Privacy Weekly | Guido Scorza, avvocato e componente del Collegio del Garante per la Protezione dei dati personali, nel suo guest post per StartupItalia ci spiega cos’è il Data Act e perché è importante
Mentre eravamo tutti con il naso all’insù a guardare all’epilogo dei negoziati – il cosiddetto trilogo – sull’ormai celeberrimo AI Act, il regolamento europeo sull’intelligenza artificiale che verrà e in relazione al quale nei giorni scorsi è stato raggiunto un importante accordo politico che, tuttavia, non vale e non basta a dar vita alle nuove regole per le quali bisognerà ancora aspettare mesi, le stesse Istituzioni europee approvavano questa volta per davvero e in via definiva il meno celebre Data Act, il nuovo Regolamento europeo sulla circolazione dei dati, personali e non.
Il Data Act – cresciuto nell’ombra dell’AI Act- ha tagliato la linea del traguardo prima (è ormai prossima la sua pubblicazione sulla Gazzetta Ufficiale) anche se poi ci vorranno un paio d’anni per la sua diretta applicazione in tutti i Paesi dell’Unione. È il più classico dei brutti anatroccoli, considerato meno tanti altri cigni che nuotano nello stesso stagno – quelli del Digital Service Act, del Digital Market Act e del nascituro Ai Act – ma, probabilmente, destinato a giocare un ruolo da protagonista assoluto perché governa un aspetto trasversale alla vita dell’intera Unione europea nella sua dimensione economica, culturale e democratica: la libera circolazione dei dati e la redistribuzione del valore generabile attraverso il loro utilizzo. La filosofia ispiratrice del Data Act è inequivoca: i dati sono i protagonisti indiscussi dell’era che stiamo vivendo e di quella degli algoritmi che verrà ma se non si creano le condizioni regolamentari e tecnologiche perché circolino liberamente e, soprattutto, perché utenti e consumatori che li generano, possano effettivamente accedervi e controllarli, il rischio è che il valore prodotto dallo sfruttamento dei dati resti concentrato nelle mani di pochissimi e produca una serie pericolosa di effetti restrittivi della concorrenza e delle libertà in generale. Muovendo da questo convincimento il Regolamento fissa il principio generale secondo il quale i dati devono essere condivisi, messi a disposizione, fatti circolare quanto più possibile sebbene, nel rispetto, innanzitutto delle regole sulla privacy e, quindi, di quelle sul segreto industriale. Nessun dubbio, al riguardo – e vale la pena dirlo subito – che non sarà sempre facilissimo conciliare le istanze di protezione dei dati personali con quelle di promozione del loro sfruttamento ma, al tempo stesso, guai a dimenticare che il titolo del famoso GDPR – il regolamento europeo sulla privacy da taluni considerato un nemico giurato del Data Act appena approvato – è: Regolamento generale sulla protezione dei dati personali nonché sulla loro libera circolazione. Nessuna rivalità di principio, quindi, tra i due regolamenti. L’obiettivo è comune: garantire all’Europa la possibilità di trarre dai dati tutti – inclusi quelli personali – il maggior valore possibile senza, naturalmente, sacrificare i diritti fondamentali delle persone, la loro dignità, le loro libertà. E, almeno in teoria, le condizioni per raggiungere questo obiettivo ci sono. Il nuovo Regolamento, d’altra parte, amplifica taluni istituti come il diritto di accesso del singolo ai suoi dati (personali e non) detenuti da fornitori di prodotti o servizi o il diritto alla portabilità dei dati che, almeno limitatamente ai dati personali, sono previsti, sin dalle origini, proprio nella disciplina europea sulla protezione dei dati personali.
Per scongiurare, anche nell’applicazione, il rischio di una rivalità che non ha ragione di essere e che potrebbe frustrare l’obiettivo perseguito, pur lasciando liberi gli Stati di identificare una o più Autorità competenti all’applicazione delle nuove regole, stabilisce espressamente che debbano essere le Autorità di protezione dei dati personali a vigilare sulla corretta applicazione delle nuove regole quando le stesse abbiano un impatto sui dati personali. La strada segnata dalle Istituzioni europee, dunque, sembra quella giusta. E il Data Act è destinato verosimilmente a rappresentare un volano straordinario anche per l’economia europea dell’intelligenza artificiale che, come è noto, per nascere, crescere e proliferare ha, innanzitutto, bisogno di grandi quantità di dati personali utilizzabili secondo regole certe e nel rispetto dei diritti di tutti. Il testo integrale del Regolamento è disponibile qui.
Come sempre se volete saperne di più su quello che è accaduto in settimana in giro per il mondo su dati, privacy e dintorni, potete leggere qui le notizie quotidiane di PrivacyDaily o iscrivervi alla newsletter di #cosedagarante.
