modello comune di dati al fine di sfruttare tutti i dati memorizzati nella piattaforma e offrire importanti informazioni agli utenti. Infine, la piattaforma accetta anche i dati trasmessi tramite dispositivi connessi o messaggi tra imprese scambiati tramite l'interscambio elettronico dei dati (EDI). La piattaforma consente ai fornitori di dati di controllare minuziosamente chi ha accesso a quali dati e per quali finalità. Tale controllo avviene grazie a un motore per la concessione dei diritti integrato nella piattaforma, che consente ai fornitori di definire ruoli e norme di condivisione per i diversi membri della comunità a tutti i livelli, compresi i fornitori di applicazioni. Inoltre, la piattaforma agevola l'anonimizzazione e l'aggregazione dei dati nel rispetto dei pertinenti obblighi di riservatezza.

4. Garantire il buon esito della collaborazione in materia di dati tra imprese e pubblica amministrazione – lista di controllo

La fornitura e il riutilizzo dei dati nelle relazioni tra imprese e pubblica amministrazione possono assumere varie forme sia in termini di meccanismi sottesi che dello strumento giuridico che li sostiene. La presente sezione contiene maggiori dettagli in merito.

4.1. Modelli di condivisione dei dati tra imprese e pubblica amministrazione

a)Donazione di dati: la fornitura di dati tra imprese e pubblica amministrazione può assumere la forma di donazione di dati. Può essere considerata una forma di responsabilità sociale delle imprese. Uno dei potenziali effetti consisterebbe nel sostenere tale programma di donazione dei dati tramite una squadra dedicata che fornisca assistenza a qualsiasi eventuale parte interessata a utilizzare i dati.

b)Premi: nel quadro della collaborazione tra imprese e pubblica amministrazione possono anche essere istituiti premi per incoraggiare le persone fisiche e le imprese specializzate nell'analisi dei dati a trovare soluzioni per una particolare sfida di interesse pubblico. Ad esempio, un'organizzazione pubblica potrebbe lanciare una sfida in collaborazione con un'impresa che fornirebbe al settore privato i dati necessari a vincere tale sfida.

c)Partenariati in tema di dati tra imprese e pubblica amministrazione: la collaborazione tra imprese e pubblica amministrazione può assumere la forma di partenariati in tema di dati. Gli organismi del settore pubblico possono stipulare accordi con le imprese private, che comprendono la condivisione reciproca di dati, conformemente alla direttiva ISP 22 per quanto riguarda le informazioni del settore pubblico condivise con il settore privato. Ciò può apportare benefici anche all'impresa privata che potrà ottenere informazioni dalla correlazione dei dati del settore pubblico e privato.

d)Intermediari: nei casi in cui non esiste alcun rapporto precedente tra l'impresa e l'organismo del settore pubblico e tra i due non si è instaurato un vincolo di fiducia, è possibile incaricare un intermediario di ottenere le informazioni necessarie per fini di interesse pubblico.

e)"Condivisione di dati civici": i soggetti possono essere incoraggiati ad autorizzare gli organismi del settore pubblico a trattare i loro dati personali precedentemente trattati da un'impresa privata. Occorre sottolineare che in questo caso le autorità pubbliche dovranno anche rispettare la normativa in materia di protezione dei dati. Il trattamento deve avvenire conformemente a un'adeguata base giuridica [ad es. consenso a norma dell'articolo 6, paragrafo 1, lettera a), oppure esecuzione di un compito di interesse pubblico a norma dell'articolo 6, paragrafo 1, lettera e) 26 ]. Tale "condivisione di dati civici" funzionerà soprattutto in situazioni in cui è presente un forte legame tra il cittadino e l'organismo del settore pubblico in questione (ad es. il comune di residenza) oppure quando la finalità di interesse pubblico è particolarmente convincente dal punto di vista del cittadino (lotta contro determinate malattie, gestione dei flussi di viaggiatori durante le manifestazioni popolari ecc.).

4.2. Considerazioni giuridiche e pratiche nella collaborazione in materia di condivisione di dati tra imprese e pubblica amministrazione

Le seguenti considerazioni potrebbero essere d'aiuto per gli organismi pubblici e le imprese nella preparazione e/o negoziazione degli accordi in materia di utilizzo dei dati:

a)gli organismi pubblici dovrebbero individuare una finalità di interesse pubblico, i dati del settore privato e il livello di granularità necessario. Alcuni dati del settore privato utili per fini di interesse pubblico potrebbero essere, ad esempio, i dati dei social media, i dati sulle transazioni o i dati dei commercianti al dettaglio. Le imprese possono anche valutare come i propri dati possano contribuire a un fine di interesse pubblico e avviare il processo di negoziazione.

b)Le parti dovrebbero individuare le sfide interne e le limitazioni connesse alla condivisione dei dati.

-Gli organismi pubblici e le imprese potrebbero dover investire nella gestione delle conoscenze e nella governance dei dati.

-Per le imprese che dispongono di servizi aziendali dedicati alla condivisione dei dati, compresa la monetizzazione in contesti tra imprese, la condivisione dei dati tra imprese e pubblica amministrazione risulterà meno onerosa e difficoltosa in termini di governance dei dati, infrastrutture e redazione di testi giuridici. Dato che la condivisione dei dati sta acquisendo sempre più importanza per molte imprese, il costo e gli oneri per singola collaborazione sono destinati a diminuire.

-Le imprese e gli organismi del settore pubblico devono garantire il rispetto delle disposizioni del regolamento generale sulla protezione dei dati e della normativa in materia di e-privacy (garantire la liceità del trattamento, compreso il fondamento su una base giuridica, come il consenso, l'uso idoneo delle tecniche di anonimizzazione, il rispetto del principio di riservatezza della protezione dei dati fin dalla progettazione e per impostazione predefinita, il ricorso a metodi di analisi atti a preservare la riservatezza, valutazioni di impatto sulla protezione dei dati ove necessario).

-Al fine di garantire la rappresentatività delle informazioni, evitando distorsioni causate dalla selezione, gli organismi del settore pubblico devono analizzare attentamente le potenziali fonti dei dati e accertare i limiti di uno specifico fornitore dei dati. Dovrebbero valutare attentamente la triangolazione dei dati, l'osservazione e ricalibrazione costante dei modelli, e una combinazione ad esempio con consultazioni pubbliche e strumenti per raccogliere elementi di prova e pareri degli interessati per mitigare i rischi ed eventuali limiti metodologici delle fonti di dati del settore privato.

c)Le parti devono scegliere le modalità tecniche e pratiche di condivisione dei dati che risultano maggiormente rispondenti alle loro sfide interne e alla loro governance dei dati.

-Gli organismi pubblici devono salvaguardare la protezione degli interessi commerciali legittimi (ad es. informazioni commerciali riservate, segreti commerciali) e garantire la sicurezza della modalità tecnica di accesso ai dati del settore privato. I dati del settore privato che sono trasferiti a un organismo del settore pubblico dovrebbero essere trattati come dati riservati. Occorre specificare esplicitamente nelle infrastrutture pertinenti di trattamento dei dati, tramite annotazioni e restrizioni di accesso, che esse sono coperte da deroghe se l'organismo del settore pubblico è soggetto alla normativa in materia di accesso ai documenti. Occorre attuare misure idonee a garantire la sicurezza della rete e dei sistemi di informazione.

-Gli organismi pubblici potrebbero dover ampliare le proprie capacità tecniche e di personale per sfruttare le possibilità di utilizzare i dati del settore privato.

d)Il contratto dovrebbe specificare le condizioni di attuazione, i limiti temporali e gli specifici insiemi di dati che saranno utilizzati.

-Gli organismi pubblici dovrebbero garantire che la propria richiesta di dati privati specifici sia conforme al principio di proporzionalità e sia necessaria per il conseguimento della finalità di interesse pubblico dichiarata. L'accordo dovrebbe specificare che, al conseguimento dell'obiettivo previsto o al raggiungimento del limite temporale, i dati trasmessi saranno cancellati. L'utilizzo degli stessi dati per una diversa finalità dovrebbe essere soggetto a un accordo di collaborazione nuovo o modificato.

-Le parti dovrebbero definire le condizioni a livello operativo per il trasferimento dei dati: formato dei dati e metadati, qualità, granularità, durata dell'accesso e modalità di accesso.

-Le parti dovrebbero pattuire il compenso. A tal riguardo esistono varie opzioni, nello specifico limitare la remunerazione a un recupero proporzionale delle spese sostenute per la produzione, conservazione e diffusione dei dati (consentendo solo in via eccezionale un utile equo sul capitale investito) e limitare la remunerazione, al massimo, alle spese relative alla diffusione dei dati, considerando che i costi di produzione e conservazione dei dati a seconda del caso potrebbero essere stati già coperti tramite altri flussi di entrate. L'opzione scelta potrebbe essere connessa alla finalità di interesse pubblico perseguita e alle specificità dell'esigenza sociale che si intende soddisfare.

-Affinché gli organismi pubblici possano effettuare le necessarie valutazioni della qualità al fine di accertare la presenza di potenziali distorsioni causate dalla selezione o altri limiti qualitativi che potrebbero emergere solo ad accordo concluso, le imprese che forniscono i dati dovrebbero offrire, al meglio delle loro capacità, un sostegno ragionevole e proporzionato in modo da consentire la valutazione della qualità dei dati per le finalità dichiarate, anche con la possibilità di sottoporre ad audit o verificare altrimenti i dati ove necessario.

e)Le parti dovrebbero concordare orientamenti comuni per monitorare l'attuazione del contratto:

-possono concordare un codice di condotta o utilizzare le norme etiche esistenti come il codice delle statistiche europee 27 , istituire un comitato di coordinamento o nominare un revisore indipendente per supervisionare l'utilizzo dei dati;

-gli organismi pubblici mettono in atto le necessarie garanzie atte a impedire l'utilizzo improprio dei dati per finalità diverse da quelle stabilite nel contratto.

f)Il contratto dovrebbe prevedere norme in materia di responsabilità per la fornitura di dati errati, interruzioni nella trasmissione dei dati, lavoro interpretativo di scarsa qualità, se condiviso con gli insiemi di dati, oppure per distruzione/perdita o alterazione dei dati (se illecita o accidentale) che potrebbero arrecare danni.

g)Il contratto dovrebbe definire la normativa applicabile e i meccanismi di risoluzione delle controversie.
Ciascuna parte dovrebbe avere la facoltà di recedere dal contratto qualora sussista un rischio giuridico o tecnico relativo al trattamento o all'utilizzo dei dati condivisi.

h)Gli organismi pubblici dovrebbero diffondere i risultati/le informazioni della collaborazione tra imprese e pubblica amministrazione e garantire meccanismi di riscontro pubblico, se necessari e pertinenti, senza compromettere la riservatezza dei dati del settore pubblico.

4.3. Strumenti tecnici per avviare una collaborazione tra imprese e pubblica amministrazione

In qualsiasi collaborazione tra imprese e pubblica amministrazione occorre decidere come reperire le informazioni dai dati del settore privato per finalità di interesse pubblico. Ciò può comprendere un effettivo trasferimento di dati del settore privato all'ambiente informatico dell'organismo pubblico in questione, anche se non è l'unica opzione ed è possibile valutare altri meccanismi. La presente sezione offre una panoramica degli strumenti tecnici alternativi al trasferimento dei dati del settore privato nell'ambiente informatico dell'organismo pubblico. Questi meccanismi tecnici possono fornire norme di accesso e utilizzo dei dati offrendo al contempo un ambiente sicuro e affidabile per lo scambio di insiemi di dati.

a)Piattaforme di dati: la creazione di piattaforme di dati può offrire un ambiente sicuro per memorizzare e scambiare dati tra imprese e organismi pubblici. Tali piattaforme possono fornire agli organismi pubblici dati normalizzati per creare risorse o indicazioni sui dati condivisi, in collaborazione con le imprese.

b)Algoritmo verso i dati: portare l'algoritmo verso i dati può rappresentare una soluzione per le sfide in materia di sicurezza, protezione e riservatezza dei dati. Rispetterebbe una delle indicazioni principali per garantire la protezione dei dati personali e la riservatezza, che è quella di spostare i dati il meno possibile. Il ricorso a questa soluzione implica l'installazione dell'algoritmo nell'ambiente informatico dell'impresa privata e lo svolgimento dell'analisi direttamente in tale sede. Solo le informazioni anonime ottenute dall'algoritmo possono essere nuovamente trasmesse all'organismo del settore pubblico. L'interfaccia di interrogazione dei dati e le possibilità di analisi potrebbero essere progettate congiuntamente dall'impresa e/o dall'organismo pubblico in questione (o da un intermediario di fiducia).

c)    Calcolo atto a preservare la riservatezza: negli ultimi anni sono stati sviluppati diversi modelli di calcolo che consentono di svolgere operazioni su dati che devono restare riservati. Tali modelli consentono di estrarre le informazioni desiderate senza rivelare i dati di partenza. Pertanto l'elaborazione dei dati può avvenire in collaborazione tra vari ambiti amministrativi (pubblici o privati) senza bisogno di portare i dati fuori dall'impresa. Tali modelli prevedono un cambiamento di paradigma fondamentale, dalla "condivisione dei dati" alla "condivisione del calcolo". Tra i metodi di calcolo atti a preservare la riservatezza esistenti, la categoria del calcolo multilaterale sicuro sembra essere particolarmente idonea nel contesto della collaborazione in materia di dati tra imprese e pubblica amministrazione. Alcune tecniche di calcolo multilaterale sicuro sono decisamente modulabili ed efficaci. Alcune imprese offrono già la tecnologia e le piattaforme necessarie. Sono stati condotti studi che hanno fatto ricorso a tale tecnica nella collaborazione tra imprese e pubblica amministrazione.

(1)

Anche tramite il portale europeo dei dati https://www.europeandataportal.eu .

(2)

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, p. 37). Cfr. anche: proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche) [COM(2017) 10 final del 10.1.2017].

(3)

COM(2017) 495 final.

(4)

COM(2017) 9 final.

(5)

  https://ec.europa.eu/digital-single-market/en/news/synopsis-report-public-consultation-building-european-data-economy .

(6)

COM(2018) 232.

(7)

COM(2018) 232.

(8)

Ad esempio dati rilevanti per la fornitura di servizi post-vendita (come riparazione e manutenzione) prodotti da robot nell'ambito di processi industriali, oppure dati relativi alla valutazione di fornitori di servizi.

(9)

     Cfr. ad es. gli orientamenti della Commissione sulle restrizioni verticali (GU C 130 del 19.5.2010, pag. 1) e gli orientamenti sulle priorità della Commissione nell'applicazione dell'articolo 82 del trattato CE [ora articolo 102 del TFUE] al comportamento abusivo delle imprese dominanti volto all'esclusione dei concorrenti (GU C 45 del 24.2.2009, pag. 7).

(10)

Cfr. l'allegato alla decisione di esecuzione della Commissione sull'adozione del programma di lavoro per il 2018 e sul finanziamento del meccanismo per collegare l'Europa (CEF) – settore delle telecomunicazioni, pag. 42.

(11)

I meccanismi descritti e gli esempi sono tratti da uno studio sulla condivisione dei dati tra imprese in Europa, condotto da Everis per conto della Commissione (relazione sullo studio di prossima pubblicazione).

(12)

  http://www.programmableweb.com/api-research .

(13)

Cfr. i dettagli del documento di orientamento sulle API elaborato dalla rete Share PSI cofinanziata dalla Commissione europea nell'ambito del programma quadro per la competitività e l'innovazione: http://www.w3.org/TR/dwbp/#useanAPI .

(14)

COM(2017) 9 final.

(15)

Everis, studio sulla condivisione dei dati tra imprese in Europa (di prossima pubblicazione).

(16)

  https://developer.tomtom.com/tomtom-maps-apis-developers .

(17)

  https://services.airbus.com/maintenance/expertise-and-other-services/skywise/skywise .

(18)

  https://www.dawex.com/en/ .

(19)

  https://www.nallian.com/ .

(20)

  https://mastercardcenter.org/action/call-action-data-philanthropy/ .

(21)

  http://ec.europa.eu/research/horizonprize/index.cfm?prize=bigdata . 

(22)

Direttiva 2003/98/CE del Parlamento europeo e del Consiglio relativa al riutilizzo dell'informazione del settore pubblico (GU L 345 del 31.12.2003, pag. 90).

(23)

De Meersman et al (2016): Assessing the Quality of Mobile Phone Data as a Source of Statistics, https://ec.europa.eu/eurostat/cros/system/files/assessing_the_quality_of_mobile_phone_data_as_a_source_of_statistics_q2016.pdf .

(24)

Gli uffici statistici conservano registri contenenti dati personali e delle imprese, ma tali registri non possono essere condivisi con terze parti al fine di proteggere i dati personali e per via di restrizioni in materia di riservatezza statistica. Tuttavia, è possibile collegare i dati del settore privato con i dati del registro assicurandone al contempo la sicurezza. I risultati statistici aggregati attraverso cui non è possibile risalire al soggetto interessato possono essere pubblicati sotto forma di risultati di tale analisi.

(25)

  https://www.cdrc.ac.uk/ .

(26)

Nel caso in cui le autorità si basino sull'articolo 6, paragrafo 1, lettera e), del regolamento generale sulla protezione dei dati ("il trattamento è necessario per l'esecuzione di un compito di interesse pubblico"), tale base giuridica deve essere stabilita dal diritto dell'Unione o dello Stato membro. Inoltre, qualora si verifichi tale "condivisione di dati civici", gli interessati devono essere chiaramente informati, anche in merito al diritto di revocare il consenso e all'eventualità di un ulteriore trattamento dei propri dati personali da parte delle autorità pubbliche.

(27)

In caso di accordi con istituti statistici, si potrebbe utilizzare il codice delle statistiche europee, http://ec.europa.eu/eurostat/web/products-manuals-and-guidelines/-/KS-32-11-955 .

(28)

  https://www.cbs.nl/en-gb/our-services/innovation/big-data .

(29)

  http://www.opalproject.org/about-us/ .

(30)

Bogdanov (et al.), Students and Taxes: a Privacy-Preserving Social Study Using Secure Computation, Proceedings on Privacy Enhancing Technologies, PoPETs, 2016 (3), pagg. 117-135, 2016 (versione estesa, PDF).