GOVERNO DEI DATI E POLITICHE DATA-DRIVEN PER IL TERRITORIO E LE IMPRESE.

The thesis examines European data law in the context of digital transformation, reconstructing the regulatory and doctrinal evolution that has led to the progressive recognition of the protection of personal data as a fundamental right of the European Union and to the development of an articulated system of data governance. Digitalisation, understood as the widespread conversion of social, economic, and institutional phenomena into numerical formats, has brought about increasingly large-scale digital interconnection and, consequently, the centrality of data as an economic, legal, and social resource, fuelling the data-driven economy. In this scenario, the European Union has progressively built a complex, multi-level regulatory framework aimed at ensuring the harmonisation of sectoral regimes and addressing the new challenges posed by data circulation and the development of digital technologies, including artificial intelligence. The thesis situates these transformations within the broader process of the emergence of “European digital constitutionalism”, characterised by the intertwining of digital market regulation and the constitutional principles of the Union, as well as within the project of affirming European digital sovereignty. The EU pursues a model of internet and data governance that differs both from approaches based on private self-regulation and from models of centralised control, with the aim of integrating the protection of digital rights and individual freedoms with effective market regulation and the security needs of infrastructures and information. Starting from a reconstruction of the historical evolution of the notion of privacy and of the path that led to Regulation (EU) 2016/679 (GDPR), the thesis analyses the consolidation of personal data protection as a fundamental right and the subsequent development of the European Data Strategy, focusing on the role of the Data Governance Act, the Data Act, and the AI Act in shaping new forms of data governance. In this context, a shift is highlighted from an approach predominantly oriented towards risk management, typical of the GDPR, to an approach that enhances the economic and social opportunities arising from data circulation, while still respecting the fundamental rights of data subjects. A substantial part of the analysis is devoted to the market for personal data and to the dynamics of the “commodification” of data, which tends to transform data from a mere informational element into an asset capable of economic exploitation. Profiling practices, personalised advertising, and the business models of digital platforms show how data become consideration for access to services that are only apparently free, raising new issues concerning consent, models of data ownership and control, the right to data portability, and the principle of data protection by design. From this perspective, data assume a dual value: an economic resource for digital market operators and, at the same time, a projection of the individual’s personal and identity sphere. The thesis also explores the theme of data security and protection, understood not only as a set of technical and organisational measures aimed at preventing unauthorised access and incidents, but also as a substantive dimension of the protection of fundamental rights and of building citizens’ trust in the digital ecosystem. From this perspective, the protection of personal data is framed as a form of security in a broad sense, overcoming the traditional opposition between privacy and security. The theoretical and regulatory framework outlined finds concrete application in the analysis of the European Health Data Space, as a paradigmatic field for balancing data circulation, innovation, public interest, and the protection of fundamental rights. The EHDS shows how the primary and secondary use of health data can contribute to improving healthcare, scientific research, and the development of data-driven public policies, while at the same time raising significant issues in terms of governance, security, and the protection of the person. In conclusion, the thesis highlights how European data law does not merely regulate the circulation of information, but substantively shapes public and private data-based policies. From this perspective, the most recent developments in the regulatory framework are recalled, including the proposal for a Digital Omnibus, aimed at streamlining compliance obligations and cybersecurity incident reporting, as well as the infrastructural and sustainability implications connected to the growing role of data centres and the increasing demand for energy and material resources driven by digital technologies and artificial intelligence. The overall analysis portrays a system in evolution, called upon to reconcile the valorisation of data, technological innovation, security, and the protection of fundamental rights within the framework of the constitutional values of the European Union.

La tesi analizza il diritto europeo dei dati nel contesto della trasformazione digitale, ricostruendo l’evoluzione normativa e dottrinale che ha condotto alla progressiva affermazione della protezione dei dati personali come diritto fondamentale dell’Unione europea e allo sviluppo di un articolato sistema di data governance. La digitalizzazione, intesa come passaggio generalizzato dei fenomeni sociali, economici e istituzionali in formato numerico, ha determinato una crescente interconnessione digitale su larga scala e la conseguente centralità dei dati come risorsa economica, giuridica e sociale, alimentando la data driven economy. In tale scenario, l’Unione europea ha progressivamente costruito un quadro regolatorio complesso e multilivello, volto a garantire un’armonizzazione delle discipline settoriali e a fronteggiare le nuove sfide poste dalla circolazione dei dati e dallo sviluppo delle tecnologie digitali, inclusa l’intelligenza artificiale. L’elaborato inquadra tali trasformazioni nel più ampio processo di emersione di un “costituzionalismo digitale europeo”, caratterizzato dall’intreccio tra regolazione del mercato digitale e principi costituzionali dell’Unione, nonché nel progetto di affermazione della sovranità digitale europea. L’UE persegue un modello di governance della rete e dei dati che si differenzia sia dall’approccio di autoregolamentazione privata, sia da modelli di controllo centralizzato, con l’obiettivo di integrare la tutela dei diritti digitali e delle libertà individuali con un’efficace regolazione del mercato e con esigenze di sicurezza delle infrastrutture e delle informazioni. Partendo dalla ricostruzione dell’evoluzione storica della nozione di privacy e del percorso che ha condotto al Regolamento (UE) 2016/679 (GDPR), la tesi analizza il consolidamento della protezione dei dati personali come diritto fondamentale e il successivo sviluppo della Strategia Europea per i Dati, soffermandosi sul ruolo del Data Governance Act, del Data Act e dell’AI Act nella definizione delle nuove forme di governance dei dati. In tale contesto, viene messo in luce il passaggio da un’impostazione prevalentemente orientata alla gestione del rischio, propria del GDPR, a un approccio che valorizza le opportunità economiche e sociali derivanti dalla circolazione dei dati, pur nel rispetto dei diritti fondamentali degli interessati. Un’ampia parte dell’analisi è dedicata al mercato dei dati personali e alle dinamiche di “patrimonializzazione” del dato, che tende a trasformarsi da mero elemento informativo in bene suscettibile di sfruttamento economico. Le pratiche di profilazione, la pubblicità personalizzata e i modelli di business delle piattaforme digitali mostrano come i dati divengano controprestazione per l’accesso a servizi solo apparentemente gratuiti, sollevando nuove problematiche in ordine al consenso, ai modelli di proprietà e controllo dei dati, al diritto alla portabilità e al principio di data protection by design. In tale prospettiva, il dato assume una duplice valenza: risorsa economica per gli operatori del mercato digitale e, al contempo, proiezione della sfera personale e identitaria dell’individuo. La tesi approfondisce inoltre il tema della sicurezza e della protezione dei dati, intesa non solo come insieme di misure tecniche e organizzative volte a prevenire accessi non autorizzati e incidenti, ma anche come dimensione sostanziale di tutela dei diritti fondamentali e di costruzione della fiducia dei cittadini nell’ecosistema digitale. In questa prospettiva, la protezione dei dati personali viene ricondotta a una forma di sicurezza in senso ampio, superando la tradizionale contrapposizione tra privacy e sicurezza. Il quadro teorico e normativo delineato trova una concreta applicazione nell’analisi dello European Health Data Space, quale ambito paradigmatico di bilanciamento tra circolazione dei dati, innovazione, interesse pubblico e tutela dei diritti fondamentali. L’EHDS mostra come l’uso primario e secondario dei dati sanitari possa contribuire al miglioramento delle cure, alla ricerca scientifica e allo sviluppo di politiche pubbliche data-driven, ponendo al contempo rilevanti questioni in termini di governance, sicurezza e protezione della persona. In conclusione, l’elaborato evidenzia come il diritto europeo dei dati non si limiti a disciplinare la circolazione delle informazioni, ma orienti in modo sostanziale le politiche pubbliche e private basate sui dati. In tale prospettiva, sono richiamate le più recenti evoluzioni del quadro regolatorio, tra cui la proposta di Digital Omnibus, volta a razionalizzare gli obblighi di conformità e di segnalazione degli incidenti di cibersicurezza, nonché le implicazioni infrastrutturali e di sostenibilità connesse al ruolo crescente dei data centers e al fabbisogno di risorse energetiche e materiali delle tecnologie digitali e dell’intelligenza artificiale. L’analisi complessiva restituisce l’immagine di un sistema in evoluzione, chiamato a coniugare valorizzazione dei dati, innovazione tecnologica, sicurezza e tutela dei diritti fondamentali nel quadro dei valori costituzionali dell’Unione europea.