L’11 gennaio 2024 è entrato in vigore il Regolamento (UE) 2023/2854 (“Data Act”), parte integrante della strategia europea dei dati, che contiene norme armonizzate sull’accesso equo ai dati e sul loro utilizzo.
Cos’è il Data Act
Il Data Act è noto soprattutto per aver definito i diritti di accesso ai dati generati dall’uso di prodotti connessi o servizi correlati e le condizioni per il loro uso e per la loro condivisione.
In aggiunta, però, esso ha provveduto a riordinare e a riformare un ambito di notevole interesse concreto per una platea vastissima di imprese (B2B) e di utenti privati (B2C): i servizi di trattamento dati. L’ha fatto in modo da agevolare il passaggio da un fornitore all’altro e da migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati.
Da quaundo sarà applicabile il Data Act
Il Data Act sarà applicabile a partire dal 12 settembre 2025. Entro quel termine, tutti i fornitori di servizi di trattamento dati dovranno apportare modifiche alle loro condizioni contrattuali e ai loro processi operativi. Pensando all’impegno di adeguamento che i player di questo mercato hanno davanti a sé nei prossimi mesi, passeremo in rassegna le novità a nostro avviso più significative.
Quali sono i servizi di trattamento dati e a chi sono erogati secondo il Data Act
Secondo l’art. 2.8 del Data Act, il «servizio di trattamento dei dati» è un«servizio digitale fornito a un cliente e che consente l’accesso di rete universale [cioè gestibile da vari dispositivi] e su richiesta a un pool condiviso di risorse informatiche configurabili [cioè settabili], scalabili [cioè modificabili con facilità] ed elastiche [cioè capaci di aggiungere o rilasciare risorse di elaborazione, memoria e storage in modo rapido e semplice] di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi».
La definizione abbraccia un numero considerevole di servizi, con una gamma ampia e variegata di finalità, funzionalità e impostazioni tecniche. Secondo l’articolo 2.30 del Data Act, può essere «cliente» di questo tipo di servizi – ed è quindi tutelato dalle nuove norme – qualsiasi «persona fisica o giuridica che ha stipulato un rapporto contrattuale con un fornitore di servizi di elaborazione dati con l’obiettivo di usufruire di uno o più servizi di elaborazione dati».
Sono senz’altro qualificabili come servizi di trattamento dati i servizi edge, consistenti nel fornire una rete formata da un gruppo di dispositivi di connettività, in grado di elaborare e memorizzare dati critici localmente, e di trasmettere tutti i dati ricevuti e/o elaborati a un data center centrale o a un repository di cloud storage.
Tuttavia, nel quadro dei servizi di trattamento dati, per la capillarità della loro diffusione e per la varietà della loro clientela, sono assolutamente centrali i servizi di cloud computing. Il tema del passaggio dati da un fornitore all’altro (“portabilità”) e il tema dell’interoperabilità sono due temi classici dei contratti del cloud. Finora, questi temi erano stati affrontati a livello europeo solo in testi di autodisciplina (come lo SWIPO, Switching Cloud Providers and Porting Data), ritenuti dal Data Act insufficienti per diffusione e meritevoli di essere rafforzati con obblighi normativi. Per porre i clienti in condizione di passare da un fornitore a un altro in un modo rapido e agevole e senza perdere dati o funzionalità delle applicazioni, il Data Act si prefigge di eliminare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi che tradizionalmente si frappongono a un passaggio efficace tra servizi di trattamento dati (cfr. considerando 79).
Suddivisione dei servizi cloud: IaaS, PaaS e SaaS
Tradizionalmente, i servizi di cloud computing sono suddivisi nelle tre tipologie IaaS, PaaS e SaaS.
I servizi IaaS includono l’accesso e la gestione di rete, server, virtualizzazione e storage. Se il servizio è IaaS, la gestione e l’aggiornamento del datacenter sono a carico del fornitore; viceversa, il cliente mantiene il controllo dell’infrastruttura grazie a un’interfaccia (API) o a una dashboard. Ad esempio, AWS, Microsoft (con Azure) e Google Cloud offrono servizi IaaS. Quest grandi player controllano 2/3 di questo mercato.
I servizi PaaS sono rivolti soprattutto a sviluppatori e programmatori. Il fornitore ospita hardware e software in una sua infrastruttura, che distribuisce la piattaforma via web, permettendo al cliente di sviluppare, eseguire e gestire le applicazioni senza dover creare e amministrare l’infrastruttura o la piattaforma. Il cliente può dedicarsi quindi alla scrittura di codice, alla creazione e gestione delle app, ma è esonerato dal doversi occupare degli aggiornamenti software o della manutenzione dell’hardware. È il fornitore ad offrire l’ambiente in cui creare e distribuire le app. AWS Elastic Beanstalk ed Heroku sono esempi di PaaS.
Fra i servizi di cloud computing, i servizi SaaS sono i più completi. Sempre tramite web, il fornitore si occupa degli aggiornamenti software, della correzione dei bug e di altre attività generiche di manutenzione del software. Una caratteristica comune delle piattaforme SaaS è che esse sono soggette a un abbonamento o al pagamento in base all’utilizzo. Dropbox, Salesforce, Google Apps sono classici esempi di servizio SaaS.
IaaS, PaaS e SaaS non si escludono a vicenda: spesso le imprese combinano l’uso di tutti e tre.
Questi modelli fondamentali sono ulteriormente completati da variazioni emergenti, ciascuna costituita da una combinazione distinta di risorse informatiche, quali il servizio a livello di archiviazione (Storage-as-a-Service) e il servizio a livello di banca dati (Database-as-a-Service).
Cambiare fornitore di servizi cloud: le difficoltà percepite dello switch
Soprattutto nel mondo dell’impresa, cambiare un fornitore di servizi cloud è percepito, per onerosità e rischi, come l’equivalente del “delocalizzare l’azienda”. Per lo più, l’esperienza di chi ha affrontato il passaggio da un fornitore di servizi di trattamento dati a un altro è che questo switch finisce con il distrarre dal loro lavoro principale gli operatori ICT coinvolti e si rivela più impegnativo e dispendioso in termini di tempo del previsto. Un ostacolo molto rilevante viene dagli alti costi abitualmente associati, ad esempio, all’uscita dei dati, alla lunghezza delle procedure e alla mancanza di interoperabilità tra i fornitori, che può comportare una perdita di dati e applicazioni. A causa di tutti questi ostacoli, un cliente può scegliere di ritardare il cambio di fornitore o addirittura di rinunciarvi, anche se è consapevole che questo passaggio gli gioverebbe.
Le soluzioni del Data Act
Il Data Act vuole porre i clienti in condizione di: a) passare da un servizio a un altro, mantenendo però una funzionalità minima del servizio ed evitando tempi di inattività dei servizi, oppure b) utilizzare i servizi di vari fornitori di trattamento dati, senza ostacoli indebiti. Questo vale per tutti i servizi di trattamento dati, sia a pagamento, sia gratuiti. In definitiva, l’obiettivo del Data Act è duplice: i) facilitare un mercato più competitivo con minori barriere all’ingresso di nuovi fornitori di servizi di trattamento dati; ii) rafforzare la resilienza dei clienti di questi servizi (siano essi B2B o B2C). Per agevolare il passaggio da un servizio di trattamento dati all’altro, il Capo VI del Data Act ha definito le condizioni necessarie affinché un cliente possa risolvere un contratto, i presupposti affinché possa stipulare uno o più nuovi contratti con altri fornitori di servizi di trattamento dati, il contesto nel quale possa trasferire i suoi dati esportabili e le sue risorse digitali.
Obblighi contrattuali previsti dal Data Act
L’art. 25.1 del Data Act stabilisce che «i diritti del cliente e gli obblighi del fornitore di servizi di trattamento dei dati in relazione al passaggio da un fornitore di tali servizi a un altro o, se del caso, a un’infrastruttura TIC locale sono chiaramente definiti in un contratto scritto». Questo contratto va messo a disposizione del cliente prima della firma, in modo da porre il cliente in condizione di conservarlo e di riprodurlo.
Il contratto deve stipulare o prevedere, tra l’altro, il diritto del cliente «a passare a un servizio di trattamento dei dati offerto da un diverso fornitore di servizi di trattamento dei dati o a trasferire tutti i dati, e le risorse digitali esportabili in un’infrastruttura TIC locale, senza indebito ritardo e in ogni caso non oltre un periodo transitorio massimo obbligatorio di 30 giorni di calendario da far partire dopo il termine massimo di preavviso» [articolo 25. 2 lett. a)]; «un termine massimo di preavviso per l’avvio del processo di passaggio, non superiore a due mesi» [articolo 25. 2 lett. d)]. Prima che il processo di passaggio si compia, il fornitore mantiene una serie di obblighi: deve fornire un’assistenza ragionevole al cliente e ai terzi da questi autorizzati, deve mantenere la continuità operativa e proseguire la fornitura delle funzioni o dei rispettivi servizi nell’ambito del contratto, deve fornire informazioni chiare sui rischi noti per la continuità della fornitura delle funzioni o dei servizi, deve garantire il mantenimento di un elevato livello di sicurezza durante l’intero processo di passaggio, in particolare la sicurezza dei dati durante il loro trasferimento e la continuità della sicurezza dei dati durante il periodo minimo di almeno 30 giorni di calendario per il recupero dei dati, calcolato a decorrere dalla fine del periodo transitorio definito nel contratto [art. 25.2, lett. a) punti i), ii), iii) e iv)].
Il Data Act mette nel conto l’eventualità che sia tecnicamente impossibile rispettare il periodo transitorio massimo obbligatorio di 30 giorni di calendario. Le associazioni di categoria del cloud hanno sempre insistito sull’importanza di prevedere questa possibilità, evidenziando che il passaggio è un’operazione complessa. Infatti, la varietà dei servizi disponibili, il volume dei dati da trasferire, l’assistenza tecnica specialistica e la gestione del progetto richiesta, nonché le modifiche tecniche che i clienti devono anticipare (ad esempio riconfigurazione, cambiamento dell’architettura) o chiedono, non possono essere paragonati alle operazioni di portabilità ai sensi del GDPR. Ai sensi dell’art. 25.4, in caso di impossibilità tecnica di rispettare il periodo transitorio massimo obbligatorio di 30 giorni di calendario, il fornitore di servizi di trattamento dati deve informare il cliente entro 14 giorni lavorativi dalla presentazione della richiesta di passaggio, motivando debitamente l’impossibilità tecnica e indicando un periodo transitorio alternativo, che non supera i 7 mesi. Per tutto il periodo transitorio alternativo va garantita la continuità del servizio.
Inoltre, il contratto di servizi di trattamento dati deve offrire «un’indicazione specifica dettagliata di tutte le categorie di dati e risorse digitali che possono essere trasferite durante il processo di passaggio, compresi almeno tutti i dati esportabili» [articolo 25 par. 2) lett. e)]; «un’indicazione specifica dettagliata delle categorie di dati specifiche al funzionamento interno dei servizi di trattamento dei dati del fornitore che devono essere esentate dai dati esportabili […] qualora esista un di rischio di violazione dei segreti commerciali del fornitore, a condizione che tali esenzioni non ostacolino o ritardino il processo di passaggio» [articolo 25 par. 2) lett. f)]; il diritto per il cliente, se vuole, di passare a un diverso fornitore di servizi di trattamento dati (nel qual caso sarà il cliente a dover fornire le informazioni necessarie su tale fornitore) o di passare a un’infrastruttura TIC locale o di cancellare i suoi dati esportabili e le sue risorse (art. 25.3) e «il diritto di prorogare il periodo transitorio una volta, per un periodo che il cliente considera più appropriato per i propri fini» (art. 25.5).
Infine, il contratto di servizi di trattamento dati deve contenere obbligatoriamente una clausola che garantisca al cliente la completa cancellazione di tutti i dati e a risorse digitali esportabili generati direttamente dal cliente, o che lo riguardano direttamente, dopo la scadenza del periodo di almeno 30 giorni di calendario per il recupero dei dati o dopo la scadenza di un periodo alternativo concordato successiva ai 30 giorni, a condizione che il processo di passaggio sia stato completato con successo [art. 25.2, lett. h)].
Data Act: gli obblighi di informazione nei confronti del cliente
Ai sensi dell’art. 26 del Data Act, il fornitore del servizio di trattamento dati è tenuto a fornire al cliente informazioni dettagliate sulle procedure di commutazione disponibili e sul trasferimento dei contenuti, incluse «informazioni sulle procedure disponibili per il passaggio e la portabilità al servizio di trattamento dei dati, comprese informazioni sui metodi e i formati di passaggio e di portabilità disponibili, nonché sulle restrizioni e le limitazioni tecniche note al fornitore di servizi di trattamento dei dati» [art. 26.1, lett. a)] e «un riferimento a un registro online aggiornato ospitato dal fornitore di servizi di trattamento dei dati, con informazioni dettagliate su tutte le strutture e i formati dei dati nonché le norme pertinenti e le specifiche di interoperabilità aperte, in cui devono essere disponibili i dati esportabili» [art. 26.1, lett. b)]. Questo registro non deve essere necessariamente accessibile a tutti via web; può essere accessibile esclusivamente ai clienti. Il Data Act non precisa da quando inizieranno ad essere applicati questi obblighi di informazione.
Obblighi di informazione nei confronti del pubblico secondo il Data Act
Esiste inoltre un obbligo di informazione nei confronti del pubblico ai sensi dell’art. 28 del Data Act, che impone ai fornitori di rendere disponibili sui propri siti web informazioni costantemente aggiornate riguardanti «la giurisdizione cui è soggetta l’infrastruttura TIC utilizzata per il trattamento dei dati dei loro servizi individuali» [art. 28.1, lett. a)] e «una descrizione generale delle misure tecniche, organizzative e contrattuali adottate dal fornitore di servizi di trattamento dei dati al fine di impedire l’accesso governativo internazionale ai dati non personali detenuti nell’Unione o il loro trasferimento nei casi in cui tale accesso o trasferimento creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato» [art. 28.1, lett. b)]. A quest’ultima norma si aggiunge l’obbligo per i fornitori di servizi di trattamento, ai sensi dell’art. 32.1 del Data Act, di adottare «tutte le misure tecniche, organizzative e giuridiche appropriate, ivi compresi contratti, al fine di impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato». Questo combinato disposto estende ai dati non personali le norme restrittive sul trasferimento di dati personali verso Paesi terzi (Capo V del GDPR), dimostrando, se mai ce ne fosse stato bisogno, che l’Unione Europea ritiene i dati un fattore competitivo nel mercato globale e un elemento sensibile a livello geopolitico.
Abolizione graduale delle tariffe di passaggio
Dopo tre anni dalla entrata in vigore del Data Act, saranno eliminate le spese di commutazione, comprese le spese per l’uscita dei dati (vale a dire le spese per il transito dei dati). Dal 12 gennaio 2027, i fornitori di servizi di trattamento dati non potranno più imporre al cliente tariffe per il processo di passaggio ad altri fornitori. Viceversa, fino a quella data, i fornitori potranno ancora addebitare ai propri clienti i costi di passaggio, sia pure in una misura ridotta. In base all’art. 29.4 del Data Act, prima di stipulare un contratto con un cliente, i fornitori di servizi di trattamento dati devono fornire al potenziale cliente informazioni chiare sulle spese standard di servizio e sulle sanzioni che potrebbero essere imposte in caso di risoluzione anticipata, nonché sulle tariffe di passaggio ridotte che potrebbero essere applicate fino al 12 gennaio 2027. Inoltre, se del caso, i fornitori di servizi di trattamento dei dati forniscono informazioni a un cliente sui servizi di trattamento dei dati che comportano un passaggio altamente complesso o costoso o per i quali è impossibile effettuare il passaggio senza significative interferenze nell’architettura dei dati, delle risorse digitali o dei servizi.
Aspetti tecnici del passaggio da un servizio di trattamento dati all’altro
L’art. 30.1 del Data Act è rivolto ai fornitori di servizi IaaS, che definisce come «fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali». A costoro, il Data Act impone di adottare «tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso tipo di servizio, raggiunga l’equivalenza funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione».
Secondo l’articolo 2 n. 37 del Data Act, l’equivalenza funzionale consiste nel «ripristino, sulla base dei dati esportabili e delle risorse digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso tipo di servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto».
Il Data Act non precisa i criteri per determinare in quali casi il servizio del trattamento dei dati di destinazione fornisce«risultati sostanzialmente comparabili»; tuttavia, possiamo considerare “equivalenti” i servizi che hanno lo stesso obiettivo primario, le stesse funzionalità principali e lo stesso modello di trattamento dati. Per un fornitore di servizi IaaS garantire l’equivalenza funzionale significa ricorrere a vari strumenti avanzati di gestione, automazione e orchestrazione che semplificano la distribuzione, lo spostamento e la gestione dei carichi di lavoro delle macchine virtuali (VM). La virtualizzazione consente al cliente di avviare una VM in tempi molto rapidi e di spostare agevolmente i carichi di lavoro, per fare fronte alle esigenze aziendali.
Secondo l’art. 23.1, lettera e) del Data Act, i cloud provider devono sempre permettere ai loro clienti di disaggregare, ove tecnicamente fattibile, i servizi IaaS da altri servizi di trattamento dati forniti dal medesimo fornitore. Questo vuol dire, per esempio, rendere lo storage separato dalla virtualizzazione.
Ai fornitori di servizi PaaS e SaaS, l’art. 30.2 del Data Act impone di rendere disponibili a titolo gratuito «interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio». Tali interfacce devono includere informazioni sufficienti sul servizio in questione al fine di permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’interoperabilità dei dati. Un’interfaccia aperta è un’API pubblica, cioè disponibile a chiunque. Grazie a questa norma, i clienti potranno sviluppare app che interagiscono con l’API, possibile fonte di innovazione.
Regime specifico (esenzioni) per alcuni servizi
Un’esenzione importante riguarda i servizi di trattamento dati «forniti come versione non destinata alla produzione, a fini di prova e valutazione e per un periodo limitato di tempo». Questi sono integralmente esonerati dall’applicazione del Capo VI del Data Act, quindi da tutti gli obblighi fin qui descritti (art. 31.2).
In base all’art. 31.1, l’obbligo di conseguire l’equivalenza funzionale nell’utilizzo del nuovo servizio di trattamento dei dati nell’ambiente informatico di un altro fornitore che copre il servizio equivalente, l’abolizione graduale delle tariffe di passaggio e le norme sugli aspetti tecnici del passaggio non si applicano ai servizi di trattamento dei dati “su misura”, cioè «le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati». Prima della conclusione di un simile contratto di servizi di trattamento dati “su misura”, il fornitore deve informare il potenziale cliente degli obblighi del Capo Vi del Data Act che non si applicheranno (art. 31.3).
Autorità competenti e sanzioni
Secondo lo schema classico delle normative europee, anche il Data Act prevede che ogni Stato membro debba istituire una o più autorità competenti, investite del compito di garantire che le violazioni degli obblighi del Regolamento siano oggetto di sanzioni efficaci, proporzionate e dissuasive: sanzioni pecuniarie, avvertimenti, ammonimenti o ordini di conformare le pratiche commerciali agli obblighi imposti del Data Act.
Tocca agli Stati membri, all’atto dell’istituzione delle autorità competenti, attribuire ad esse compiti chiaramente definiti, compresi poteri di controllo e poteri sanzionatori. Gli Stati membri avranno tempo fino al 12 settembre 2025 per definire le norme relative alle sanzioni e per notificarle alla Commissione UE.