Il regolamento riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, meglio conosciuto come il “Data Act“, è una proposta legislativa attualmente sotto esame da parte dei co-legislatori dell’Unione per approvazione.
Avendo ad oggetto la circolazione di dati generati dall’uso di un prodotto o di un servizio, la proposta ha importanti implicazioni per gli interessi commerciali delle imprese i cui diritti di proprietà intellettuale e segreti commerciali potrebbero essere compromessi dalla condivisione dei dati, e soprattutto per gli operatori del settore IoT (Internet of Things).
Cos’è il Data Act
La proposta legislativa è stata presentata in attuazione della strategia europea dei dati, la strategia della Commissione volta a facilitare la creazione di un mercato unico per la libera circolazione dei dati.
La proposta mira ad introdurre norme armonizzate sulla messa a disposizione dei dati generati dall’uso di un prodotto o di un servizio correlato, al fine di assicurare che tali dati siano disponibili per l’utente del prodotto o servizio cui si riferiscono, che siano condivisi in conformità a determinati standard, e che ne possa essere garantito l’accesso ad enti pubblici nazionali o dell’Unione, in presenza di necessità eccezionali, per eseguire funzioni nell’interesse pubblico.
I rischi del Data Act per i segreti commerciali
Il Data Act impone l’obbligo per i produttori di garantire l’accesso ai dati generati dai propri prodotti e dai servizi correlati. In particolare, i produttori dovrebbero progettare e fabbricare i propri prodotti, e fornire i servizi correlati, in modo tale da consentire agli utenti l’accesso diretto, e di default, ai dati generati. Di conseguenza, agli utenti è conferito il diritto di acquisire ed utilizzare i dati generati dai prodotti che utilizzano e i servizi correlati, nonché di poterli condividere con altre parti terze, in conformità alle disposizioni dei Capi II e III della proposta.
I diritti e gli obblighi sulla condivisione dei dati possono apportare benefici per il funzionamento dell’economia dei dati, ma presentano anche significativi rischi per la tutela dei segreti commerciali delle imprese, in quanto tra i dati coperti dall’obbligo di condivisione possono esservi anche informazioni molto sensibili dal punto di vista commerciale.
Difatti, se le informazioni sul funzionamento di un prodotto devono essere esaustivamente condivise con gli utenti, potrebbe divenire difficile per i produttori mantenere i propri segreti commerciali. In particolare, per gli utenti, o per le parti terze con cui sono stati condivisi i dati, sarebbe possibile effettuare il cosiddetto ‘reverse-engineering’, comprendere come è stato progettato e fabbricato un prodotto semplicemente analizzando i dati condivisi e le caratteristiche del prodotto stesso.
Revisione ed emendamenti del Parlamento europeo
Per queste ragioni, la proposta legislativa aveva suscitato dubbi e preoccupazioni tra gli operatori europei, che hanno espresso il loro punto di vista, anche tramite le rispettive associazioni di categoria, in più occasioni nel corso del procedimento legislativo. Tali preoccupazioni hanno, in parte, portato ad una revisione di alcuni articoli del testo da parte del Parlamento europeo nelle ultime modifiche proposte in data 14 marzo 2023. Tuttavia, permangono alcuni aspetti potenzialmente problematici e dubbi interpretativi.
Le maggiori incertezze causate dalla proposta legislativa riguardano l’individuazione dei dati generati dall’utilizzo di un prodotto, e le misure di tutela dei segreti commerciali che possono essere poste in essere durante il processo di condivisione dei dati.
Quanto all’individuazione dei dati generati dal prodotti, la proposta non fornisce una definizione legislativa di ‘dati generati dall’utilizzo di un prodotto’, ma solo una definizione di ‘dati’, intesi come ‘qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva’. La semplice definizione di dati non è sufficiente per comprendere a pieno cosa si intenda per dati generati da un prodotto.
Difatti, potrebbe fare riferimento ai soli dati creati direttamente dall’utilizzatore del prodotto, ad esempio l’impostazione di specifici programmi per uno smartwatch, di cui l’utente fa uso nelle proprie attività quotidiane e che contengono, oltretutto, dati personali sulle sue abitudini e preferenze. D’altro canto, i dati generati da un prodotto potrebbero includere anche i dati legati al funzionamento del prodotto e ai relativi processi interni, che costituiscono le informazioni più sensibili dal punto di vista commerciale e potenzialmente facente parte dei segreti commerciali di un’azienda, se non protetti da un brevetto.
Qualora quest’ultima categoria sia inclusa nei dati da condividere, il peso per le aziende potrebbe essere notevole, nonostante la possibilità di adottare misure di protezione dei segreti commerciali. Nell’ultima versione del testo risultante dalle modifiche proposte dal Parlamento, sono espressamente esclusi dall’ambito di applicazione del regolamento gli algoritmi proprietari alla base del funzionamento dei prodotti, tra cui quelli che sono parte di un software proprietario, ai sensi della direttiva 2009/24/CE. Tale esclusione è disposta dal considerando 24-ter del testo, e fornisce maggiore chiarezza sull’ambito di applicazione del Data Act, nonostante continui a mancare una chiara definizione legislativa.
In relazione alle misure di tutela dei segreti commerciali, l’articolo 4, comma 3, del testo originario della proposta forniva scarne indicazioni. In particolare, era previsto che i segreti commerciali dovessero essere comunicati solo a condizione che fossero state adottate tutte le misure specifiche necessarie per tutelarne la riservatezza, e che il titolare dei dati e l’utente avrebbero potuto concordare misure volte a preservare la riservatezza dei dati condivisi.
Questa disposizione lasciava forte incertezza per gli operatori, in assenza di istruzioni precise su quali misure potessero essere adottate in concreto, fino a che punto il mascheramento di talune informazioni per nascondere segreti commerciali potesse essere considerato legittimo, e di quali rimedi disponesse l’operatore contro eventuali azioni pregiudizievoli poste in essere dall’utente o da terzi. Tuttavia, l’articolo 4, comma 3 è stato ampiamente modificato dagli ultimi emendamenti del Parlamento per fornire maggiore chiarezza sugli strumenti che possono essere predisposti per proteggere i segreti commerciali, rimuovendo significativamente, se non del tutto, l’incertezza precedente. Più specificatamente, è previsto che il titolare dei dati e l’utente possono concludere un accordo per decidere sulle misure tecniche ed organizzative da implementare per tutelare i segreti commerciali, tra cui accordi di confidenzialità o termini contrattuali standard.
Nei casi in cui l’utente non implementi le misure richieste o violi la confidenzialità dei segreti commerciali, il titolare dei dati può sospendere la condivisione dei segreti commerciali. Queste modifiche aggiungono tutele ulteriori a quelle già predisposte dal testo originario, come il divieto per l’utente di impiegare i dati ottenuti per sviluppare un prodotto che sia direttamente in concorrenza con quello dell’operatore titolare dei dati.
Conclusioni
Il Data Act è una proposta legislativa ambiziosa, con importanti ripercussioni per molte parti coinvolte nell’economia dei dati, e soprattutto per gli operatori del settore IoT. Nonostante il testo originario presentasse forti criticità sulla tutela dei segreti commerciali, le pressioni da parte dell’industria sembrerebbero aver portato a emendamenti che rendono più chiare le disposizioni della proposta. Malgrado ciò, rimangono dubbi da chiarire in relazione all’ambito di applicazione del Data Act, nonché sul rapporto tra operatore titolare dei dati e utente quando sono condivisi segreti commerciali, e i profili di responsabilità dell’utente.
Resta da vedere se questi dubbi saranno chiariti tramite ulteriori modifiche del testo, o se occorrerà attendere che la Corte di giustizia dell’Unione europea si pronunci una volta che il Data Act cominci a trovare applicazione.
