politiche digitali

I dati al centro della strategia UE: Data Act e Data Governace Act a confronto



Indirizzo copiato

Dopo aver combattuto per anni contro lo strapotere delle Big Tech a suon di sanzioni per abuso di posizione dominante o violazione delle norme privacy, con il Data Act e il Data Governance Act, la Ue segna il passo a favore della creazione di una nuova politica industriale che pone al centro la digitalizzazione e…

Pubblicato il 6 set 2023

Giulia Mariuz

counsel Hogan Lovells

Massimiliano Masnada

partner Hogan Lovells



nis 2 decreto italiano

Il Data Act, sul cui testo Parlamento UE e Consiglio europeo hanno raggiunto un accordo politico a fine giugno, unitamente al Data Governance Act (“DGA”)[1], già approvato e di prossima entrata in vigore, mirano a stimolare l’economia dei dati dell’UE sbloccando i dati industriali, rafforzando i meccanismi per aumentarne la disponibilità, ottimizzandone l’accessibilità e l’utilizzo e promuovendo un mercato europeo dei dati competitivo e affidabile.

Proviamo allora a produrre sintesi delle due normative al fine di chiarirne la portata innovativa.

Il contesto legislativo in cui si collocano Data Act e Data Governance Act

Il testo del Data Act pone norme armonizzate sul diritto di accesso e sull’uso corretto dei dati nel settore dei dispositivi intelligenti (cd. Internet of Things – IoT) e dei servizi ad essi collegati[2]. L’IoT descrive la rete di oggetti fisici, ossia le “things”, che hanno sensori, software e altre tecnologie integrate allo scopo di connettere e scambiare dati con altri dispositivi e sistemi su Internet. Questi dispositivi vanno dai normali oggetti domestici ai sofisticati strumenti industriali. Con oltre 7 miliardi di dispositivi IoT connessi oggigiorno, gli esperti si aspettano che questo numero cresca a 10 miliardi entro il 2020 e 22 miliardi entro il 2025.

Va subito precisato che quando si parla di dati, non ci si riferisce solo ai “dati personali” che trovano una definizione precisa e delimitata nel Regolamento (UE) 2016/679 (“GDPR”). Per dati si intende qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva.

Si consideri in generale che il volume di dati generati nell’UE continua a crescere. Nel 2018 sono stati generati 33 zettabyte di dati ed entro il 2025 la Commissione UE prevede che questo volume di dati raggiungerà i 175 zettabyte. Oggi l’80% di questi dati non viene mai utilizzato. Con l’attuazione del Data Act, l’UE vuole estendere il loro riutilizzo, affrontando al contempo le questioni legali, economiche e tecniche che rendono difficile la diffusione e l’accessibilità di tali dati.

Tuttavia i diritti e gli obblighi in materia di accesso ai dati e relativo utilizzo sono stati disciplinati in misura diversa anche a livello settoriale. Il Data Act non modificherà la legislazione vigente ad esempio in materia di protezione dei dati personali e dovrà necessariamente essere armonizzata con altre normative come il Digital Market Act (“DMA”)[3] e al Digital Service Act (“DSA”)[4], la Direttiva Copyright[5]. Inoltre, il Data Act non può essere analizzato separatamente dal Data Governance Act (“DGA”) approvato in via definitiva all’inizio di quest’anno, la cui entrata in vigore è prevista il prossimo 24 settembre 2023.

In attesa dell’approvazione del regolamento sull’AI, le normative citate costituiscono il pilastro intorno al quale ruota la strategia di digitalizzazione voluta dal Consiglio Europeo nell’ottobre del 2020 e riassunta nella Dichiarazione europea sui diritti e i principi digitali firmata il 15 dicembre 2022 dalla presidente della Commissione UE Ursula von der Leyen insieme alla presidente del Parlamento europeo Roberta Metsola e al primo ministro ceco Petr Fiala per la presidenza di turno del Consiglio Europeo[6].

Parte integrante di questa strategia è la politica dei dati che ha l’obiettivo di aumentare la fiducia nella condivisione dei dati, rafforzare i meccanismi per aumentare la disponibilità dei dati e superare gli ostacoli tecnici al riutilizzo dei dati.

Tutto ciò è chiaramente spiegato nell’introduzione del Data Act laddove si precisa che “I dati sono una componente fondamentale dell’economia digitale e una risorsa essenziale per garantire le transizioni verde e digitale. Negli ultimi anni il volume di dati generato dagli esseri umani e dalle macchine è aumentato in modo esponenziale, ma la maggior parte di tali dati è inutilizzata, o il loro valore è concentrato nelle mani di un numero relativamente limitato di grandi società. Scarsa fiducia, incentivi economici contrastanti e ostacoli tecnologici impediscono di concretizzare appieno le potenzialità offerte dall’innovazione basata sui dati. È quindi essenziale sfruttare tali potenzialità fornendo opportunità di riutilizzo dei dati e rimuovendo gli ostacoli allo sviluppo dell’economia dei dati europea, nel pieno rispetto delle norme e dei valori europei, e in linea con l’impegno di ridurre il divario digitale in modo che tutti possano beneficiare di tali opportunità. Garantire un maggiore equilibrio nella distribuzione del valore dei dati al ritmo della nuova ondata di dati industriali non personali e della proliferazione di prodotti connessi all’internet delle cose significa avere enormi possibilità di stimolare un’economia dei dati sostenibile in Europa.”

Elementi essenziali del DGA

Nell’intenzione del legislatore europeo il DGA dovrebbe sostenere la creazione e lo sviluppo di “spazi comuni di dati” in settori strategici quali la salute, l’ambiente, l’energia, l’agricoltura, la mobilità, la finanza, l’industria manifatturiera, la pubblica amministrazione e le competenze. L’obiettivo, come detto, è quello di creare una vera e propria «economia dei dati» sostenibile, garantendo neutralità dell’accesso ai dati, portabilità, interoperabilità ed evitando il c.d. «lock-in».

Il DGA si fonda su tre colonne portanti: il riuso dei dati detenuti da enti pubblici, la disciplina dei servizi di intermediazione e il cd. altruismo dei dati. Infatti, coinvolgendo sia attori privati che pubblici, attraverso tale normativa, l’UE ha intenzione di sviluppare sistemi affidabili di condivisione dei dati attraverso 4 fondamentali interventi:

  • Sviluppo di meccanismi per facilitare il riutilizzo di alcuni dati del settore pubblico che non possono essere resi disponibili come dati aperti. Ad esempio, il riutilizzo dei dati sanitari potrebbe far progredire la ricerca per trovare cure per malattie rare o croniche;
  • Creazione della figura dei cd. “intermediari di dati” che dovrebbero funzionare come organizzatori affidabili della condivisione o della messa in comune dei dati all’interno degli spazi comuni europei di dati;
  • Adozione di misure volte a facilitare cittadini e imprese nella messa a disposizione dei propri dati a vantaggio della società;
  • Adozione di misure volte a facilitare la condivisione dei dati, in particolare per consentire l’utilizzo dei dati al di là dei settori e delle frontiere, e per consentire l’individuazione dei dati giusti per il giusto scopo.

Il DGA lascia tuttavia impregiudicata l’applicazione del GDPR e, in generale, della normativa a tutela dei dati, così come quella sulla concorrenza e sulla sicurezza nazionale e difesa. Tale senso, gettando uno sguardo alle dibattute questioni relative alla legittimità giuridica dell’utilizzo (o meglio riutilizzo) dei dati personali raccolti, non sembra – allo stato – che il DGA crei una base giuridica “nuova” per il trattamento dei dati. Tale base andrà cercata avendo sempre come orizzonte quello creato dagli art. 6 e 9 del GDPR, anche se la portata applicativa di una norma come quella sull’interesse legittimo (del titolare o di un terzo) appare, a giudizio di chi scrive, notevolmente ampliata dell’avvento delle norme normative sui dati.

Le principali novità

Entrando più nello specifico del DGA, abbiamo provato a sintetizzare come segue le principali novità, concentrandoci principalmente sul riuso dei dati contenuti dai soggetti pubblici e sulla nuova figura dell’intermediario dei dati.

Diritto al riuso

Con riferimento al riuso:

  • I soggetti pubblici avranno la possibilità (ma non l’obbligo) di rendere disponibili i dati da essi detenuti, consentendone il loro riutilizzo, da parte di altri soggetti (persone fisiche o giuridiche) per finalità commerciali o non commerciali, diverse dallo scopo iniziale nell’ambito dei compiti di servizio pubblico originari (i.e. secondary use);
  • I dati che potranno essere oggetto di riuso sono i cd “dati protetti” ossia quelli che erano limitati nella loro circolazione per motivi di riservatezza commerciale o statistica (es. segreto industriale), a causa della protezione di diritti industriali di terzi o perché rientravano nella definizione di dati personali. In ogni caso, si tratta di dati che non rientrano nella Direttiva 2019/1024 sul riutilizzo dei dati e delle informazioni del settore pubblico (Open Data Directive);
  • I soggetti pubblici, prima di mettere a disposizione il dato, dovranno comunque adottare specifiche misure tecniche e/o organizzative che garantiscano il rispetto delle tutele originariamente accordate al dato. Per esempio, gli eventuali dati personali dovranno essere anonimizzati, mentre i dati protetti dal segreto industriale e/o dalla normativa in materia di IP siano trattati in modo da non perdere la protezione necessaria;
  • Il riutilizzatore dovrà operare seguendo specifiche procedure e nel rispetto di determinati obblighi contrattuali in tema di confidenzialità e divieto di re-identificazione. Inoltre, potrà accedere ai dati solo all’interno di un ambiente sicuro, gestito e controllato dall’ente pubblico;
  • Gli Stati Membri potranno adottare misure finalizzate a facilitare l’osservanza degli obblighi tecnici e di sicurezza, tra cui l’istituzione di sportelli unici (anche sul modello portale open data) per la ricezione delle richieste e come punti informativi. In aggiunta, potranno istituire enti che supportino le organizzazioni pubbliche, ad esempio nel predisporre ambienti sicuri ove garantire l’accesso ai dati per il riutilizzo e nel determinare le modalità di conservazione dei dati più adatte a garantire il riutilizzo;
  • La decisione sulla richiesta di riuso dovrà essere presa entro 60 giorni (90 se richiesta complessa) e sarà concesso alla persona interessata dalla richiesta (es. interessato se si tratta di dati personali) di presentare ricorso avverso la richiesta innanzi all’autorità amministrativa competente (es. Garante privacy).

Gli intermediari dei dati

Con riferimento alla figura degli intermediari dei dati e alla loro circolazione:

  • Per “servizi di intermediazione dei dati” si intendono quelli che mirano a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione di dati tra un numero indeterminato di interessati/titolari dei dati, da un lato e utenti dei dati, dall’altro. Tale definizione non cattura tutti i modelli esistenti di data intermediary, ma mira a stabilire un modello di fornitore di servizio di intermediazione dei dati “neutrale”, escludendo dunque i c.d. data broker o i marketplace “chiusi” che non stabiliscono di fatto rapporti commerciali tra l’offerta e la domanda di dati.
  • In un’ottica chiaramente ispirata ai principi di regolamentazione nel campo del diritto della concorrenza, mirata ad evitare indebite concentrazioni di potere in capo agli intermediari e con la chiara finalità di impedire una replica del modello delle Big Tech in questo segmento di mercato, i servizi di intermediazione dei dati dovranno effettuare una notifica preventiva all’autorità competente (ancora da designarsi per l’Italia) e potranno svolgere la loro attività nel rispetto di principi stringenti (elencati all’art. 12 DGA) atti a garantire la massima neutralità del fornitore.
  • A titolo esemplificativo, l’art. 12 (a) del DGA impone agli intermediari di dati di astenersi dall’utilizzare i dati per i quali forniscono servizi di intermediazione per scopi diversi da quelli di metterli a disposizione degli utenti. Questo comporta ad esempio che i fornitori di servizi di intermediazione dati non potranno analizzare e utilizzare i dati condivisi dai titolari dei dati per i propri scopi (o per qualsiasi altro scopo) (cfr. considerando 33). In aggiunta, gli intermediari non potranno utilizzare i dati raccolti nell’ambito del servizio (incluso i metadati) o condividerli con terzi, fatte salve le finalità relative allo sviluppo del servizio di intermediazione di dati stesso (art. 12 (c) DGA).
  • Tali previsioni mirano ad accrescere la fiducia e a garantire una concorrenza leale, sotto la chiara influenza dell’esperienza delle Big Tech che, secondo un modello verticale, raccolgono enormi quantità di dati sulle attività dei propri utenti, e in alcuni casi utilizzano tali dati per iniziare a competere con i propri utenti. Tuttavia, l’art. 12 (e) del DGA prevede un’eccezione, per cui gli intermediari di dati potranno offrire servizi connessi ai dati, il cui scopo è quello di facilitare lo scambio di dati, se espressamente richiesto dagli utenti. Ad esempio, i fornitori di servizi di intermediazione dei dati potranno assistere i loro utenti nell’anonimizzazione dei dati (cfr. considerando 32 del DGA). Questa eccezione è rilevante, poiché una parte importante del valore che gli intermediari di dati forniscono ai loro utenti potrebbe risiedere nella loro capacità di facilitare l’implementazione tecnica delle transazioni, mettendo a disposizione il loro knowledge tecnico.
  • Altre previsioni garantiscono l’indipendenza del fornitore (richiedendo ad esempio che, qualora il fornitore appartenga a un gruppo che svolge altre attività data driven, il servizio di intermediazione sia prestato da una persona giuridica separata), l’interoperabilità (al fine di evitare il c.d. “lock-in”) e la necessità di prestare tali servizi nel rispetto della massima sicurezza.

Portata applicativa del DGA e alcune considerazioni critiche

Le premesse affinché il DGA sblocchi l’immobilismo che ha caratterizzato le politiche nazionali di data governance negli ultimi decenni ci sono tutte. Tuttavia, affinché il DGA abbia davvero una portata rivoluzionaria e rinnovatrice, è necessario che gli attori coinvolti facciano uno sforzo e adottino un approccio che promuova l’apertura e la condivisione, secondo un principio di responsabilizzazione. Ugualmente, ci si augura che anche il legislatore adotti scelte illuminate al fine di facilitare il libero scambio dei dati e superare alcuni aspetti che il DGA non norma in maniera diretta e che potrebbero creare un rallentamento del progetto di data governance europeo. Nello specifico:

  • Come menzionato in precedenza, il DGA non impone un obbligo in capo agli enti pubblici di rendere disponibili i dati per il riutilizzo, né istituisce nuovi basi giuridiche per la condivisione dei dati personali in tale contesto. In aggiunta, è l’ente pubblico che rende i dati disponibili per il riutilizzo che deve garantire che ciò avvenga nel rispetto della normativa applicabile. Ciò significa che l’istituzione di enti specificamente preposti a supportare le organizzazioni pubbliche in relazione agli aspetti tecnici e giuridici per garantire un riutilizzo lecito e sicuro (in termini, ad esempio, di tecniche di anonimizzazione, conservazione, creazione e gestione di un ambiente sicuro ove il riutilizzatore può avere accesso al dato, istituzione e revisione dei modelli contrattuali per il riutilizzo, etc.) sarà probabilmente un elemento chiave nella corretta implementazione del DGA. Al contrario, le previsioni del DGA in termini di riutilizzo rischiano di restare lettera morta;
  • Anche se le norme sul riuso vedono come destinatari principali gli enti pubblici, esse suscitano notevole interesse nei fornitori della PA, ossia in coloro che, in un’ottica di privacy by design, dovranno sviluppare tecnologie, software di supporto e fornire soluzioni avanzate che consentano agli enti di garantire il rispetto delle misure che il DGA impone loro per tutelare i dati cd. protetti (es. tecniche di anonimizzazione dei dati personali, conservazione, creazione e gestione di un ambiente sicuro per l’accesso ai dati, ecc.);
  • Per quanto riguarda l’attività degli intermediari dei dati, le misure rigorose imposte dal DGA potrebbero risultare una forte limitazione allo sviluppo di tale figura. Disaggregando verticalmente i servizi di intermediazione dati da altri servizi correlati al riutilizzo dei dati (es. data analysis), limitando l’uso dei dati generati dagli intermediari dati, di fatto, il DGA limita la possibilità per gli intermediari di differenziare i propri servizi, creando valore aggiunto dalla circolazione dei dati, anche per gli utenti;
  • Tuttavia, la regolamentazione preventiva di tali servizi ai sensi del DGA non è necessariamente un fattore negativo. Al contrario, nell’ambito di un mercato regolamentato, gli spazi di crescita soprattutto per piccole e medie imprese potrebbero essere maggiori rispetto che in un ambiente de-regolamentato, nell’ottica di affermarsi come player affidabili e riconosciuti all’interno dell’economia dei dati. In tale contesto, le società (soprattutto le piccole e medie imprese) attualmente impegnate nell’ambito di servizi data driven dovrebbero interrogarsi sulla possibilità di intraprendere tali attività, valutando i costi connessi al rispetto delle previsioni rilevanti incluso, ad esempio, l’istituzione di una persona giuridica ad hoc (e/o di una riorganizzazione aziendale), o lo sviluppo di soluzioni tecnologicamente avanzate per garantire gli standard tecnici e di sicurezza richiesti ai sensi del DGA.

Elementi essenziali del Data Act

Così definiti gli elementi essenziali della infrastruttura che consentirà la libera circolazione dei dati all’interno della UE, passiamo ora alla parte sostanziale della politica dei dati, ossia a quelle che sono, secondo il Data Act, le condizioni soggettive e oggettive per la creazione del valore dei dati. La proposta di regolamento Data Act, infatti, contiene norme su chi può utilizzare e accedere ai dati generati nell’UE in tutti i settori economici; crea l’obbligo per i produttori e i progettisti di condividere i dati con i loro utenti e altre imprese; definisce e vieta le clausole abusive negli accordi di condivisione dei dati; crea l’obbligo per le imprese di condividere i dati con gli enti pubblici in caso di emergenza e disciplina il diritto degli utenti di passare da un servizio di elaborazione dati cloud all’altro.

Il Data Act contiene norme armonizzate relative alla messa a disposizione dei dati generati dall’uso di un prodotto o di un servizio correlato all’utente di tale prodotto o servizio. Per “prodotto” si intende “un bene materiale e mobile, anche quando incorporato in un bene immobile, che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati tramite un servizio di comunicazione elettronica accessibile al pubblico e la cui funzione primaria non è la conservazione e il trattamento dei dati”. Per “servizio correlato” si intende invece “un servizio digitale, anche software, incorporato in un prodotto o interconnesso con esso in modo tale che la sua assenza impedirebbe al prodotto di svolgere una delle sue funzioni”. Si faccia l’esempio di un caricabatterie intelligente che fornisce dati autonomi e comunque indipendenti rispetto a quelli del prodotto “principale” acquistato dall’utente.

Accesso ai dati

Il Data Act stabilisce anzitutto che gli utenti hanno diritto di accedere ai dati generali dal prodotto o servizio correlato che possiede, affitta o noleggia nonché il diritto di condividere tali dati con terze parti (inclusi gli intermediari di dati sopra descritti), dando impulso ai servizi post-vendita e all’innovazione. Si consideri che quando si parla di utenti non ci si riferisce alle sole persone fisiche ma anche alle micro, piccole o medie imprese che potrebbero avere un interesse commerciale e strategico alla conoscenza dei dati generali dai prodotti e servizi utilizzati nell’ambito del proprio business.

Allo stesso tempo, i produttori, che hanno l’obbligo di consentire agli utenti l’accesso ai dati generati dal prodotto, sono incentivati a investire nella generazione di dati di alta qualità e i loro segreti commerciali rimangono protetti. Attualmente, gli utenti non possono ottenere i dati necessari per produrre metriche, avvalersi di fornitori di servizi di riparazione (o altri servizi diversi), o addirittura venderli o ottenere altri vantaggi, e le aziende non possono lanciare servizi innovativi, che in molte occasioni saranno più efficienti o adattato alle reali esigenze.

L’elenco dei casi in cui i prodotti o i servizi correlati raccolgono dati dai propri utenti è sterminato: da assistenti virtuali, veicoli con motori elettrici o a combustione, dispositivi sanitari, attrezzature industriali, elettrodomestici, beni di consumo, reti telefoniche, reti televisive via cavo, reti satellitari e reti di comunicazione, fonti di energia, ecc. Il Data Act è trasversale a tutti i settori di attività dell’economia dell’UE.

La Commissione UE fornisce alcuni esempi di come potrebbe essere questo accesso e utilizzo dei dati:

  • La disponibilità di dati sul funzionamento dei prodotti e servizi consentirà a fabbriche, aziende agricole o imprese di costruzione di ottimizzare i cicli operativi, le linee di produzione e la gestione della supply chain, anche sulla base del machine learning;
  • Nell’agricoltura di precisione, l’analisi dei dati dalle apparecchiature connesse può aiutare gli agricoltori ad analizzare i dati in tempo reale, come meteo, temperatura, umidità o segnali GPS, e fornire informazioni su come ottimizzare e aumentare la resa, migliorare la pianificazione dell’azienda agricola e prendere decisioni più intelligenti su il livello delle risorse necessarie;
  • I motori dei veicoli (siano essi a combustione o elettrici) sono dotati di migliaia di sensori che raccolgono e trasmettono dati per garantire un funzionamento efficiente. L’accesso a tali informazioni migliorerebbe al manutenzione e la durata;
  • Dispositivi sanitari e/o protesi che raccolgono e immagazzinano una quantità enorme di dati sul loro funzionamento e utilizzo. Inutile dire quale sarebbe il beneficio per l’utente avere accesso a tali informazioni e poterle riutilizzare. In tal senso, non intendiamo il solo interessato ma anche il medico, il produttore, il distributore, sempre nel rispetto della privacy dell’interessato.

Fanno eccezione i prodotti progettati principalmente per visualizzare o riprodurre contenuti, o per registrarli e trasmetterli, poiché non rientrano nell’ambito di applicazione del Data Act. Ad esempio, personal computer, server, tablet e smartphone, fotocamere, webcam, sistemi di registrazione audio e gli scanner di testo non sono coperti da questo obbligo di rendere accessibili i dati.

Per quei prodotti o servizi che non consentono all’utente l’accesso diretto e in tempo reale ai dati, la richiesta di accesso può essere fatta in modo semplice, mediante l’uso di mezzi elettronici al “titolare dei dati”, che è quindi obbligato, salve eccezioni specifiche, a concedere all’utente, senza indebito ritardo, gratuitamente e, ove applicabile, in modo continuo e in tempo reale, l’accesso ai dati del prodotto o servizio correlato. La figura del titolare dei dati è definita nel Data Act come la persone fisica o giuridica che ha il diritto o l’obbligo in base alla legge e, attraverso il controllo della progettazione tecnica del prodotto e dei servizi correlati, la capacità di mettere a disposizione dell’utente i dati.

I dati devono essere condivisi con l’utente o la terza parte (autorizzata dall’utente) garantendo la stessa qualità a disposizione del titolare dei dati. I dati forniti devono essere tanto accurati, completi, affidabili, pertinenti e aggiornati.

Affinché l’obbligo di rendere i dati accessibili sia effettivo, il Data Act impone due importanti obblighi:

  • I prodotti dovranno essere progettati e fabbricati e i servizi correlati saranno forniti in modo tale che i dati generati dal loro uso siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro e, ove pertinente e opportuno, diretto;
  • Prima di concludere un contratto di acquisto, affitto o noleggio di un prodotto o di un servizio correlato, dovranno essere fornite all’utente alcune informazioni, in un formato chiaro e comprensibile, tra cui: la natura e il volume dei dati che è probabile che siano generati dall’uso del prodotto o del servizio correlato; il modo in cui l’utente può accedere a tali dati; se il fabbricante che fornisce il prodotto o il fornitore che fornisce il servizio correlato intende esso stesso utilizzare i dati o consentire a terzi di utilizzarli e, in tal caso, le finalità per le quali tali dati saranno utilizzati; l’identità del titolare dei dati (se non corrisponde al venditore, locatore o noleggiatore); il modo in cui l’utente può chiedere che i dati siano condivisi con terzi; ecc.

Si tenga presente che il Data Act prevede anche la nomina di una autorità indipendente che, tra le altre cose, dovrà occuparsi degli eventuali reclami cui ha diritto l’utente per violazione degli obblighi citati.

Ad ogni buon conto, anche l’utente ha degli obblighi nei confronti del titolare dei dati. In particolare, l’utente o il terzo destinatario non possono utilizzare i dati per sviluppare un prodotto che sia in concorrenza con il prodotto da cui provengono i dati. Vanno tutelati i segreti commerciali che potranno essere divulgati solo nella misura in cui sono strettamente necessari per soddisfare lo scopo contrattuale concordato con l’utente o la terza parte e quando siano state prese tutte le misure specifiche necessarie per preservare la riservatezza dei dati. Il titolare dei dati può applicare adeguate misure tecniche di protezione, inclusi contratti intelligenti, per impedire l’accesso non autorizzato ai dati e per garantire il rispetto del diritto di condivisione nonché dei termini contrattuali concordati.

Misure di protezione contro le clausole abusive

Il Data Act prevede misure di protezione dalle clausole contrattuali abusive imposte unilateralmente. In particolare, è previsto che una clausola contrattuale riguardante l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che è stata imposta unilateralmente da un’impresa a una microimpresa o a una piccola o media impresa, non è vincolante per quest’ultima impresa se tale clausola è abusiva.

In Data Act poi precisa quando una clausola è da intendersi abusiva (es. esclusione o limitazione della responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave ovvero esclusione unilaterale dei mezzi di ricorso a scapito della parte che ha subito la clausola) e quando vi è una presunzione di abusività. In tale ultimo caso, la fattispecie negoziale sarà sottoposta ad un test di equità. È probabile infatti che i titolari dei dati abbiano una forte posizione negoziale, come di solito accade con le grandi aziende tecnologiche, e potrebbero voler ridurre il più possibile i diritti di condivisione o includere termini contrattuali favorevoli negli accordi di condivisione dei dati. Pertanto, la proposta di regolamento affronta l’iniquità delle clausole contrattuali nei contratti di condivisione dei dati tra imprese in situazioni in cui una clausola contrattuale è imposta unilateralmente da una parte a una micro, piccola o media impresa e quest’ultima non sia stata in grado di influenzare la clausola nonostante un tentativo di negoziarla. Questo potrebbe essere considerato un cambio di paradigma nel diritto contrattuale europeo. Finora il diritto europeo sul controllo dei termini contrattuali non negoziati individualmente era limitato agli accordi B2C (anche se alcuni Stati membri dell’UE hanno applicato regole per controllare l’equità degli accordi B2B).

Il Data Act garantisce che gli accordi contrattuali sull’accesso e l’utilizzo dei dati non traggano vantaggio dagli squilibri del potere negoziale tra le parti contrattuali. Queste misure dovrebbero salvaguardare le imprese dell’UE da accordi ingiusti, promuovendo negoziati equi e consentendo alle micro, piccole e medie imprese di partecipare con maggiore fiducia al mercato digitale.

La limitazione della libertà del titolare dei dati di contrarre e condurre affari è mitigata dalla sua inalterata possibilità di utilizzare anche i dati, purché in linea con la legislazione applicabile e l’accordo con l’utente. Inoltre, il titolare dei dati potrà beneficiare anche del diritto di richiedere un compenso per l’abilitazione dell’accesso a terzi. In particolare, i titolari dei dati hanno il diritto di ottenere un compenso “ragionevole” dai terzi destinatari (vale a dire non dal proprio utente) per la messa a disposizione dei dati. Forniscono al destinatario dei dati informazioni che stabiliscono la base per il calcolo della compensazione in modo sufficientemente dettagliato in modo che il destinatario dei dati possa verificarlo.

In ogni caso, è previsto che la Commissione pubblichi uno standard accordo di condivisione dei dati non vincolante che potrebbe essere utile come parametro di riferimento di ciò che è considerato “equilibrato” in termini di diritto di accesso ai dati ai fini del Data Act.

Ulteriori previsioni

Per ragioni di tempo è spazio ci siamo limitati a riportare le norme che riteniamo più impattanti sugli utenti e sui produttori di prodotti e servizi correlati, con particolare riferimento all’accesso ai dati e agli aspetti contrattuali del rinnovato rapporto tra utente e produttore. Tuttavia, il Data Act contiene anche altre norme su cui eventualmente si tornerà con l’approvazione definitiva della proposta di regolamento.

Tra queste si richiamano:

  • La previsione di meccanismi che consentono agli enti pubblici di accedere ai dati del settore privato e di utilizzarli in caso di emergenze pubbliche, come inondazioni e incendi, o in caso di attuazione di un mandato legale, quando i dati richiesti non sono facilmente disponibili con altri mezzi.
  • La creazione di nuove regole che garantiscono ai clienti la libertà di scegliere tra diversi fornitori di servizi di trattamento dati (es. servizi di cloud computing). Queste regole mirano a promuovere la concorrenza e la scelta sul mercato, evitando al contempo il vendor lock-in con l’imposizione di obblighi a carico dei fornitori di servizi di trattamento dei dati di eliminare ogni ostacolo commerciali, tecnico, contrattuale e organizzativo che impedisca ai clienti di recedere dopo 30 giorni dal contratto e chiedere la portabilità di tutti i dati, applicazioni e altre risorse digitali ad altro fornitore. Inoltre, il Data Act prevede misure di salvaguardia contro i trasferimenti illegali di dati, garantendo un ambiente di elaborazione dei dati più affidabile e sicuro.
  • L’adozione di misure per promuovere lo sviluppo di standard di interoperabilità per la condivisione e l’elaborazione dei dati, in linea con la strategia di standardizzazione dell’UE.

Conclusioni

Mentre il DGA crea i processi e le strutture per facilitare la circolazione dei dati, il futuro Data Act si preoccupa di chiarire chi può creare valore dai dati e a quali condizioni.

Nell’intenzione del legislatore UE, il Data Act dovrà contenere nuove regole orizzontali su chi può accedere e utilizzare i dati generati nell’UE in tutti i settori economici. L’obiettivo è garantire l’equità nell’allocazione del valore dei dati tra gli attori dell’ambiente digitale, stimolare un mercato dei dati competitivo, aprire opportunità per l’innovazione guidata dai dati e rendere i dati più accessibili a tutti.

Dopo aver combattuto per anni contro lo strapotere delle Big Tech, comminando sanzioni milionarie per abuso di posizione dominante piuttosto che per violazione delle norme privacy, tale strategia si può dire che abbia segnato il passo a favore della creazione di una nuova politica industriale comunitaria che pone al centro la digitalizzazione e il mercato dei dati.

L’obiettivo è creare un flusso virtuoso che possa generare competitività e sviluppo sostenibile (ossia nel rispetto dei diritti fondamentali dell’individuo). Questo approccio keynesiano, proprio della tradizione del capitalismo europeo, vorrebbe costituire un argine, anche di tipo culturale, alla logica del puro mercato che ha caratterizzato in questi decenni l’ascesa delle Big Tech.

Note


[1]              Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act)

[2] La proposta di regolamento Data Act è stata adottata dalla Commissione europea nel febbraio 2022. Circa un anno dopo, nel marzo 2023, è stata adottata la formulazione finale, sulla quale i delegati del Parlamento europeo e del Consiglio hanno basato i loro intensi negoziati con la Commissione. Il Consiglio e il Parlamento europeo devono ora approvare l’accordo provvisorio. Dopodiché avremo il testo definitivo. La legge sui dati inizierà ad essere applicata 20 mesi dopo la sua entrata in vigore. I nuovi prodotti dovranno soddisfare i requisiti di progettazione per rendere i dati facilmente accessibili dopo un ulteriore anno. I contratti esistenti sui prodotti dell’Internet degli oggetti dovranno essere modificati al più tardi dopo cinque anni.

[3] Regulation (EU) 2022/1925 of the European Parliament and of the Council of 14 September 2022 on contestable and fair markets in the digital sector and amending Directives (EU) 2019/1937 and (EU) 2020/1828 (Digital Markets Act)

[4] Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act)

[5] Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC (Copyright Directive)

[6] La dichiarazione illustra l’impegno dell’UE a favore di una trasformazione digitale sicura, protetta e sostenibile che mette al centro le persone, in linea con i valori e i diritti fondamentali dell’UE. L’obiettivo è la “sovranità digitale dell’UE” entro il 2030 al fine di proteggere e rafforzare la sua leadership e autonomia strategica nel settore digitale, promuovendo al contempo i valori comuni dell’UE e rispettando le libertà fondamentali, tra cui la protezione dei dati, la vita privata, la sicurezza, anche in termini di safety. Per il raggiungimento di tale obiettivo sono stati stanziati 250 miliardi di euro da Next Generation EU che dovranno servire a dare impulso alla digitalizzazione dell’80% della popolazione dell’UE che avrà competenze digitali di base entro il 2030. Inoltre sono stati previsti 43 miliardi di euro per ulteriori investimenti orientati alle politiche che sosterranno la normativa sui semiconduttori fino al 2030.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2