Συμμόρφωση με τον Κανονισμό (ΕΕ) 2022/868 – Data Governance Act

Ο Κανονισμός για τη Διακυβέρνηση Δεδομένων (Data Governance Act, DGA), που τέθηκε σε ισχύ το 2022, έρχεται να συμπληρώσει την Οδηγία για τα Ανοικτά Δεδομένα. Η διαφορά του είναι ότι δεν επικεντρώνεται στο «τι πρέπει να δημοσιοποιηθεί» αλλά στο πώς διαμοιράζονται και επαναχρησιμοποιούνται τα δεδομένα, ιδιαίτερα όταν αυτά είναι προστατευμένα. Στόχος του είναι να δημιουργήσει μηχανισμούς εμπιστοσύνης ώστε οι πολίτες και οι επιχειρήσεις να αισθάνονται ασφάλεια όταν μοιράζονται ή αξιοποιούν δεδομένα, και παράλληλα να εξασφαλίζεται η ομαλή και δίκαιη κυκλοφορία τους σε όλη την Ευρωπαϊκή Ένωση.

Ο DGA ρυθμίζει την πρόσβαση σε δεδομένα που δεν είναι πλήρως ανοικτά, όπως είναι εκείνα που περιέχουν εμπορικά μυστικά, στοιχεία πνευματικής ιδιοκτησίας, ευαίσθητα στατιστικά δεδομένα ή ανωνυμοποιημένα προσωπικά δεδομένα. Για αυτά, ο κανονισμός προβλέπει την εφαρμογή ειδικών διαδικασιών επαναχρησιμοποίησης. Αυτό σημαίνει ότι, ενώ δεν μπορούν να αναρτηθούν ανοιχτά για όλους, μπορεί να επιτραπεί η πρόσβαση σε συγκεκριμένους φορείς ή οργανισμούς (π.χ. ερευνητικά ιδρύματα, πανεπιστήμια, μη κερδοσκοπικές οργανώσεις) υπό αυστηρούς όρους. Οι όροι αυτοί μπορεί να περιλαμβάνουν την υπογραφή συμφωνιών εμπιστευτικότητας, τον καθορισμό συγκεκριμένου σκοπού χρήσης, την απαγόρευση περαιτέρω διάδοσης ή την υποχρέωση επιστροφής/διαγραφής των δεδομένων μετά το πέρας της χρήσης.

Μια ακόμη σημαντική καινοτομία είναι η εισαγωγή του ρόλου των ενδιάμεσων φορέων δεδομένων (data intermediaries). Αυτοί λειτουργούν ως ουδέτεροι διαμεσολαβητές ανάμεσα σε όσους κατέχουν δεδομένα και σε όσους θέλουν να τα χρησιμοποιήσουν. Ο ρόλος τους είναι να εξασφαλίζουν την ασφαλή και δίκαιη πρόσβαση, χωρίς να εκμεταλλεύονται οι ίδιοι τα δεδομένα για δικό τους όφελος. Έτσι, οι φορείς που δεν διαθέτουν την τεχνική ή νομική δυνατότητα να παρέχουν δεδομένα απευθείας στο κοινό, μπορούν να τα διαθέσουν μέσω ενός τέτοιου διαμεσολαβητή, με διασφάλιση όλων των νομικών και ηθικών κανόνων.

Επιπλέον, ο Κανονισμός προωθεί την έννοια του «data altruism», δηλαδή της εθελοντικής διάθεσης δεδομένων από πολίτες, επιχειρήσεις ή οργανισμούς για σκοπούς γενικού συμφέροντος. Πρόκειται για περιπτώσεις όπου κάποιος παραχωρεί τα δεδομένα του, για παράδειγμα σε ένα πανεπιστήμιο που διεξάγει έρευνα για σπάνιες ασθένειες ή για την προστασία του περιβάλλοντος. Η διάθεση αυτή πρέπει να γίνεται με πλήρη ενημέρωση και συγκατάθεση, και πάντα με σεβασμό στην ιδιωτικότητα και την προστασία των προσωπικών πληροφοριών.

Η συμμόρφωση με τον DGA για έναν δημόσιο φορέα σημαίνει πρακτικά ότι πρέπει να έχει θεσπίσει διαφανείς διαδικασίες διαχείρισης αιτημάτων πρόσβασης σε προστατευμένα δεδομένα. Αυτό περιλαμβάνει την ύπαρξη ξεκάθαρων κριτηρίων, την αξιολόγηση της νομιμότητας κάθε αιτήματος και την παροχή απαντήσεων μέσα σε εύλογο χρονικό διάστημα. Ο φορέας πρέπει επίσης να εξασφαλίζει ότι η επεξεργασία γίνεται σε ασφαλή υπολογιστικά περιβάλλοντα, ώστε να μην είναι δυνατή η μη εξουσιοδοτημένη αντιγραφή ή μεταφορά των δεδομένων.

Ένα χαρακτηριστικό παράδειγμα εφαρμογής του DGA είναι τα δεδομένα υγείας. Ενώ δεν μπορούν να δημοσιοποιηθούν ως πλήρως ανοικτά δεδομένα λόγω GDPR, μπορούν να γίνουν αντικείμενο ελεγχόμενης επαναχρησιμοποίησης. Ένα ερευνητικό κέντρο μπορεί να υποβάλει αίτηση για πρόσβαση σε ανωνυμοποιημένα δεδομένα νοσοκομειακών αρχείων, με σκοπό την ανάπτυξη νέων θεραπειών. Ο δημόσιος φορέας που κατέχει τα δεδομένα θα πρέπει να εξετάσει το αίτημα, να διασφαλίσει ότι η χρήση είναι νόμιμη και να εφαρμόσει τεχνικά μέτρα που αποτρέπουν την αναγνώριση ατόμων ή τη μη εξουσιοδοτημένη μεταφορά των δεδομένων. Μόνο τότε μπορεί να δοθεί η πρόσβαση με περιορισμένους όρους και πάντα με πλήρη τεκμηρίωση.

Συνοψίζοντας, ο Κανονισμός για τη Διακυβέρνηση Δεδομένων εισάγει μια νέα διάσταση στη συμμόρφωση: δεν αφορά μόνο το άνοιγμα δεδομένων, αλλά και την ορθή διαχείριση εκείνων που δεν μπορούν να δημοσιευτούν πλήρως. Ο δημόσιος φορέας, εφαρμόζοντας τις προβλέψεις του, αποδεικνύει ότι όχι μόνο σέβεται τους νομικούς περιορισμούς, αλλά και αξιοποιεί κάθε δυνατότητα για υπεύθυνη και ασφαλή διάθεση πληροφορίας προς την κοινωνία και την επιστημονική κοινότητα.