Dopo il Data Governance Act, la strategia per i dati elaborata dall’Unione Europea si trova ad un nuovo punto di svolta, con la ormai prossima approvazione della proposta di Data Act della Commissione UE volta a creare un mercato unico di scambio dei dati generati da dispositivi connessi.
Nell’attesa di poter visionare il testo definitivo del regolamento sui dati, non sono mancate le riflessioni su quale sarà l’impatto nei confronti del Regolamento UE n. 679/2016 in materia di protezione dei dati personali (“GDPR”) e in quale modo le due normative potranno convivere.
Data governance act, così l’Europa fonda un nuovo modello di economia digitale
Dal Data Governance Act al Data Act: la strategia Ue per i dati
La Commissione Europea ha pubblicato in data 23 febbraio 2022 il testo definitivo della proposta del “Data Act” (in seguito per comodità il “Regolamento”), il secondo elemento costitutivo della strategia europea per i dati che mira a porre l’UE in prima linea nella società digitale che avanza in maniera sempre più veloce ed incalzante.
Al fine di ricostruire il binario su cui il “treno” (così viene, metaforicamente, denominata la strategia per i dati elaborata dalla Commissione) della nuova Europa digitale si sta muovendo, occorre soffermarsi dapprima sul Data Governance Act, che costituisce la stazione di partenza di tale percorso.
La legge dell’UE sulla governance è, infatti, la normativa adottata alla fine del 2021, con l’ambizioso obiettivo di delineare un quadro giuridico unitario per la condivisione dei dati, rafforzando la fiducia negli intermediari dei dati ed incoraggiando la condivisione di questi nel territorio dell’Unione ed in tutti i principali settori economici.
In buona sostanza, il Data Governance Act costituirà il fondamento per concepire una modalità innovativa di governance dei dati, in linea con il GDPR e con i principi concernenti la tutela dei consumatori e il diritto della concorrenza.
La visione di uno spazio europeo comune, di un mercato unico di dati muove il legislatore europeo verso la necessità di garantire un flusso libero e sicuro per gli stessi non solo all’interno dell’Unione Europea ma anche verso i Paesi terzi, fatte salve le dovute eccezioni e restrizioni per la sicurezza e l’ordine pubblico.
Data Act: quali le novità?
Rispetto al Data Governance Act, il Data Act ha lo scopo di fare un passo ancora avanti, introducendo requisiti vincolanti per il produttore di dispositivi connessi e servizi correlati per fornire l’accesso degli utenti ai dati creati da quest’ultimi; come si evince anche dalla dichiarazione del Vicepresidente esecutivo della Commissione, Margret Vestager per la quale la finalità principale a cui è improntato il Data Act è di permettere ai “consumatori e alle aziende un controllo ancora maggiore su cosa si può fare con i loro dati, chiarendo chi può accedere ai dati e a quali condizioni”.
Giungendo al nocciolo della questione ed addentrandosi nel contenuto della proposta di legge, il principio cardine del Data Act è che gli utenti aziendali e i consumatori dovrebbero essere in grado di accedere, gestire e condividere i dati che contribuiscono a creare quando utilizzano un dispositivo connesso o un servizio allo stesso collegato, ad esempio gli assistenti virtuali. L’ambito di applicazione soggettivo della proposta – stando allo stato attuale – copre non solo i fornitori di servizi connessi immessi sul mercato dell’Unione Europea ed i rispettivi utenti ma anche coloro che mettono a disposizione tali informazioni (denominati “data holders”) a favore dei destinatari (“data recipients”), i quali possono identificarsi anche con le istituzioni europee.
Il meccanismo di condivisione
Ma come funzionerebbe, praticamente, il meccanismo di condivisione?
I fornitori di tali servizi, definiti titolari dei dati, dovrebbero creare fin dalla progettazione del servizio un’interfaccia che consenta agli utenti di accedere facilmente per gestire i propri dati senza costi aggiuntivi (“data accessibility by default”).
Nel B2C (Business to Consumer) data sharing, inoltre, sono previsti degli obblighi informativi minimi a favore dell’utente prima della conclusione del contratto relativo al prodotto o servizio connesso, come si evince dall’art. 3 della proposta del Regolamento.
Nel B2B (Business to Business) data sharing (art. 5), invece, sussisterebbe un obbligo generalmente esteso in capo ai predetti titolari di permettere agli utenti di condividere tali dati con una terza parte (salvo il diritto del titolare di proteggere il know-how, i segreti commerciali/industriali ed altre informazioni riservate).
La terza parte autorizzata potrebbe, dunque, essere una piattaforma esterna o anche un concorrente diretto del titolare dei dati, il che, intuitivamente, contribuisce ad accrescere il livello di concorrenza nella gestione dei dati.
Sebbene a tali organizzazioni sia vietato utilizzare i dati ottenuti per sviluppare un prodotto direttamente concorrente, esse potranno, invece, impiegarli per implementare un servizio alternativo a quello dei titolari dei dati. Sarebbero esonerate dall’obbligo di condivisione unicamente le grandi piattaforme online qualificabili come gatekeeper.
Data Act e GDPR: i punti di contatto delle discipline
A questo punto, sorge spontaneo domandarsi quali effetti possa sprigionare l’eventuale futura adozione del Data Act nell’ordinamento europeo e secondo quali modalità potrà convivere con il GDPR che, ormai da diversi anni, costituisce la normativa centrale in materia di protezione dei dati personali.
In questa prospettiva, la Commissione afferma che la proposta di regolamento è coerente con le norme vigenti in materia di trattamento dei dati personali (tra cui il GDPR), oltre che con la tutela della vita privata e della riservatezza delle comunicazioni.
Nella proposta di regolamento il “dato” assume un ruolo centrale, ma è evidente come in questo caso ci si trovi dinnanzi ad una concezione di “dato” differente dal “dato” (personale) del GDPR.
Ai sensi dell’art. 1, par. 2, del Data Act, il “dato” è “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi compilazione di tali atti, fatti o informazioni, anche in forma sonora, visiva o registrazione audiovisiva”.
Se le due nozioni di “dato” paiono, ad un primo esame, diametralmente opposte, è evidente che, adottando la prospettiva del GDPR – per cui vige un’interpretazione estensiva del concetto di dato, tale da potervi ricomprendere anche informazioni apparentemente non riconducibili (da sole) ad un individuo – con una lettura più attenta, i campi di applicazione delle due discipline potrebbero sovrapporsi, non di rado, nella prassi.
Sul punto, il Considerando 30 della proposta di Regolamento chiarisce, infatti, che l’utilizzo di un prodotto o di un servizio correlato può, in particolare quando l’utente è una persona fisica, creare dati relativi a una persona fisica identificata o identificabile (interessato del trattamento). Pertanto, qualora il data set generato ricomprenda sia dati personali che dati non personali (rectius “rappresentazioni digitali di atti, fatti o informazioni”) – tra di loro indissolubilmente legati – allora troveranno applicazione le disposizioni del GDPR.
Nulla di nuovo, dunque, rispetto a quanto già stabilito dal Regolamento UE n. 1807/2018 sulla libera circolazione dei dati non personali, il quale già chiariva, all’art. 2, par. 2, che: “Nel caso di un insieme di dati composto sia da dati personali che da dati non personali, il presente regolamento si applica alla parte dell’insieme contenente i dati non personali. Qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati, il presente regolamento lascia impregiudicata l’applicazione del regolamento (UE) 2016/679”.
Ma è interessante quanto sancito nel prosieguo del predetto Considerando, a mente del quale, con riferimento all’ipotesi in cui l’utente non sia una persona fisica, ma un’impresa (anche in forma individuale), afferma che essa assumerà le vesti di titolare del trattamento ai sensi del GDPR, di conseguenza, qualora intenda richiedere dati personali generati dall’utilizzo di un prodotto o servizio correlato sarà tenuto a disporre di una base giuridica idonea per il trattamento dei dati ai sensi dell’articolo 6, par. 1, GDPR, quali il consenso dell’interessato o il legittimo interesse.
Quanto poc’anzi illustrato è chiarito, in termini più generali, dall’art. 5, par. 6, della proposta di regolamento, in cui si legge che, qualora l’utente non sia un interessato, qualsiasi dato personale generato dall’uso di un prodotto o di un servizio correlato potrà essere reso disponibile solo se esista una valida base legale ai sensi del su menzionato articolo 6 (in caso di dati comuni), oppure, ex articolo 9 (in caso di trattamento di dati particolari), qualora siano soddisfatte le condizioni in esso contenute.
Inoltre, come disposto dal paragrafo successivo, l’eventuale mancato accordo da parte del titolare e del terzo sulle modalità di trasmissione dei dati non ostacolerà, impedirà o interferirà con l’esercizio dei diritti dell’interessato di cui al GDPR e, in particolare, con il diritto alla portabilità dei dati riconosciuto dall’articolo 20 che, ricordiamo, consente all’interessato “di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento” e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, qualora il trattamento sia fondato sulla base giuridica del consenso o contrattuale, ovvero sia effettuato con mezzi automatizzati.
Si tratta, pertanto, della facoltà di esercitare un diritto pressoché similare rispetto a quello riconosciuto dal GDPR. Del resto, come affermato nelle “Questions and Answers” del 23 febbraio 2022 della Commissione Europea, è obiettivo del Data Act riconoscere pienamente tale diritto per i prodotti connessi, in modo che i consumatori possano accedere e trasferire tutti i dati generati dal servizio, a prescindere dal fatto che si tratti di dati personali propriamente definiti o meno.
Conclusioni
Alla luce di quanto rappresentato, il Data Act appare come un progetto ambizioso, volto a proporre una risposta coordinata ed armonizzata, che tenga conto delle fonti normative esistenti, ex multis GDPR, direttiva “ePrivacy”, “direttiva sui segreti commerciali”, “direttiva sulle banche dati”. Quest’ultima, in particolare, potrebbe costituire oggetto di modifica ed integrazione, con la precipua finalità di corroborare gli obiettivi della normativa sul mercato unico dei dati.
La primaria aspirazione appare quella di una integrale apertura al mercato dei dati digitali, finalizzata a rendere i dati facilmente accessibili all’utente, ma soprattutto a favore dei destinatari delle condivisioni e delle istituzioni pubbliche che, in ipotesi di straordinaria necessità, potrebbero averne bisogno (basti pensare alla situazione emergenziale derivante dalla diffusione pandemica da Covid-19).
Allo stesso tempo, non possono essere sottovalutate le implicazioni per la privacy degli utenti, derivanti dalla condivisione su larga scala di tali dati.
Tuttavia, secondo quanto affermato Vicepresidente esecutivo della Commissione Europea, Margrethe Vestager, il Data Act avrà come ulteriore obiettivo quello di garantire certezza normativa a proposito di chi potrà accedere ai dati digitali circolanti in Europa.
Probabilmente, la battaglia contro l’oligopolio delle grandi compagnie di Big Tech passa anche da qui.