I dati sono il carburante dei modelli di business dell’economia digitale e la Commissione europea intende far sì che questo carburante circoli il più possibile.
La proposta della Commissione per una legge europea sui dati (EU Data Act) è stata presentata ufficialmente il 23 febbraio 2022 come parte della European Data Strategy che mira a realizzare un mercato unico europeo dei dati. Il testo proposto cerca di stabilire un quadro di governance intersettoriale per l’accesso e l’uso dei dati, sia da parte di persone fisiche che di organizzazioni o autorità pubbliche europee. L’EU Data Act ha il potenziale per cambiare radicalmente l’humus per i modelli di business data-driven nell’UE.
Data Act, l’importanza della portabilità dei dati per l’economia UE
Ambito oggettivo del Data Act
La proposta di regolamento si applica ai produttori di dispositivi connessi e ai fornitori di servizi correlati che sono immessi sul mercato nell’UE. La bozza ufficiale chiarisce che un “prodotto” include anche elementi mobili incorporati in un bene immobile. Tale aspetto non era incluso in una precedente versione del regolamento, trapelata all’inizio di febbraio. Si tratta di un chiarimento molto importante poiché i sensori o i dispositivi dell’Internet of Things saranno spesso installati in beni immobili quali edifici o grandi macchinari (per esempio, i sensori in una turbina eolica). Il Data Act sarà quindi probabilmente applicabile in questi scenari.
L’ubicazione del produttore sarà irrilevante: chiunque faccia affari nei mercati dell’UE dovrà considerare le implicazioni del Data Act. Si applicherà a tipologie di prodotti molto diversi: ad esempio, in un mercato business-to-business si potrebbe pensare a un macchinario connesso che è monitorato o controllato con un software esterno; quanto al mercato business-to-consumer possiamo immaginare un prodotto smart come un frigorifero connesso o qualsiasi altro tipo di dispositivo da cucina connesso.
Il Data Act regola i diritti e gli obblighi relativi ai dati generati dall’uso dei prodotti connessi e dei servizi correlati. Si applica sia ai dati personali che a quelli non personali.
L’accesso ai dati provenienti dai prodotti connessi deve essere garantito
Secondo la proposta, i produttori di prodotti e i fornitori di servizi correlati dovranno rendere facilmente accessibili all’utente i dati generati dal loro utilizzo. Tali utenti possono essere sia imprese che consumatori. Potranno poi fornire i dati a terzi o usarli per i propri scopi. Gli utenti possono anche chiedere che i dati siano resi disponibili direttamente a terzi. L’intento della Commissione è quello di promuovere l’innovazione e la creazione di modelli di business complementari basati sui dati come, ad esempio, un servizio che consenta al proprietario di una casa intelligente di aggregare e analizzare i dati di tutti i suoi prodotti connessi di diversi produttori.
Per raggiungere questo obiettivo, le aziende soggette al campo di applicazione della proposta (i “data holder”) dovranno misurarsi con obblighi che vanno ben oltre l’accessibilità dei dati. Gli obblighi degni di nota dei produttori di prodotti connessi e dei fornitori di servizi correlati ricomprendono infatti quanto segue:
- i data holder devono fornire informazioni complete sui dati che saranno generati quando si utilizza il prodotto o il servizio, compresa la natura e il volume dei dati, come questi dati saranno utilizzati e da chi, come l’utente può accedere a questi dati, e come l’utente può richiedere che questi dati siano condivisi con una terza parte;
- l’accesso ai dati dovrà essere concesso senza ingiustificato ritardo, gratuitamente e – se del caso – in modo continuo e in tempo reale;
- il rispettivo dato holder può utilizzare i dati generati solo sulla base di un contratto con l’utente;
- il data holder, su richiesta dell’utente, deve fornire i dati a una terza parte autorizzata dall’utente; di conseguenza, i dati potrebbero dover essere forniti a piattaforme esterne o persino ai concorrenti. Tuttavia, la proposta include alcune previsioni volte a disciplinare il possibile uso anticoncorrenziale delle nuove disposizioni sull’accesso ai dati. In particolare, la Commissione ha collegato questi obblighi al Digital Markets Act (non ancora adottato) e stabilisce che i “gatekeeper” ai sensi del sopra citato DMA non sono considerabili terzi ai sensi del Data Act. La bozza del Digital Markets Act definisce i gate keeper come piattaforme centrali di dimensioni molto grandi e rilevanti. Mentre cerca di rendere i dati più disponibili in generale, la Commissione apparentemente intende escludere i grandi fornitori di piattaforme da questo beneficio;
- i dati devono essere resi disponibili a condizioni eque, ragionevoli e non discriminatorie (FRAND). I costi per la fornitura dei dati ai destinatari (siano essi piccole o medie imprese) non possono superare i costi direttamente legati alla messa a disposizione dei dati;
- il data holder non può imporre condizioni inique per la concessione dell’accesso ai dati alle piccole e medie imprese. Tra le condizioni inique si ricomprende l’esclusione della responsabilità per colpa grave o atti intenzionali, l’esclusione dei rimedi in caso di inadempimento o qualsiasi clausola che limiti i diritti dell’utente ai sensi del Data Act.
L’accesso ai dati da parte delle autorità pubbliche
La proposta disciplina anche l’accesso ai dati da parte delle autorità pubbliche. Il capo V prevede l’obbligo di rendere disponibili i dati in circostanze eccezionali, in particolare, per rispondere a un’emergenza o per rispettare obblighi di legge. Questa disposizione è concepita per scenari eccezionali, prevede un compenso ed è soggetta a diversi requisiti, tra cui un test di proporzionalità.
La prima bozza di Data Act che era trapelata qualche settimana fa includeva anche una norma di protezione circa il fatto che i dati che un’azienda fosse obbligata a condividere con le autorità pubbliche in una situazione di emergenza non sarebbero utilizzati per causare danni a quell’azienda. Tuttavia, questa specificata protezione è stata ora eliminata dalla proposta pubblicata.
È ad oggi difficile determinare se una tale disposizione abbia un forte impatto pratico.
Passare da un cloud service all’altro
La proposta include disposizioni specifiche sui servizi di elaborazione dei dati che, essenzialmente, ricomprendono la maggior parte dei servizi cloud. Il Data Act mira a rimuovere gli ostacoli al passaggio tra i servizi cloud. Nella documentazione che accompagna la bozza si legge che il codice di autoregolamentazione SWIPO (Switching Cloud Providers and Porting Data), un’iniziativa non vincolante per facilitare il passaggio da un cloud all’altro, “non sembra aver influenzato significativamente le dinamiche del mercato“.
A tal fine, i fornitori di servizi di elaborazione dei dati devono concludere con i loro clienti contratti che permettono al cliente di cambiare servizio entro 30 giorni. Inoltre, i fornitori di servizi devono supportare i loro clienti nel processo di passaggio al nuovo fornitore. Deve anche essere garantita la piena continuità delle funzioni corrispondenti tra un servizio e l’altro. A tal fine i fornitori devono garantire la compatibilità con standard aperti o interfacce di interoperabilità. Per tre anni dopo l’entrata in vigore del Data Act, i costi per i servizi di passaggio a nuovo fornitore non potranno superare i costi propri dei fornitori; in seguito, dovranno addirittura essere gratuiti.
Questa potrebbe essere una buona notizia per i clienti che sono attualmente costretti a negoziare in dettaglio i servizi di transizione a nuovo fornitore (che sono solitamente chiamati “exit services”). Questi “servizi in uscita” di solito si rendono necessari in un momento in cui i clienti e i fornitori non hanno già concordato una soluzione di compromesso equa. Ciò detto, la proposta della Commissione sembra piuttosto radicale sul punto in quanto – almeno attualmente – tali servizi in uscita possono essere non solo complessi ma anche costosi.
I trasferimenti internazionali di dati non personali diventano più complicati
Come sappiamo bene, i trasferimenti internazionali di dati personali tengono occupati tutti gli avvocati europei che si occupano di protezione dei dati. Gli obblighi del GDPR, la sentenza Schrems II della Corte di giustizia Europea e le linee guida delle autorità di protezione dei dati delineano una situazione giuridica molto complessa che rende impegnativo ogni trasferimento di dati personali verso un paese terzo (in pratica “ogni uso di un servizio cloud”). La proposta del Data Act potrebbe estendere questa sfida ai dati non personali.
I fornitori di servizi di elaborazione dei dati dovranno prendere tutte le misure ragionevoli per impedire l’accesso governativo a, o il trasferimento di, dati non personali che sarebbero incompatibili con il diritto europeo o nazionale. L’accesso ai dati da parte di autorità o tribunali situati in paesi terzi sarebbe legittimo solo a certe condizioni che sono simili a quelle stabilite per i dati personali nella decisione Schrems II. Se fino ad oggi non trattare dati personali era la migliore via d’uscita dalle norme molto severe sul trasferimento internazionale dei dati ai sensi del GDPR, il Data Act potrebbe rendere questa accortezza priva di utilità pratica in futuro.
Conclusioni
Il nuovo Data Act può essere un’opportunità o un ostacolo, a seconda del modello di business. Se il Data Act fosse implementato come proposto, avrebbe un impatto enorme sull’economia europea dei dati. Fattori determinanti saranno il modello di business dell’azienda e la sua capacità di adattarsi alle evoluzioni del contesto per valutare e coglierne i vantaggi.
La disponibilità dei dati potrebbe portare a modelli di business completamente nuovi e promuovere l’innovazione. La Commissione potrebbe pensare che, se l’Europa ha perso la corsa per quanto riguarda i modelli di business basati sui dati personali, c’è ancora una possibilità per quanto riguarda i modelli di business basati sui dati non personali. E il Data Act estenderà certamente il mercato di questi dati.
Le aziende che fanno affidamento sui dati che derivano dai prodotti connessi – come le aziende che offrono servizi di maintenance o che offrono servizi complementari – avranno l’opportunità di fornire servizi migliori. Le aziende che hanno scelto di sfruttare la conoscenza dei propri prodotti o dei servizi correlati e dei dati generati in questo contesto come vantaggio competitivo si troveranno con nuove questioni da affrontare: dovranno accettare che la monopolizzazione dei dati non è più un’opzione disponibile. Questa potrebbe essere una cattiva notizia per i produttori di macchine che hanno digitalizzato solo recentemente i loro prodotti e che speravano ora di stabilire nuovi modelli di business intorno al loro prodotto sostanzialmente privi di alcuna reale concorrenza. Se il Data Act sarà implementato, i nuovi modelli di business dovranno essere in grado di risultare vincenti anche a fronte della possibilità offerta ad altre aziende di utilizzare gli stessi dati a beneficio dei clienti, in modi potenzialmente innovativi e creativi.
In questo momento, il Data Act rimane una proposta e il progetto sarà probabilmente soggetto a modifiche. Tuttavia, dimostra che la Commissione è seriamente intenzionata a creare un’economia europea dei dati e a prendere misure radicali per promuovere questa economia, costringendo le aziende a fornire a terzi il loro principale asset strategico: i dati.
