In base a quanto dispone l’art 45 GDPR la Commissione Europea può decidere che un paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato. In tal caso il trasferimento può essere compiuto, naturalmente nel rispetto del GDPR e della disciplina applicabile.

L’art. 45 GDPR individua gli elementi che la Commissione deve prendere in considerazione, in particolare, per valutare l’adeguatezza del livello di protezione, che sono i seguenti:

a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e la possibilità di un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;

b) l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e

c) gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali.

Dal punto di vista procedurale, la Commissione decide mediante atti di esecuzione. L’atto di esecuzione deve prevedere un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale.

Inoltre, la Commissione deve controllare su base continuativa gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni di adeguatezza adottate.

Se risulta dalle informazioni disponibili, in particolare in seguito al riesame periodico di cui si è appena detto, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale non garantiscono più un livello di protezione adeguato, la Commissione revoca, modifica o sospende nella misura necessaria la decisione di adeguatezza, mediante atti di esecuzione senza effetto retroattivo.

La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea e sul suo sito web l’elenco dei paesi terzi, dei territori e settori specifici all’interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato. Nel momento in cui si scrive, giugno 2025, la Commissione ha adottato decisioni di adeguatezza relative a vari paesi, fra cui l’Argentina, il Regno Unito, Stati Uniti, Svizzera, Giappone.

Rispetto alla valutazione di adeguatezza è di particolare interesse la sentenza della Corte di Giustizia 16 luglio 2020 C-311/18, in cui la Corte ha giudicato invalida la decisione di adeguatezza relativa ai trasferimenti verso gli Stati Uniti (decisione di esecuzione UE 2016/1250 della Commissione, del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy). La pronuncia è di particolare rilevanza perché affronta alcuni aspetti importanti relativi all’interpretazione dell’art. 45 GDPR.

In particolare, la Corte, interpretando la disciplina del GDPR alla luce della Carta dei Diritti Fondamentali dell’UE ha statuito che:

i) l’adozione, da parte della Commissione, di una decisione di adeguatezza ai sensi dell’art. 45 GDPR richiede la constatazione, debitamente motivata, da parte di tale istituzione, che il paese terzo di cui trattasi garantisce effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’ ordinamento giuridico dell’Unione, interpretato alla luce dei diritti fondamentali protetti dalla Carta dei Diritti Fondamentali dell’UE, e in particolare gli artt. 7 (Rispetto della vita privata e della vita familiare, su cui si veda il cap. Le fonti della disciplina in materia di dati personali), 8 (Diritto alla protezione dei dati personali, su cui si veda il cap. Le fonti della disciplina in materia di dati personali) e 47 CDFUE (diritto a un ricorso effettivo e a un giudice imparziale);

ii) nel valutare l’adeguatezza del livello di protezione garantito da un paese terzo, la Commissione deve prendere in considerazione in particolare i mezzi di «ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento», anche alla luce dell’art. 47 CDFUE, che sancisce il diritto a un ricorso effettivo e a un giudice imparziale.

Secondo quanto prevede l’art. 46 GDPR, In mancanza di una decisione di adeguatezza ex art. 45 GDPR, di cui si è appena detto, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se:

i) ha fornito garanzie adeguate e

ii) a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Con riguardo alle garanzie adeguate, occorre distinguere le ipotesi che necessitano di un’autorizzazione specifica da parte dell’autorità di controllo e quelle che non la necessitano.

Fatta salva l’autorizzazione dell’autorità di controllo competente, possono costituire garanzie adeguate:

a) le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; o

b) le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati. L’autorità di controllo in questi casi applica il meccanismo di coerenza di cui all’articolo 63 (v. cap. La regolamentazione e la tutela amministrativa).

Inoltre, possono costituire garanzie adeguate, senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo:

a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;

b) le norme vincolanti d’impresa in conformità dell’articolo 47 GDPR;

c) le clausole tipo di protezione dei dati adottate dalla Commissione;

d) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione;

e) un codice di condotta approvato a norma dell’articolo 40 GDPR, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati;

f) un meccanismo di certificazione approvato a norma dell’articolo 42 GDPR, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

Con riguardo alle clausole tipo di protezione dei dati adottate dalla Commissione, queste sono state adottate dalla Commissione con la decisione di esecuzione (UE) 2021/914 del 4 giugno 2021.

Per quanto riguarda le norme vincolanti per l’impresa, la procedura per la loro approvazione è prevista dall’art. 47 GDPR. In particolare, l’autorità di controllo competente approva le norme vincolanti d’impresa in conformità del meccanismo di coerenza di cui all’articolo 63 GDPR (v. cap. La regolamentazione e la tutela amministrativa), a condizione che queste a norma dell’art. 47 GDPR:

1) siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti;

2) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali;

3) specifichino almeno:

a) la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e di ciascuno dei suoi membri;

b) i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;

c) la loro natura giuridicamente vincolante, a livello sia interno che esterno;

d) l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa;

e) i diritti dell’interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22 GDPR, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 79 GDPR, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;

f) il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l’evento dannoso non è imputabile al membro in questione;

g) le modalità in base alle quali sono fornite all’interessato le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14 GDPR (su tali informazioni v. cap. I diritti dell’interessato);

h) i compiti del responsabile della protezione dei dati (v. cap. Le definizioni fondamentali) o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e il controllo della formazione e della gestione dei reclami;

i) le procedure di reclamo;

j) meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune per garantire la verifica della conformità alle norme vincolanti d’impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell’interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all’organo amministrativo dell’impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e dovrebbero essere disponibili su richiesta all’autorità di controllo competente;

k) i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all’autorità di controllo;

l) il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);

m) i meccanismi per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa;

n) l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.

La Commissione può specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa.

Ancora con riguardo alle norme vincolanti per l’impresa, si possono poi citare, e assumono particolare rilevanza anche dal punto di vista operativo, le Raccomandazioni 1/2022 dell’EDPB sulla domanda di approvazione e sugli elementi e sui principi che devono figurare nelle norme vincolanti d’impresa del titolare del trattamento (articolo 47 del GDPR), adottate il 20 giugno 2023.

Rispetto ai trasferimenti soggetti a garanzie adeguate, l’intervento della Corte di Giustizia dell’UE è stato molto significativo. Infatti, nella decisione del 16 luglio 2020, C-311/18, la Corte ha interpretato congiuntamente l’art. 46 GDPR e l’art. 44 GDPR, affermando che l’art. 46 GDPR

La Corte continua affermando che le:

Poi, la Corte afferma che quando il trasferimento sia basato sulle clausole tipo adottate dalla Commissione ex art. 46, par. 2, lett. c) GDPR, le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti dall’art. 46 GDPR:

L’art. 45, par. 2 GDPR, come si è detto, individua gli elementi che la Commissione Europea deve considerare nel valutare l’adeguatezza del livello di protezione.

Dunque, l’uso degli strumenti previsti dall’art. 46, par. 2 GDPR non garantisce di per sé che i trasferimenti siano conformi al GDPR. Infatti, nella sentenza appena richiamata, (CGUE, 16 luglio 2020, C-311/18) la Corte ha anche affermato che l’adozione di clausole tipo non esclude che, al fine di garantire un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta, possa essere necessaria «in funzione della situazione esistente nell’uno o nell’altro paese terzo, l’adozione di misure supplementari da parte del titolare del trattamento» (§ 133).

In mancanza di una decisione di adeguatezza ex art. 45 GDPR, o di garanzie adeguate ex art. 46 GDPR, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate; tale condizione non si applica alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri;

b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato; tale condizione non si applica alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri;

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato; tale condizione non si applica alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri;

d) il trasferimento sia necessario per importanti motivi di interesse pubblico. In questo caso, l’interesse pubblico è riconosciuto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento;

e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;

f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri. Il trasferimento non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i destinatari.

Inoltre, se non è possibile basare il trasferimento su una decisione di adeguatezza o sull’esistenza di garanzie adeguate, e nessuna delle deroghe appena viste è applicabile, il trasferimento verso un paese terzo o un’organizzazione internazionale è ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. In questo caso, il titolare del trattamento informa del trasferimento l’autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14 GDPR (v. cap. I diritti dell’interessato), il titolare del trattamento informa l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti. Ques’ultima possibilità di trasferimento non si applica alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.

Infine, in mancanza di una decisione di adeguatezza, il diritto dell’Unione o degli Stati membri può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un’organizzazione internazionale. Gli Stati membri devono notificare tali disposizioni alla Commissione.

Esattamente a questa logica è ispirata la Direttiva Open Data 2019/1024 (recepita in Italia dal d.lgs. n. 200/2021 che ha emendato il d.lgs. 36/2006) che ha stabilito le regole per l’accesso e l’utilizzo dei dati pubblici da parte delle organizzazioni pubbliche e private all’interno dell’UE. La direttiva muove da alcune considerazioni che è qui utile riproporre:

E ancora più chiaramente:

Per conseguenza, la direttiva fissa un principio generale (art. 3) per il quale i ‘documenti’ in possesso di enti pubblici e imprese pubbliche siano riutilizzabili «a fini commerciali o non commerciali», siano messi a disposizione in un «lasso di tempo ragionevole» (art. 4) a titolo, di regola, gratuito (art. 6), sempre salvo il rispetto della normativa in materia di protezione dei dati personali, di diritto d’autore e di proprietà industriale.

Con il Data Governance Act, definitivamente applicabile nell’Unione europea dal 24 settembre 2023, la logica del riutilizzo dei dati pubblici viene ulteriormente sviluppata, anche muovendo dalla constatazione degli scarsi risultati prodotti su questo piano dalla Direttiva Open Data:

Il Regolamento perciò mira, nella sua parte dedicata al settore pubblico, a sbloccare quelle particolari categorie di dati soggetti a regimi speciali che ne impedivano la riutilizzazione, incoraggiando l’adozione di tecniche di anonimizzazione, aggregazione et al. dei dati protetti in maniera tale da assicurare il pieno rispetto dei diritti di terzi.

Il Data Governance Act, come accennato, fornisce per la prima volta alcune importanti definizioni, relative ai concetti di ‘dato’ (ovvero «qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva»), di ‘riutilizzo’ del dato pubblico (ovvero il riuso «a fini commerciali o non commerciali»), di ‘titolare dei dati’ (ovvero chi «ha il diritto di concedere l’accesso a determinati dati personali o dati non personali o di condividerli»), di ‘utente dei dati’ (ovvero chi ha accesso ai dati e ha diritto di «utilizzare tali dati a fini commerciali o non commerciali») e di ‘condivisione dei dati’ (ovvero la fornitura di dati da un interessato o un titolare dei dati a un utente dei dati ai fini dell’utilizzo congiunto o individuale di tali dati, dietro compenso o a titolo gratuito sulle qualificazioni soggettive all’interno del Data Governance Act, anche in relazione al GDPR v. cap. Le definizioni fondamentali).

Per quanto concerne il profilo pubblicistico, il Regolamento disciplina (art. 5) le condizioni per il riutilizzo di una o più delle categorie di dati protetti ex art. 3, par. 1 (cioè coperti da riservatezza commerciale, statistica, protezione dei diritti di proprietà intellettuale di terzi o protezione dei dati personali), detenuti da enti pubblici, prescrivendo che esse siano pubbliche, non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo.

In ogni caso, tali condizioni non debbono «limitare la concorrenza». Il Regolamento prevede (art. 6) che gli enti pubblici che consentono il riutilizzo delle categorie di dati protetti di cui sopra possano imporre tariffe non discriminatorie, proporzionate, oggettivamente giustificate (in particolare, per l’eventuale trattamento applicato al fine di garantire i diritti dei terzi; e.g. anonimizzazione, aggregazione etc.) e che non limitino il gioco concorrenziale. La gestione è affidata ad un sistema di sportelli unici (art. 8), con articolazione settoriale, regionale o locale.

Ad ogni modo, è opportuno chiarire che il Data Governance Act non fissa alcun obbligo per gli enti pubblici di acconsentire al riutilizzo dei dati, ma stabilisce una serie di regole comuni che debbono applicarsi qualora l’ente, sia pure dietro compenso, decida di consentirne l’utilizzo.

L’ente pubblico può inoltre svolgere attività di fornitura di «servizi di intermediazione dei dati», nei termini di cui si dirà infra, e rivestire altresì il ruolo di ‘titolare dei dati’ ai sensi del Regolamento in esame, ovvero di quel soggetto a cui l’interessato può richiedere di mettere i propri dati, siano essi personali o non personali, a disposizione di un soggetto terzo, ‘utente dei dati’, che ha diritto di utilizzarli per finalità commerciali o non commerciali.

L’altruismo dei dati mira a favorire la condivisione volontaria di dati senza compenso (salvo il rimborso dei costi sostenuti) per obiettivi di interesse generale (Capo IV del Data Governance Act).

L’obiettivo a tendere di questa legislazione di favore per la condivisione è perciò quello della creazione di «spazi comuni europei di dati», ossia «quadri interoperabili specifici o settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile» (considerando 27). L’art. 2, par. 1, n. 16), del Data Governance Act descrive l’altruismo dei dati come la «condivisione volontaria di dati sulla base del consenso accordato dagli interessati» o «sulle autorizzazioni di altri titolari dei dati», senza la richiesta o la ricezione di un compenso, salva la compensazione dei costi sostenuti.

Tale condivisione avviene, appunto, per fini altruistici, cioè per obiettivi di interesse generale, stabiliti nel diritto nazionale, quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l’agevolazione dell’elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l’elaborazione delle politiche pubbliche o la ricerca scientifica nell’interesse generale.

Per poter concretamente realizzare tale possibilità di condivisione di dati personali e non personali, gli Stati membri saranno chiamati nei prossimi anni ad accreditare le «organizzazioni per l’altruismo dei dati» attraverso l’iscrizione in un registro pubblico nazionale. Ai sensi dell’art. 17 del Data Governance Act, tali organizzazioni non potranno perseguire scopi di lucro e dovranno, ai sensi degli artt. 20 e 21, assicurare un elevato livello di trasparenza in merito al trattamento di dati personali e all’utilizzo di dati non personali nonché assolvere a specifici obblighi di tutela assicurando che i dati siano sempre trattati per lo specifico fine altruistico per il quale sono stati condivisi.

Come si è visto, il Data Governance Act favorisce la condivisione dei dati, personali e non, nella convinzione che più dati vengono condivisi fra enti pubblici e soggetti privati e fra gli stessi privati, maggiori sono le opportunità di sviluppo per l’economia europea.

In questo quadro, il legislatore eurounitario ha regolamentato una nuova tipologia di servizi, che cercano di affermarsi nella prassi: i servizi di intermediazione dei dati. Essi mirano a «instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall’altro, anche al fine dell’esercizio dei diritti degli interessati in relazione ai dati personali» (art. 2, n. 11), Data Governance Act).

Si tratta, dunque, di servizi che si prefiggono l’obiettivo di mettere in collegamento, da un lato, le persone fisiche cui i dati si riferiscono e i soggetti, diversi dagli interessati, che hanno il diritto di concedere a terzi l’accesso ai dati, anche non personali (i c.d. «titolari dei dati»: art. 2, n. 8, Data Governance Act, su cui v. supra cap. Le definizioni fondamentali, § 8.1) e, dall’altro, coloro che desiderano utilizzare tali dati (i c.d. «utenti dei dati»: art. 2, n. 9, Data Governance Act, su cui v. supra cap. Le definizioni fondamentali, § 8.1). Il collegamento dev’essere diretto: non possono considerarsi, quindi, servizi di intermediazione dei dati quei servizi in cui il fornitore ottiene dati dai titolari per poi aggregarli, arricchirli o trasformarli, al fine di aggiungervi un valore sostanziale e concedere licenze per il loro utilizzo (art. 2, n. 11, lett. a).

L’intermediazione, inoltre, deve mirare all’instaurazione di un rapporto «commerciale» fra le due parti in questione e deve riguardare «un numero indeterminato di interessati e di titolari dei dati». Di conseguenza, tenendo conto del primo aspetto, tra i servizi in esame non rientrano i servizi di condivisione dei dati offerti da enti pubblici che agiscono per scopi diversi (art. 2, n. 11, lett. d)) e i servizi che si limitano alla messa a disposizione di strumenti tecnici per gli interessati o per i titolari dei dati per la condivisione di dati con altri (ad esempio, servizi di archiviazione sul cloud, di web browser, di posta elettronica), senza mirare né a instaurare un rapporto commerciale, né a consentire al fornitore di acquisire informazioni in merito all’eventuale instaurazione del rapporto commerciale (v. considerando 28, Data Governance Act). Valorizzando il secondo aspetto, occorre escludere dai servizi di intermediazione in esame quelli utilizzati da un titolare dei dati, o comunque all’interno di un gruppo chiuso di soggetti, al fine di garantire la funzionalità di oggetti o dispositivi connessi all’Internet delle cose (art. 2, n. 11, lett. c)). Infine, un’ulteriore esclusione si basa sull’oggetto dei servizi: se questo è rappresentato da «contenuti protetti da diritto d’autore», l’intermediazione non ricade nella definizione data dal legislatore europeo (art. 2, n. 11, lett. b)).

In concreto, tra gli esempi di servizi di intermediazione dei dati, il Data Governace Act cita: i mercati dei dati su cui le imprese possono mettere dati a disposizione di terzi, gli orchestratori di ecosistemi di condivisione dei dati aperti a tutte le parti interessate, nonché i pool di dati creati congiuntamente da più persone fisiche o giuridiche con l’intento di concedere licenze per il loro uso a tutte le parti interessate in modo che tutti i partecipanti che contribuiscono al pool siano ricompensati per il loro contributo (considerando 28).

Nell’ambito di tali servizi, meritano una menzione speciale i fornitori che hanno come obiettivo principale quello di aiutare gli interessati nell’esercizio dei loro diritti, riconosciuti dal GDPR, in relazione ai dati personali oggetto di trattamento da parte di terzi. Tali fornitori prendono il nome di «cooperative di dati» (v. art. 2, n. 15, Data Governance Act) nella misura in cui la struttura organizzativa sia costituita proprio da interessati, nei cui confronti – in quanto membri dell’organizzazione – la cooperativa interverrà in aiuto. Peraltro, tali cooperative di dati possono avere come membri anche piccole e medie imprese (PMI), che, laddove siano esercitate da enti collettivi (ad esempio, società commerciali), quindi soggetti diversi da persone fisiche, non sono certamente qualificabili come interessati al trattamento ai sensi del GDPR. Ciononostante, anche le PMI possono aver bisogno di un’organizzazione che le aiuti nell’esercizio dei loro diritti in relazione a determinati dati non personali.

Considerata l’importanza dei servizi di intermediazione dei dati, anche in ragione dei delicati interessi in gioco, il Data Governance Act sottopone la loro fornitura a una serie di condizioni stringenti tanto sul piano dei divieti (v. art. 12, lett. a), b) e, indirettamente, e)), quanto sul piano degli obblighi (v. art. 12, lett. c), d), f), g), h), i), j), k), l), m), n) ed o)), tra cui spicca l’obbligo di far sì che la procedura di accesso al servizio sia equa, trasparente e non discriminatoria sia per gli interessati e i titolari dei dati, sia per gli utenti dei dati, anche per quanto riguarda i prezzi e le condizioni di servizio. Inoltre, il fornitore di servizi di intermediazione dei dati può avviare la fornitura solo dopo aver presentato una notifica all’autorità competente, per i cui compiti, a livello nazionale, è designata come responsabile l’Agenzia per l’Italia Digitale (AGID) (art. 2, d.lgs. n. 144/2024).