Data Governance Act VS Data ACT… yes they are different!

INTRO

I have been working around data since 2012, I am not a Data Scientist nor a Data Analyst nor a Data Engineer. I am probably at the intersection of tech and business, research and corporate, data production and data exploitation. A wannabe Data Steward when the data stewardship is a very very general title :-)
However, I found sometimes difficult to keep the pace with the EU regulation around data (Yes, there is something more than GDPR) and the process of drafting, proposal, provisional approval, effective approval, enforcement etc…
Honestly, I recently felt myself a bit loss when I heard about the proposal of the Data Act after seeing the approval of the Data Governance Act last year. Are they the same? (Actually, the answer is no). What’s the difference?
Well, I found a couple of good resources (at the end of this story you can find the links) and I drafted a short compendium. Contents are not original but I curated them in order to make the explanation shorter and, from my personal point of view, more usable.
Please continue reading below if the topic meets your interest, otherwise stop here. You won’t hurt me… not too much.

🇮🇹 Italian version of this article is provided at the end. (Versione italiana al fondo)

Foto di hitesh choudhary da Pexels

EU Data Act VS Data Governance Act

Both the Data Governance Act and the Data Act are part of a major European strategy for data presented by the EU Commission in February 2020. Europe aims to build a genuine single market for data and become a global leader in the data-agile economy. This follows a 2021 resolution through which the EU Parliament urged the EU Commission to present a regulation to encourage and enable greater and fairer flow of data in all sectors. In the same resolution the European Parliament also stressed that market imbalances arising from the concentration of data have several negative effects on digital trade, including competition restrictions, creation of market entry barriers, and contraction of wider data access and use.

Where the Data Governance Act (DGA) strengthens the single market’s governance mechanism and establishes a framework to facilitate general and sector-specific data-sharing, the scope of the Data Act concerns the rights on the access to and use of data.

More explicitly: while the DGA defines the data-sharing architecture, the Data Act introduces provisions on how non-personal data is accessed, shared and monetised.

The two Acts have beed designed to be consistent with existing rules, including those on the processing of personal data, such as the EU GDPR and the EU ePrivacy Directive.

DGA — Data Governance Act

On 30 November 2021, the EU Parliament and Council reached a provisional agreement on the wording of the DGA. Formal approval is still required and the remaining procedural steps are likely to be completed by March 2022 . The Act will become applicable 15 months after the date of its entry into force (i.e. Summer of 2023).

The DGA will establish:

1. Wide reuse of certain types of protected public-sector data. For instance, trade secrets, personal data (yes, personal data too!), and data protected by intellectual property rights. Protecting privacy and confidentially is crucial here so public sector bodies will need to be technically equipped to deal with these data securely. The Commission will set up a searchable electronic register of public sector data, accessible via national information points as well.
2. A framework and a licensing regime for data intermediation services where companies and individuals can share data. These are organisations which set up commercial arrangements between data holders and data users, but which do not themselves add extra value to the data. For individuals, the services will help them to have full control over their data and choose to share it only with a company they trust through personal information management tools such as personal data spaces or data wallets.
3. Data altruism for the common good. Organisations that collect data serving a general interest, such as medical/scientific research, may apply to be listed in a national register of recognised data altruism organisations. This will encourage individuals to donate data to these organisations and will make it easier for organisations to use data for societal good.

More in details:

ABOUT PUBLIC SECTOR

Chapter II of the Act aims to unlock more value in data held by the public sector, by opening up this data for re-use.

Like the Open Data Directive, the Act does not oblige public sector bodies to allow re-use of data, but where data are made available for re-use then it requires that access arrangements must be non-discriminatory, transparent, proportionate, objective and may not restrict competition.

If a public sector body receives a request to release data, but cannot do so in a compliant way, even by using the techniques above, then it has an obligation to use best efforts to seek consent to re-use from the data subject/ affected person, unless this would involve disproportionate effort. To assist in this, the Commission requires each member state to have a competent body to support public authorities in these tasks.

#ABOUT INTERMEDIATION

Chapter III of the Act aims to encourage a new market in neutral data intermediation services. This is on the basis that, “specialised data intermediation services that are independent from data subjects and data holders, and from data users, could have a facilitating role in the emergence of new data-driven ecosystems…”.

The Act also anticipates the creation of specialised forms of data intermediaries, called “data co-operatives”, which support individuals or small and medium-sized enterprises to negotiate terms and conditions for data processing.

All intermediation service providers must notify the relevant competent authority and must meet specified conditions. If the competent authority issues this confirmation, the provider is then able to use a to-be-developed Commission logo and to use the legend “provider of data intermediation services recognised in the Union”. If in scope, they have 24 months from the date the Act becomes applicable to meet the requirements in the Act.

#ABOUT DATA ALTRUISM

The Act defines “data altruism” as “the consent by data subjects to process personal data pertaining to them, or permissions of other data holders to allow the use of their non-personal data without seeking a reward that goes beyond a compensation related to the costs they incur making their data available, for purposes of general interest, …, such as healthcare, combating climate change, improving mobility, facilitating the establishment of official statistics, improving public services, public policy making or scientific research purposes in the general interest”.

The Act sets out a registration scheme for data altruism organisations, but — unlikely data intermediaries — registration is voluntary. Member states must designate a competent authority to manage the registration process.

Organisations who do register will then be able to promote themselves in this way, by using a Commission developed logo and the legend “data altruism organisation recognised in the Union”.

#ABOUT DATA TRANSFER

The Act contains the first steps towards restriction of transfers of non-personal data. Art.30 introduces a general obligation on public sector bodies, those allowed data for re-use, as well as data intermediation and data altruism organisations to take all reasonable measures to prevent international transfers of or government access to non-personal data held in the Union, where this would conflict with EU or Member State law.

#ABOUT EUROPEAN DATA INNOVATION BOARD

The Act requires a European Data Innovation Board, made up of a group of experts in the field, to be created. The Board should consist of representatives of the Member States, the Commission and relevant data spaces and specific sectors.

#ABOUT FINES

Article 31 of the Act states that fines are to be set and implemented by each Member State. Unlike the GDPR, the Act does not prescribe the specific amounts and weighting factors applicable to the corresponding monetary sanctions. However, decided penalties must be “effective, proportionate and dissuasive”.

Data Act

In February 2022, the European Commission presented its formal draft for the EU Data Act. The next step is for the text to be approved and adopted (although there is no current indication of when this will be). When the EU Data Act is eventually approved, there will only be a 12-month implementation period.

The EU Data Act complements the Data Governance Act. While both consider data sharing:

• The Data Governance Act focuses on providing a legal framework, processes and structures to promote data sharing.
• The EU Data Act focuses more on making clear who can create value from data and under what conditions.

If the EU Data Act generally does not look to change the legal positions around intellectual property rights, it clarifies that databases containing data from IoT devices should not be subject to separate legal protection under database rights to ensure that they can be accessed and used. This is to prevent holders of data claiming exclusivity over data generated by connected products.

The EU Data Act must be read in parallel with the EU GDPR, but builds on it and provides wider rules that apply to all ‘data. The EU Data Act therefore deals with all data, not just non-personal data.

The EU Data Act applies to various persons and entities, including:

• manufacturers and providers of connected products (e.g., IoT devices) and related services in the EU;
• data holders that make such data available to data recipients in the EU;
• businesses that are data recipients in the EU to whom data holders make data available;
• businesses providing data processing services (e.g., cloud services) to customers in the EU;
• public sector bodies in the EU.

There are some exemptions for small and medium-sized enterprises (SMEs) and micro-enterprises.

Key points in the EU Data ACT.

• Right of users to access and use data generated by connected products or related services (sharing and accessibility by design): where data cannot be directly accessed by the user from the product or related service, the data holder must make available to the user the data generated by the product or related service without undue delay, free of charge and, where applicable, continuously and in real time.
• Protection of users’ commercial interests: data holders may only use non-personal data generated by the use of a connected product or related service if a written contract is in place including the right to allow the switching to another service within 30 calendar days.
• Sharing data with third parties in accordance with user instructions: with some exceptions there is an obligation on holders of data from connected products or related services to make the data available to third parties of the user’s choice.
• Sharing data with public bodies: there is an obligation to provide certain data to public bodies in exceptional circumstances, such as in response to a public emergency (e.g., natural disasters, public health emergencies, or terrorist attacks) or to fulfil legal obligations. In the case of information necessary to respond to a public emergency, access to the data will have to be granted without undue delay and free of charge.
• Switching between cloud services: well-defined rules will help customers to effectively switch between services (including porting data, applications and other digital assets) without incurring any costs.
• Interoperability: the EU Data Act requires operators of data spaces and those deploying smart contracts to comply with certain requirements to facilitate interoperability

About fines: enforcement is at the hands of the competent authorities designated by member states (which may be either existing or new authorities), and any infringements will be sanctioned by administrative fines or financial penalties, also set at the national level.

Links and resources:

https://www.twobirds.com/en/insights/2022/global/the-eu-data-governance-act-what-privacy-professionals-need-to-know

https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/690674/EPRS_BRI(2021)690674_EN.pdf

What you need to know about the new EU Data Act | Perspectives | Reed Smith LLP

🇮🇹 VERSIONE ITALIANA 🇮🇹

Sia il Data Governance Act che il Data Act fanno parte di un’importante strategia europea per i dati presentata dalla Commissione europea nel febbraio 2020. L’Europa in tal senso mira a costruire un vero e proprio mercato unico per i dati e diventare così un leader globale nell’economia agile dei dati. Tutto ciò fa seguito ad una risoluzione del 2021 attraverso la quale il Parlamento dell’UE ha esortato la Commissione europea a presentare un regolamento per incoraggiare e consentire un flusso di dati maggiore e più equo in tutti i settori. Nella stessa risoluzione il Parlamento europeo ha anche sottolineato che gli squilibri di mercato derivanti dalla concentrazione dei dati hanno diversi effetti negativi sul commercio digitale, comprese le restrizioni alla concorrenza, la creazione di barriere all’ingresso nel mercato e la contrazione di un più ampio accesso e utilizzo dei dati.

Laddove il Data Governance Act (DGA) rafforza il meccanismo di controllo del mercato unico e istituisce un quadro per facilitare la condivisione dei dati generale e settoriale, il campo di applicazione del Data Act riguarda i diritti di accesso e di utilizzo dei dati.

Più esplicitamente: mentre il DGA definisce l’architettura di condivisione dei dati, il Data Act introduce disposizioni sulle modalità di accesso, condivisione e monetizzazione di dati non personali.

I due atti sono stati concepiti per essere coerenti con le norme esistenti, comprese quelle sul trattamento dei dati personali, come il GDPR e le Direttive sulla Privacy dell’UE.

DGA — Data Governance Act

Il 30 novembre 2021 il Parlamento e il Consiglio dell’UE hanno raggiunto un accordo provvisorio sulla formulazione del DGA. L’approvazione formale è ancora in corso e le restanti fasi procedurali dovrebbero essere completate entro marzo 2022. La legge diventerà applicabile 15 mesi dopo la data della sua entrata in vigore (vale a dire presumibilmente entro l’estate del 2023).

Il DGA sancirà:

1. La possibilità di riutilizzo di alcuni tipi di dati del settore pubblico normalmente non rilasciati. Ad esempio, segreti commerciali, dati personali e dati protetti da diritti di proprietà intellettuale. La protezione della privacy e della riservatezza rimane comunque fondamentale, quindi gli enti del settore pubblico dovranno essere tecnicamente attrezzati per gestire questi dati in modo sicuro. La Commissione istituirà un registro elettronico ed un relativo motore di ricerca dei dati del settore pubblico, accessibile anche tramite i punti d’informazione nazionali.

2. Verrà definito un quadro e un regime di licenza per i servizi di intermediazione in cui aziende e privati ​​potranno condividere i dati. Gli intermediari sono intesi come organizzazioni che stabiliscono accordi commerciali tra titolari e utilizzatori, ma che di per sé non aggiungono valore ulteriore ai dati stessi. Per gli individui, i servizi di intermediazione aiuteranno ad avere il pieno controllo sui propri dati e a scegliere di condividerli solo con un’azienda di cui si fidano attraverso strumenti di gestione delle informazioni personali come spazi di dati personali o portafogli.

3. Vedrà la luce il concetto di “Altruismo dei dati per il bene comune”. Le organizzazioni che raccolgono dati che rispondono ad un interesse generale, come la ricerca medica/scientifica, potranno chiedere di essere iscritte in un registro nazionale delle organizzazioni riconosciute per l’altruismo dei dati. Ciò incoraggerà le persone a donare dati a queste organizzazioni e renderà più facile per le altre organizzazioni utilizzare i dati per il bene della società.

Più in dettaglio:

# SETTORE PUBBLICO

Il capo II della legge mira a sbloccare ulteriore valore nei dati detenuti dal settore pubblico, aprendo la strada al riutilizzo.

Come la direttiva Open Data, la legge non obbliga gli enti del settore pubblico a consentire il riutilizzo dei dati, ma laddove i dati siano resi disponibili per il riutilizzo, richiede che le modalità di accesso siano non discriminatorie, trasparenti, proporzionate, obiettive e che non limitino la concorrenza.

Se un ente del settore pubblico riceve una richiesta di rilascio dei dati, ma non può ottemperare in modo conforme, ha l’obbligo di adoperarsi al meglio per chiedere il consenso dell’interessato a meno che ciò non comporti uno sforzo sproporzionato. A tal fine, la Commissione richiede che ogni Stato membro disponga di un organismo competente per supportare le autorità pubbliche in questi compiti.

# INTERMEDIAZIONE

Il capo III della legge mira a incoraggiare un nuovo mercato dei servizi neutrali di intermediazione dei dati. Ciò sulla base del fatto che “servizi specializzati di intermediazione, indipendenti dagli interessati, dai titolari e dagli utenti, potranno avere il ruolo di facilitatore nell’emergere di nuovi ecosistemi basati sui dati”.

La legge prevede inoltre la creazione di forme specializzate di intermediari dei dati, dette “cooperative di dati”, che possano supportare i privati ​​o le piccole e medie imprese nella negoziazione di termini e condizioni per il trattamento dei dati.

Tutti i prestatori di servizi di intermediazione devono informare l’autorità competente pertinente e devono soddisfare condizioni specifiche. Se l’autorità competente rilascerà tale conferma, il fornitore potrà esibire un logo della Commissione e utilizzare la dicitura “fornitore di servizi di intermediazione dati riconosciuto nell’Unione”.

# ALTRUISMO DEI DATI

La legge definisce “altruismo dei dati” come “il consenso degli interessati al trattamento dei dati personali che li riguardano, o le autorizzazioni dei titolari a consentire l’utilizzo dei propri dati non personali senza richiedere un compenso (al di là di un rimborso relativo a eventuali costi sostenuti per la messa a disposizione), per fini di interesse generale, quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l’elaborazione di statistiche ufficiali, il miglioramento dei servizi pubblici, l’emanazione di politiche pubbliche o la ricerca scientifica nell’interesse collettivo”.

La legge stabilisce che sia istituito un processo di registrazione per le organizzazioni di altruismo dei dati, ma — a differenza del caso degli intermediari sui dati — la registrazione sarà volontaria. Gli Stati membri dovranno designare un’autorità competente per gestire il processo di registrazione.

Le organizzazioni che si registrano potranno quindi promuoversi in questo modo, utilizzando un logo sviluppato dalla Commissione e la dicitura “organizzazione per l’altruismo dei dati riconosciuta nell’Unione Europea”.

# IL TRASFERIMENTO DEI DATI

La legge contiene i primi provvedimenti verso la limitazione dei trasferimenti di dati non personali. L’articolo 30 introduce un obbligo generale per gli enti del settore pubblico, coloro che consentono il riutilizzo dei dati, nonché le organizzazioni di intermediazione dei dati e di altruismo dei dati al fine di adottare tutte le misure ragionevoli per impedire i trasferimenti internazionali o l’accesso ai dati non personali nei casi in cui ci sia un possibile conflitto con il diritto dell’UE o degli Stati membri.

# EUROPEAN DATA INNOVATION BOARD

La legge richiede la creazione di un comitato europeo per l’innovazione dei dati, composto da un gruppo di esperti del settore. Il consiglio dovrà essere composto da rappresentanti degli Stati membri e della Commissione.

# LE MULTE

L’articolo 31 della legge stabilisce che le sanzioni devono essere fissate e attuate da ciascuno Stato membro. A differenza del GDPR, la legge non prescrive gli importi specifici e i fattori di scala applicabili alle corrispondenti sanzioni pecuniarie. Tuttavia, le sanzioni decise dovranno essere “efficaci, proporzionate e dissuasive”.

DATA ACT

Nel febbraio 2022, la Commissione Europea ha presentato la sua bozza formale di EU Data Act. Il passo successivo è l’approvazione e l’adozione del testo (sebbene al momento non vi siano indicazioni su quando ciò avverrà). Quando l’EU Data Act sarà approvato, il periodo di attuazione sarà di 12 mesi.

Il Data Act dell’UE complementa il Data Governance Act. Sebbene infatti entrambi trattino il tema della condivisione dei dati:

• Il Data Governance Act si concentra sul definire un quadro giuridico, i processi e le strutture per promuovere la condivisione dei dati.
• L’EU Data Act si concentra invece maggiormente sul chiarire chi può creare valore dai dati e a quali condizioni.

Se l’EU Data Act in genere non mira dunque a modificare le norme legali in merito ai diritti di proprietà intellettuale, chiarisce invece che i database contenenti dati provenienti da dispositivi IoT non dovrebbero essere soggetti a una protezione giuridica separata. Questo con lo scopo di evitare che i titolari di dati rivendichino l’esclusiva sui dati generati dai prodotti collegati.

L’EU Data Act deve essere letto parallelamente al GDPR, fornendo però regole più ampie che si applicano a tutti i “dati”.

L’EU Data Act si applica a varie persone ed entità, tra cui:

• produttori e fornitori di prodotti connessi (ad es. dispositivi IoT) e servizi correlati nell’UE;
• titolari dei dati che li rendono disponibili a destinatari nell’UE;
• imprese destinatarie di dati nell’UE a cui i titolari mettono a disposizione i dati;
• aziende che forniscono servizi di elaborazione (ad es. servizi cloud) a clienti nell’UE;
• enti del settore pubblico nell’UE.

Sono previste alcune esenzioni per le piccole e medie imprese (PMI) e le microimprese.

I punti chiave nel Data ACT sono dunque i seguenti.

• Gli utenti hanno il diritto di accedere e utilizzare i dati generati da prodotti connessi o relativi servizi (la condivisione e l’accessibilità devono essere implementati “by design”): laddove i dati non siano direttamente accessibili dall’utente tramite il prodotto o il servizio correlato, il titolare del trattamento deve mettere a disposizione dell’utente i dati generati dal prodotto o servizio connesso senza indebito ritardo, gratuitamente e, ove applicabile, in modo continuativo ed in tempo reale.
• Gli interessi commerciali degli utenti devono essere tutelati: i titolari dei dati possono utilizzare i dati non personali generati dall’utilizzo di un prodotto connesso o servizio correlato solo se è in essere un contratto scritto che prevede il diritto di consentire il passaggio ad altro servizio entro 30 giorni.
• La condivisione dei dati con terze parti deve avvenire secondo le istruzioni dell’utente: salvo alcune eccezioni sussiste l’obbligo per chi gestisce i dati di metterli a disposizione di terzi a scelta del titolare.
• Condivisione dei dati con enti pubblici: sussiste l’obbligo di fornire determinati dati a enti pubblici in circostanze eccezionali, ad esempio in risposta a un’emergenza pubblica (es. calamità naturali, emergenze sanitarie o attentati terroristici) o per adempiere ad obblighi di legge. Nel caso di informazioni necessarie per rispondere ad un’emergenza pubblica, l’accesso ai dati dovrà essere concesso senza indebito ritardo e gratuitamente.
• Passaggio da un servizio Cloud all’altro: regole ben definite aiuteranno i clienti a passare efficacemente da un servizio all’altro (incluso il porting di dati, applicazioni e altre risorse digitali) senza sostenere alcun costo.
• Interoperabilità: il Data Act richiede che gli operatori di spazi dati e coloro che implementano contratti intelligenti rispettino determinati requisiti per facilitare l’interoperabilità.

A proposito di sanzioni: l’esecuzione è nelle mani delle autorità competenti designate dagli Stati membri (che possono essere autorità esistenti o nuove), e le eventuali violazioni saranno sanzionate con sanzioni amministrative o sanzioni pecuniarie, stabilite anche a livello nazionale.