Il recepimento della Direttiva Open Data: un punto di svolta per la ricerca in Italia?

Il 15 dicembre 2021 è entrato in vigore il d.lgs. 8 novembre 2021, n. 200 che recepisce la direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico. Adottata nell’ambito della strategia europea per i dati, la direttiva 2019/1024 abroga la previgente disciplina (direttiva 2003/98/CE, così come modificata dalla direttiva 2013/37/UE), al fine di adeguare il quadro giuridico esistente ai progressi delle tecnologie digitali e di stimolare l’innovazione digitale (considerando 3). A partire dall’analisi di alcune disposizioni chiave del d.lgs. 200/2021, il presente contributo evidenzierà la presenza di ‘piccoli indizi’ (così M. Lavagetto) sintomatici di una certa difficoltà – pur con qualche recente eccezione – del nostro legislatore (e non solo) ad ammettere il riutilizzo dei dati. Concentrando l’attenzione sul settore della ricerca che oggi più che mai richiede la piena fruibilità di grandi quantità di dati, si argomenterà come un recepimento frammentato ed interpretazioni restrittive della direttiva 2019/1024 rischiano di minare la capacità degli Stati membri di progredire nell’ambito della ricerca.

Il recepimento della direttiva 2019/1024 all’interno dell’ordinamento nazionale, a lungo rimandato, si è reso necessario per dare attuazione al processo di transizione digitale del Paese (v. Atto del Governo sottoposto a parere parlamentare n. 284).
Per rendere più facilmente disponibili le informazioni e i dati pubblici, così da consentire la creazione di prodotti e servizi privati e il miglioramento dell’efficienza dei servizi pubblici, come la sanità, il d.lgs. 200/2021 amplia l’ambito di applicazione del d.lgs. 36/2006 (di recepimento della direttiva 2003/98/CE) sia dal punto di vista soggettivo che dal punto di vista materiale. Quanto al primo, infatti, la platea di detentori di informazioni o dati pubblici è stata estesa, oltre che alle pubbliche amministrazioni, anche a determinate categorie di imprese pubbliche. Quanto al secondo, tra i dati pubblici riutilizzabili sono stati ricompresi anche i dati della ricerca finanziata con fondi pubblici. Ulteriori misure volte a favorire il più ampio ricorso all’apertura dei dati e al loro riutilizzo riguardano la gratuità della messa a disposizione dei dati per il riutilizzo, la definizione di norme per la tariffazione (art.7 del d.lgs. 36/2006) e i limiti posti al ricorso a forme di accordi di esclusiva (art.11 del d.lgs. 36/2006).
Ai fini che qui rilevano, giova soffermarsi sulle disposizioni del d.lgs. 200/2021 relative ai ‘dati della ricerca’ dal momento che, rispetto quelle concernenti le altre tipologie di dati (dinamici e serie di dati di elevato valore), sono meno aderenti al testo della direttiva 2019/1024. Si osserva, in particolare, come con l’art. 9-bis del d.lgs. 36/2006 il legislatore italiano inverta l’ordine degli addendi, ossia dei due periodi che compongono il primo comma dell’art. 10 della direttiva 2019/1024. Infatti, la norma interna si preoccupa prioritariamente di inserire una clausola di conformità rispetto alla disciplina di protezione dei dati personali e degli interessi commerciali, della disciplina del diritto di proprietà intellettuale e industriale. Viene invece rimandata al terzo comma l’affermazione secondo cui i dati della ricerca “rispettano i requisiti di reperibilità, accessibilità, interoperabilità e riutilizzabilità”. Al contrario, l’art. 10 della direttiva 2019/1024 sancisce la necessità di rispettare “diritti di proprietà intellettuale, protezione dei dati personali e riservatezza, sicurezza e legittimi interessi commerciali” solo dopo aver invitato gli Stati Membri ad adottare open access policies, seguendo il principio open by default e i c.d. FAIR principles.
Se per la proprietà commutativa cambiare l’ordine degli addendi non muta il risultato finale, lo stesso non può dirsi in riferimento al caso in esame dove la suddetta inversione pare indicativa, così come il ritardo nel recepimento, di una certa riluttanza del nostro legislatore ad ammettere il riutilizzo di dati anche se giustificato da finalità di ricerca. A questo proposito, se si guarda ai lavori che hanno portato al testo definitivo del d.lgs. 200/2021 non è irrealistico ipotizzare un’influenza dell’Ufficio del Garante per la protezione dei dati personali che ha richiesto, tra le altre cose, di chiarire l’ambito di applicazione della definizione di “anonimizzazione” e di coordinare quanto disposto dall’art. 9-bis del d.lgs. 36/2006 con la disciplina di protezione dei dati, relativamente al vincolo di finalità nel trattamento dei dati raccolti a fini statistici o di ricerca scientifica e al divieto di utilizzo dei dati personali trattati a tali scopi per assumere decisioni o provvedimenti relativi all’interessato o per scopi di altra natura (v. Atto del Governo sottoposto a parere parlamentare n. 284).
Non sarebbe la prima volta che le indicazioni espresse dal Garante per la protezione dei dati si trovano a giocare un ruolo determinante nelle fasi di adozione e implementazione di atti legislativi, suscitando non poche critiche. In tema di ricerca, già con il Reg. (UE) 2016/679, non è mancato chi ha lamentato come un’interpretazione delle disposizioni sovranazionali ‘sbilanciata’ a favore di una tutela della protezione dei dati personali rischia di ostacolare, o quanto meno, ridurre le potenzialità che tali dati avrebbero se venissero allentati i rigidi vincoli giuridici concernenti il loro utilizzo e la loro condivisione per finalità di ricerca (sul punto, si veda inter alia: J. Starkbaum e U. Felt).

Sebbene il legislatore italiano non sia il solo a mostrare le difficoltà sopra descritte (v. la legge maltese del 2 luglio 2021 e la legge portoghese del 26 agosto 2021), vi sono Stati membri che riproducono più fedelmente il testo della Direttiva 2019/1024 (v. il decreto del 2 luglio 2021 emanato dal Belgio; la legge polacca dell’11 agosto 2021; la legge austriaca del 10 novembre 2021). Se si prende in considerazione, ad esempio, la legge finlandese 713/2021 sul riutilizzo di materiale di ricerca finanziato con fondi pubblici, si nota come il legislatore si sia limitato a stabilire un obbligo per i ricercatori, organizzazioni che conducono ricerche o che le finanziano e che hanno messo a disposizione del pubblico materiale di ricerca di assicurare l’uso gratuito del materiale di ricerca, per scopi commerciali o non commerciali (sezione 3), senza ulteriori specificazioni. L’esempio della legge finlandese pone in evidenza le conseguenze pratiche di un diverso approccio legislativo al tema in oggetto. Infatti, non è casuale che si registrino attività di ricerca tra le più avanzate proprio in Finlandia, dove recentemente è stato creato un meccanismo centralizzato di accesso ai dati sanitari e sociali gestito dalla nuova “Finnish Data Permit Authority” che si occupa, tra le altre cose, di concedere l’autorizzazione all’accesso per dati provenienti da registri multipli e di raccogliere i dati richiesti presso i responsabili del trattamento e successivamente aggregare, pseudonimizzare e anonimizzare i dati o produrre dati statistici, nel completo rispetto della normativa sulla protezione dei dati personali (sul punto, v. il documento della Commissione “Assessment of the EU Member States’ rules on health data in the light of GDPR”).
Lungi dal voler condurre in questa sede un’analisi comparata dei sistemi di accesso e condivisione dei dati presenti a livello europeo, le predette osservazioni puntano invece a mettere in evidenza la frammentarietà dell’attuale quadro normativo per quanto riguarda il riutilizzo dei dati con finalità di ricerca (v. COM/2020/66 final, 29). Questa situazione mal si concilia con il diverso modo di fare ricerca oggi, che richiede di poter contare su volumi sempre maggiori e sempre più eterogenei di dati (c.d. ‘big data’) e il cui potenziale per promuovere la competitività dell’Unione e la qualità di vita dei suoi cittadini è strettamente correlato alla possibilità di essere condivisi.
L’individuazione di una soluzione per uscire da tale impasse, dunque, non sembra più procrastinabile. Se infatti il legislatore europeo punta a creare uno Spazio Europeo della Ricerca (art. 179 TFUE) che apporti un contributo effettivo al raggiungimento di altrettanto ambiziosi obiettivi, primo tra tutti l’Unione della salute, occorre interrogarsi seriamente su quali strategie adottare per evitare duplicazione di sforzi, inefficienze e, soprattutto, una sottoutilizzazione dei dati già raccolti che rischia di penalizzare notevolmente le potenzialità delle istituzioni e dei ricercatori che operano in Europa e che non riescono a condividere dati acquisiti all’interno del proprio paese e tra paesi diversi. Sebbene ciò non possa prescindere dal livello sovranazionale, è opportuno che lo sforzo delle istituzioni europee sia supportato e coordinato con quello degli Stati Membri.

A tale riguardo, un barlume di speranza sembra potere emergere in seguito all’adozione del d.l. 139 del 2021 (c.d. “decreto capienze”) convertito con modificazioni dalla l. 205/2021, e specialmente con l’art. 9 che ha modificato sensibilmente alcune disposizioni del d.lgs. 196/2003 in materia di trattamento dei dati personali da parte delle pubbliche amministrazioni al fine di consentire il raggiungimento degli obiettivi del PNRR. In particolare, la disposizione in esame, modificando gli artt. 2-ter e 2-sexies del d.lgs. 196/2003, amplia “il novero delle fonti legittimanti i trattamenti svolti a fini di interesse pubblico delegificando e così semplificando l’attività amministrativa prodromica all’avvio di un trattamento” (si rinvia a Audizione del Presidente del Garante per la protezione dei dati personali Prof. Pasquale Stanzione AS 2409). Il trattamento di dati personali (e dati particolari e dati per fini di sicurezza nazionale o difesa) effettuato per l’esecuzione di un compito di interesse pubblico può infatti trovare fondamento e base giuridica, oltre che nella legge e, nei casi previsti dalla legge, nel regolamento, anche in un atto amministrativo generale che ne definisce le finalità.
Si noti, inoltre, il tentativo del nostro legislatore di ridimensionare i poteri conferiti al Garante (Audizione del Professore Marco Bassini AS 2409) tramite l’abrogazione dell’art. 2-quindesdecies del d.lgs. 196/2003, ossia della consultazione preventiva del Garante nel caso di trattamenti di dati personali svolti per l’esecuzione di un compito di interesse pubblico tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche, e la limitazione delle ipotesi in cui il Garante è tenuto a presentare il proprio parere al legislatore in vista dell’adozione di una disciplina relativa al trattamento dei dati (art. 154, comma 5-bis del d.lgs. 196/2003). Ridimensionamento forse anche in parte dovuto alla forte azione di enforcement del nostro Garante. Si pensi soltanto che nel corso del 2020 le sanzioni amministrative irrogate sono state pari a 38, 448.895 euro, a fronte dei 3.017,363 euro del 2019 (v. Relazione annuale del Garante per la Protezione dei Dati Personali del 2020). Numeri che fanno senz’altro riflettere se confrontati, anche tenendo conto della diversa popolazione, con quelli degli altri Garanti europei, come il Data Protection Ombudsman finlandese (Tietosuojavaltuutetun toimisto) che nel 2020 ha imposto sanzioni amministrative pari a 214, 500 euro, mentre pari a zero nel 2019 (v. Annual Report Office of the Data Protection Ombusdman 2019).

Appare significativo notare come l’inversione di rotta di cui sopra sia avvenuta nel giro di poco meno di un mese. Se da un lato, con il recepimento della direttiva 2019/1024 con il d.lgs. 200/2021 dell’8 novembre 2021, e dunque nell’ambito di un’operazione ‘ordinaria’, il nostro legislatore ha mostrato una scarsa propensione ad ammettere il riutilizzo dei dati; dall’altro, con la l. 205/2021 del 3 dicembre 2021, questi – costretto da vincoli esterni cogenti quali la necessità imposta dall’UE nell’ambito degli impegni da assumere per il Next Generation EU – ha introdotto innovazioni anche rilevanti. Ancora una volta, quindi, è stato necessario uno shock esterno che creasse una “window of opportunity” (v. P. Copeland e S. James) per poter attivare un processo di riforma in questa materia.

In conclusione, tornando alla domanda posta dal titolo del presente contributo, è forse prematuro affermare che il d.lgs. 200/2021 sarà decisivo nel far recuperare alla ricerca italiana le posizioni perse per la mancanza di un più favorevole ambiente per l’acquisizione e la condivisione dei dati. Si ritiene infatti che, per prima cosa, si dovranno attendere gli esiti dell’implementazione di tale normativa nella pratica. Anche alla luce delle novità apportate dal decreto capienze, i ricercatori e gli altri soggetti interessati potranno realmente beneficiare di una più ampia offerta di dati pubblici o al contrario la tutela dei dai personali, così come di altri diritti esclusivi, continuerà a prevalere? A questo proposito, si ritiene che un ruolo determinante sarà giocato dall’adozione –si spera a breve (v. accordo del 30 novembre scorso tra Parlamento e del Consiglio) – del regolamento relativo alla governance europea dei dati (COM (2020) 767 final), che punta a favorire la disponibilità dei dati del settore pubblico per il riutilizzo qualora tali dati siano oggetto di diritti di terzi. Inoltre, come si è richiamato sopra, occorrerà verificare il processo di recepimento e di implementazione da parte degli altri Stati membri, vista la necessità di un quadro normativo il più possibile uniforme che, data la natura dell’atto in esame, non sembra un risultato così scontato.


facebooktwittergoogle_plusmailfacebooktwittergoogle_plusmail