La proposta di un regolamento europeo volto a fissare regole comuni per l’accesso equo ai dati e il loro riutilizzo (Data Act) è una delle iniziative più complesse e ambiziose previste dalla strategia europea per i dati. Sulla proposta, che è stata pubblicata lo scorso 23 febbraio, la Commissione europea ha ritenuto opportuno promuovere, dopo le consultazioni pubbliche condotte nella fase di preparazione, un’ulteriore fase di raccolta di commenti che si è conclusa l’11 maggio.
Il data act europeo preoccupa EDPB e EDPS: ecco i problemi privacy
Perché il Data Act è una proposta complessa
Le ragioni della complessità sono molteplici.
Anzitutto, al Data Act è affidato il compito di risolvere una serie di problemi a cui sinora non si è riusciti a porre rimedio con precedenti misure, legislative e non legislative. Alcuni degli obiettivi, evidentemente, non sono facili da raggiungere.
In secondo luogo, se il Data Act condivide con il Data Governance Act (DGA) l’ambizione di aumentare il controllo dei soggetti sui propri dati, mentre il DGA si limita a creare un contesto di governance che favorisce la condivisione, il Data Act va a incidere direttamente sulla condotta delle imprese, prevedendo una serie di obblighi volti a favorire l’accesso equo ai dati e il loro riutilizzo. Il novero dei destinatari degli obblighi è molto più ampio di quello del Digital Markets Act, che riguarda solo le grandissime piattaforme (i gatekeeper digitali). Di conseguenza, vi è una folta platea di soggetti che si interroga attivamente sulla necessità e sulla proporzionatezza dei nuovi vincoli previsti dalla proposta legislativa.
In terzo luogo, pur ponendosi come disciplina orizzontale della messa a disposizione dei dati generati dall’uso di un prodotto o di un servizio correlato all’utente, la proposta legislativa prevede una serie di esclusioni non solo dagli obblighi, ma anche dai benefici che risultano dal nuovo quadro di regole, che sicuramente si prestano ad essere discusse.
L’iter legislativo presso il Parlamento europeo e il Consiglio si preannuncia quindi impegnativo. Al tempo stesso, va preso atto che molte delle disposizioni del Data Act costituiscono tasselli fondamentali della strategia europea per i dati.
Il ruolo del Data Act per completare il quadro normativo
Per comprendere la proposta, è utile ricordare rapidamente quali degli ambiti della strategia europea dei dati sono già ben presidiati e quali rimangono invece ancora critici. Mentre per i dati personali, il quadro normativo europeo incentrato sul bilanciamento tra tutela dei diritti fondamentali e libera circolazione è robusto e articolato, per i dati non personali la consapevolezza della necessità di una strategia e di un quadro giuridico a livello europeo è maturata più tardi. Si è partiti dalle regole relative all’accesso alle informazioni nella disponibilità del settore pubblico (con la direttiva del 2003, poi sostituita dalla direttiva Open Data 2019/1024) per poi arrivare, nel 2018, a uno specifico regolamento volto a rimuovere le restrizioni ingiustificate alla circolazione dei dati non personali tra gli Stati membri, ferme restando possibili giustificazioni connesse ad esigenze di sicurezza pubblica. In quel contesto, si è iniziato a incoraggiare i fornitori di servizi cloud ad assicurare agli utenti la portabilità non solo dei dati personali ma anche di quelli non personali, in modo da creare le premesse per il superamento di eventuali situazioni di lock-in, in linea con il modello del GDPR.
Per promuovere la condivisione dei dati detenuti da soggetti privati, a lungo si è scelto di non fare ricorso ad atti normativi di portata orizzontale. Al di là delle specifiche ipotesi settoriali in cui esistono obblighi di messa a disposizione dei dati (dai servizi di pagamento alla riparazione dei veicoli, dalla mobilità al consumo di energia elettrica), la Commissione europea si è perlopiù limitata a dettare raccomandazioni e principi di buona condotta, incluso nel caso di co-produzione del dato il riconoscimento della creazione condivisa di valore e degli interessi commerciali della controparte. Similmente, per le richieste da parte del settore pubblico di dati alle imprese private, sinora non si è andati oltre l’enunciazione di principi generali di proporzionalità, trasparenza e rispetto degli interessi legittimi delle imprese.
La sfida del Data Act è quella di compiere un sostanziale passo in avanti rispetto a questa situazione. La percezione è infatti che il quadro attuale non abbia fornito una spinta sufficiente all’equa condivisione e al riutilizzo dell’immensa varietà di dati che vengono prodotti quotidianamente in Europa. Se, come anticipato, il DGA mira a creare le precondizioni istituzionali per il pieno controllo e la fiducia nella condivisione del dato in condizioni di sicurezza, con il Data Act l’obiettivo è disegnare un quadro di obblighi e diritti per l’accesso equo ai dati e il loro riutilizzo. La cornice orizzontale sarà rilevante anche per la realizzazione dei Common European Data Spaces nei diversi settori.
Accesso e riutilizzo dei dati generati dall’uso di un prodotto
Il principale ambito di intervento del Data Act riguarda la messa a disposizione dei dati generati dall’uso di un prodotto o di un servizio correlato all’utente di tale prodotto o servizio, sia esso un’impresa o un consumatore. Può trattarsi ad esempio di dati industriali oppure di dati generati da un veicolo o da un altro prodotto connesso nell’ambito dell’Internet of Things.
Il Data Act, senza avventurarsi nella definizione di nuovi diritti, va a delineare le regole giuridiche ed economiche per l’accesso e il riutilizzo di tali dati.
Spesso (anche se non necessariamente) si tratta di dati non personali, per i quali il tema del bilanciamento tra diritti e libertà di circolazione si propone in modo meno delicato che per i dati personali. Resta il problema pratico di come gestire le numerose situazioni in cui i dati generati dai prodotti includono dati personali, nell’ampia accezione di dato personale fornita dal GDPR. Infatti, nella misura in cui siano coinvolti dati personali, le regole in materia dei diritto dell’Unione restano impregiudicate.
I confini del diritto sui generis
Una delle principali disposizioni della proposta di Data Act volte a favorire la circolazione dei dati è il chiarimento ex lege che il diritto sui generis della direttiva europea sulle banche dati non si applica alle banche dati contenenti dati ottenuti o generati dall’utilizzo di un prodotto o di un servizio connesso. La direttiva prevede che il diritto sui generis protegge le basi dati per le quali sono stati compiuti sostanziali investimenti per ottenere, verificare e presentare i dati. Come chiarito dalla Corte di giustizia in una serie di pronunce (cfr., ad esempio, Fixtures Marketing c. Oy Veikkaus, C-46/02, 9 novembre 2004), gli investimenti oggetto di protezione sono quelli diretti alla raccolta dei dati, non quelli connessi alla creazione del dato in quanto sottoprodotto di un’altra attività economica. Con il Data Act la Commissione mira a rimuovere ogni residua incertezza riguardo al fatto che il diritto sui generis non si applica alle banche dati di machine-generated data, sgombrando così il campo, per la condivisione di questi dati, dal rischio di violare diritti di proprietà intellettuale.
Gli obblighi per i produttori e i diritti per gli utilizzatori
La proposta di Data Act definisce, da un lato, una serie di obblighi per i produttori di beni e i fornitori di servizi connessi posti sul mercato nell’Unione europea, dall’altro una serie di diritti per gli utilizzatori di tali beni o servizi. Alla base vi è l’implicito riconoscimento di un diritto dell’utilizzatore derivante dalla sua partecipazione alla produzione del dato mediante l’impiego del prodotto o del servizio ad esso connesso.
Il primo obbligo è quello di concepire e fornire prodotti e servizi in modo che, by default, i dati generati dal loro uso siano accessibili all’utente in modo facile, sicuro e, ove pertinente e opportuno, diretto.
Prima della conclusione dei contratti relativi a prodotti e servizi, l’utilizzatore dovrà essere preventivamente informato dei profili attinenti ai dati (quali dati sono generati, con quale frequenza, come accedervi, se il fornitore intende utilizzarli o consentire a terzi l’utilizzo e per quali scopi, chi è il ‘titolare’ dei dati (data holder), a chi rivolgersi per richieste o reclami). Il titolare dei dati dovrà inoltre, dietro richiesta dell’utente o di un soggetto che agisce per suo conto (potrebbe trattarsi anche degli intermediari dei dati previsti dal DGA), mettere i dati a disposizione di terze parti, inclusi fornitori di servizi di riparazione e manutenzione.
La messa a disposizione dei dati in favore dell’utilizzatore deve avvenire tempestivamente e gratuitamente. Per le terze parti è possibile per il detentore del dato richiedere una compensazione, a condizioni FRAND (fair, reasonable and non discriminatory). Vincoli più stringenti sono previsti quando il beneficiario è una micro, piccola o media impresa, nel qual caso la compensazione richiesta alle terze parti non può eccedere i costi diretti della messa a disposizione del dato.
Costi e benefici
Tutto questo richiede, per i produttori e fornitori di servizi che non abbiano già anticipato la tendenza, un adeguamento dei modelli produttivi e organizzativi, che comporta indubbiamente costi significativi.
L’unico limite al riutilizzo previsto per non disincentivare troppo gli investimenti dei produttori degli oggetti connessi è il divieto di utilizzare i dati ottenuti per fabbricare prodotti concorrenti con quello dal quale è stato ottenuto il dato.
La scommessa della Commissione è che, oltre ad assicurare una maggiore equità nella partecipazione dei diversi soggetti al valore dei dati che contribuiscono a produrre, i benefici di questo modello in termini di stimolo all’economia dei dati siano tali da compensare i costi. Ci si può attendere, ad esempio, una maggiore concorrenza nei servizi di riparazione e manutenzione relativi agli oggetti connessi, una situazione più favorevole allo sviluppo di nuovi servizi, una più agevole possibilità per gli utilizzatori di trarre vantaggio dalla combinazione di dati derivanti da oggetti forniti da diversi produttori.
Le clausole abusive
Fermo restando il richiamo generale alla libertà di contratto, viene anche introdotta nel Data Act, seguendo il filone europeo della tutela della fairness nei rapporti bilaterali, una disciplina specifica delle clausole contrattuali abusive imposte unilateralmente a micro imprese, piccole o medie imprese in relazione all’accesso ai dati e al relativo riutilizzo. Evidentemente il richiamo a principi di correttezza nei contratti non è ritenuto sufficiente a tutelare i soggetti dotati di minore potere contrattuale. Con analoghi obiettivi di tutela, è previsto che la Commissione elabori e raccomandi clausole contrattuali tipo non vincolanti relative all’accesso ai dati e al relativo utilizzo per assistere le parti nella stesura e nella negoziazione di contratti equilibrati dal punto di vista dei diritti e degli obblighi.
Le misure per riequilibrare il mercato
Questa disciplina generale è accompagnata da due correttivi, entrambi volti in qualche misura a riequilibrare il funzionamento del mercato.
Anzitutto, gli obblighi di accesso e messa a disposizione, e i connessi costi, non si applicano ai dati generati dall’utilizzo di prodotti o di servizi connessi forniti da microimprese o piccole imprese. L’intento evidente è quello di evitare oneri eccessivi sulle imprese di minori dimensioni operanti in Europa. Va peraltro considerato che anche una piccola impresa dinamica, nella prospettiva di potere passare alla categoria delle medie imprese, dovrebbe pianificare la propria attività tenendo conto del fatto che potrebbe un giorno dovere ottemperare all’obbligo di assicurare un modello produttivo funzionale by default alla condivisione dei dati.
In secondo luogo, sempre per riequilibrare il mercato, la proposta di Data Act esclude dal novero dei possibili beneficiari della condivisione dei dati le piattaforme designate come digital gatekeepers in base al Digital Market Act. Non sarebbe quindi possibile per l’utente del prodotto avvalersi delle regole per la condivisione dei dati introdotte dal Data Act per ottenere, ad esempio, un servizio aftermarket da parte di un digital gatekeeper. Su questa previsione c’è da attendersi una vivace discussione. Nella tradizione europea del diritto della concorrenza e della regolazione, infatti, i limiti alla crescita del potere di mercato delle imprese sinora si sono incentrati sul controllo delle concentrazioni, sul divieto di abuso di posizione dominante e, in casi specifici, come nel Digital Markets Act, sulla regolazione ex ante delle condotte dell’impresa. In questo caso, invece, verrebbe introdotto un limite alla possibilità di crescita interna di alcuni soggetti, non consentendo all’utente di trasferire i dati a specifici fornitori al fine di non accrescere il loro potere di mercato. Si tratta di un limite inusuale perché vincola anche la libertà di scelta dell’utente.
Resta da capire se l’approccio proposto dalla Commissione potrà essere giustificato sostenendo che le condizioni di accesso al dato previste dal Data Act costituiscono non la regola ma un beneficio, che non si giustifica per soggetti già dotati di un fortissimo potere di mercato. Va anche approfondito quale significato attribuire alla previsione per cui i digital gatekeepers, preclusa la strada dell’ottenimento dei dati tramite i meccanismi del Data Act, possono comunque ottenerli con altri strumenti leciti.
Le regole sulla messa a disposizione dei dati in favore di soggetti pubblici
Meno complicate appaiono le regole previste per assicurare l’accesso delle istituzioni pubbliche ai dati delle imprese qualora tale accesso sia necessario e proporzionato in relazioni a circostanze eccezionali, quali un’emergenza pubblica o lo svolgimento di un compito di interesse pubblico per il quale non vi sono alternative. La frequenza con cui negli ultimi anni le istituzioni pubbliche hanno dovuto far fronte a situazioni di crisi (sanitaria, ambientale, e così via) spiega l’esigenza di adottare regole comuni che fissino principi comuni sull’intero territorio dell’Unione, incluse adeguate garanzie per i soggetti chiamati a fornire i dati.
Le regole per favorire il passaggio tra fornitori di servizi cloud
Un ulteriore obiettivo del Data Act consiste nel porre regole vincolanti sui fornitori di servizi cloud e di altri servizi di trattamento dei dati, volte a consentire un agevole passaggio da un fornitore all’altro (c.d. switching). L’autodisciplina non ha prodotto risultati ritenuti sufficienti. Così, la proposta impone ai fornitori di servizi di rimuovere gli ostacoli commerciali, tecnici, contrattuali e organizzativi al passaggio, accompagnando questa prescrizione con una serie di obblighi più specifici, incluso quello di consentire il mantenimento di un’”equivalenza funzionale” del servizio in caso di passaggio e il vincolo di compatibilità con gli standard e le specifiche tecniche di interoperabilità, dove esistenti. Le sfide della proposta riguardano, più che i principi, gli aspetti pratici e i costi connessi al raggiungimento del modello di apertura identificato dalla Commissione.
Le iniziative per l’interoperabilità
Il progetto di uno spazio europeo dei dati richiede iniziative concrete per assicurare l’interoperabilità tra le basi dati e tra i servizi di trattamento dei dati. Anche su questo fronte la proposta di Data Act prevede misure significative, incentrate sul modello europeo del ‘nuovo approccio’ alla standardizzazione. Il Data Act identifica, a un livello alto, i requisiti essenziali di interoperabilità per gli spazi dei dati e i servizi di trattamento dei dati, demandando alla Commissione il compito di dettare ulteriori prescrizioni di dettaglio. Il disegno è completato dalla prevista adozione di standard armonizzati (che comportano la presunzione di rispetto dei requisiti essenziali di interoperabilità) e di specifiche tecniche per l’interoperabilità.
L’attuazione e l’esecuzione
Il Data Act è concepito come un regolamento la cui attuazione dovrà essere affidata ad autorità nazionali appositamente designate dagli Stati membri, i quali dovranno anche istituire regimi sanzionatori per le violazioni e meccanismi per la gestione dei reclami. Un ruolo centrale resta comunque alla Commissione europea, cui spetta in particolare il compito di definire i modelli contrattuali non vincolanti e assumere le iniziative per promuovere l’interoperabilità tra basi dati e tra servizi di trattamento dei dati.
Una prima valutazione
La prima parte del Data Act appare come una combinazione tra il tentativo di chiarire il quadro giuridico per l’accesso e la messa a disposizione dei dati generati dall’utilizzo degli oggetti e una serie di disposizioni volte non solo a promuovere meccanismi concorrenziali, ma anche a riequilibrare il funzionamento del mercato. Sicuramente si possono prevedere costi di aggiustamento, ma anche benefici in termini di apertura alla concorrenza in determinati mercati (assistenza, riparazione). Bisogna vedere quanto il modello sarà anche in grado di dare un impulso significativo all’economia europea dei dati nel suo complesso.
Obiettivi proconcorrenziali e costi di aggiustamento caratterizzano anche le proposte volte a eliminare gli ostacoli al passaggio tra diversi fornitori di servizi di trattamento dei dati. Altrettanto importanti per completare il quadro a sostegno dell’economia dei dati in Europa sono le previsioni volte a fissare regole comuni sulla messa a disposizione di dati in favore delle autorità per motivi eccezionali di interesse pubblico e le iniziative previste per assicurare l’interoperabilità per gli spazi di dati e i servizi di trattamento di dati.
Alcune prime reazioni hanno paventato il rischio che si tratti di un quadro troppo complesso ed oneroso, che potrebbe frenare lo sviluppo dell’economia digitale in Europa. I contributi alla consultazione promossa dalla Commissione e il dibattito che accompagnerà l’iter legislativo possono aiutare a evitare questo rischio. Si tratta di aiutare a comprendere se alcuni dei vincoli previsti sono ingiustificati o vanno meglio disegnati e, al tempo stesso, di valorizzare, nell’interesse comune, i numerosi aspetti positivi del modello delineato dalla Commissione.