Il rapporto tra Data Governance Act e NIS2 mostra come la regolazione europea del digitale stia convergendo verso un modello fondato su fiducia, sicurezza, governance e responsabilità organizzativa nella circolazione dei dati e nella resilienza delle infrastrutture digitali.
Il processo di regolazione del digitale avviato dall’Unione europea negli ultimi anni non può più essere letto come una mera successione di interventi settoriali, ciascuno destinato a presidiare un segmento autonomo dell’economia digitale.
Per lungo tempo, infatti, la disciplina europea si è sviluppata attraverso ambiti normativi relativamente distinti:
- La governance dei dati
- La sicurezza delle infrastrutture critiche
- La protezione delle identità elettroniche
- La regolazione dei servizi digitali
Tale assetto, pur rispondendo a esigenze regolatorie specifiche, lasciava emergere l’immagine di un ordinamento digitale composto da discipline contigue, ma non sempre sistematicamente integrate.
Negli ultimi anni, tuttavia, il quadro sembra essere mutato. La Strategia europea per i dati del 2020, il Regolamento (UE) 2022/868, comunemente noto come Data Governance Act, il Regolamento (UE) 2023/2854, ossia il Data Act, la Direttiva (UE) 2022/2555, nota come NIS2, il Regolamento (UE) 2024/2847 sulla resilienza cibernetica dei prodotti con elementi digitali, nonché l’evoluzione del quadro eIDAS, delineano un’architettura normativa che non può essere compresa limitandosi alla funzione immediata di ciascun atto.
Il legislatore europeo non sta soltanto disciplinando dati, infrastrutture, prodotti, servizi digitali o identità elettroniche; sta cercando di costruire le condizioni giuridiche, tecniche e organizzative affinché il mercato unico digitale possa fondarsi su relazioni affidabili, verificabili e resilienti.
Dal piano formale a una connessione strutturale
In tale scenario, il rapporto tra Data Governance Act e NIS2 assume un rilievo particolarmente significativo. A una lettura superficiale, le due discipline sembrano muoversi su piani differenti:
- Data Governance Act si occupa di governance dei dati, riutilizzo di determinate categorie di dati detenuti da enti pubblici, servizi di intermediazione dei dati e altruismo dei dati;
- NIS2 riguarda la gestione del rischio cyber per soggetti essenziali e importanti, la sicurezza delle reti e dei sistemi informativi, la continuità operativa e la notifica degli incidenti.
Tale distinzione, pur formalmente corretta, rischia però di oscurare una convergenza più profonda. Entrambe le normative partecipano alla medesima trasformazione: il passaggio da una fiducia intesa come presupposto spontaneo del mercato a una fiducia costruita attraverso obblighi normativi, processi organizzativi e misure tecniche dimostrabili.
Costruire fiducia, non semplicemente governare i dati
Il Data Governance Act viene spesso presentato come una normativa dedicata alla circolazione dei dati. Tale qualificazione, pur non inesatta, appare riduttiva, poiché il cuore del regolamento non è rappresentato soltanto dalla disponibilità del dato, ma dalla costruzione delle condizioni di fiducia necessarie affinché soggetti pubblici e privati decidano effettivamente di condividere informazioni.
La Commissione europea, già nella Comunicazione COM(2020)66 final relativa alla Strategia europea per i dati, aveva individuato:
- la frammentazione del mercato;
- l’incertezza giuridica;
- gli squilibri di potere informativo;
- la carenza di fiducia;
come principali ostacoli allo sviluppo di uno spazio europeo dei dati. Il problema, dunque, non era semplicemente l’assenza di dati, bensì l’assenza di condizioni istituzionali idonee a rendere la condivisione dei dati una scelta economicamente razionale e giuridicamente sicura.
Il ruolo strategico degli intermediazioni dei dati
In tale prospettiva, i servizi di intermediazione dei dati previsti dal Data Governance Act rappresentano una delle innovazioni più rilevanti del regolamento. Il data intermediary non è concepito come un soggetto che trae valore dallo sfruttamento diretto dei dati, né come un operatore che acquisisce una posizione proprietaria sulle informazioni oggetto di condivisione.
Al contrario, la sua funzione consiste nel facilitare il rapporto tra:
- titolari dei dati;
- detentori dei dati;
- potenziali utilizzatori;
garante un ambiente neutrale, trasparente e non discriminatorio.
Requisiti per un intermedio affidabile
Il regolamento costruisce tale figura attorno a requisiti di:
- indipendenza;
- separazione funzionale;
- assenza di conflitti di interesse;
- divieto di utilizzare i dati per finalità diverse dalla messa a disposizione degli stessi agli utenti del servizio.
Il punto centrale è che il valore economico dell’intermediario non risiede nella disponibilità materiale del dato, bensì nella capacità di rendere affidabile la relazione tra soggetti che, in assenza di adeguate garanzie, potrebbero non avere alcun incentivo a condividere informazioni strategiche.
Il nodo tra fiducia e cybersecurity
L’intermediario dei dati opera quindi come infrastruttura fiduciaria: non produce necessariamente dati, non li valorizza direttamente per finalità proprie, non ne determina in via autonoma gli impieghi economici, ma rende possibile la circolazione regolata delle informazioni attraverso la propria affidabilità organizzativa e giuridica.
Da ciò deriva una conseguenza di particolare rilievo: il Data Governance Act, prima ancora di essere una disciplina del dato, è una disciplina della fiducia. Il regolamento interviene sul mercato non perché manchino informazioni, ma perché la loro condivisione richiede un soggetto terzo in grado di ridurre il rischio percepito, prevenire appropriazioni indebite, assicurare trasparenza nelle condizioni di accesso e garantire che il dato non venga utilizzato in modo incompatibile con le aspettative delle parti coinvolte.
Il data intermediary diventa così una figura il cui asset principale è reputazionale, organizzativo e regolatorio: il mercato gli attribuisce valore nella misura in cui lo considera affidabile.
Il rischio di compromissione di un intermedio
Se il Data Governance Act attribuisce agli intermediari una funzione fiduciaria, diventa inevitabile interrogarsi sul rapporto tra fiducia e sicurezza. La fiducia non può essere costruita soltanto attraverso ob