Il primo luglio scorso la Repubblica Ceca ha assunto le redini della presidenza del Consiglio dell’Unione europea e ha già proposto alcune significative modifiche al testo della Proposta di Regolamento Data Act (Proposta di Regolamento COM (2020 767 relativo alle norme armonizzate sull’accesso equo ai dati e sul loro utilizzo – Data Act), allo scopo di rendere il futuro regolamento più conforme al GDPR.
È il primo testo di compromesso sul regolamento Data Act.
L’importanza del Data Act
Il Data Act stabilirà norme sull’accesso equo ai dati e sul loro utilizzo, specificando quali soggetti giuridici possono generare valore dai dati e a quali condizioni, eliminando gli ostacoli all’accesso ai dati per operatori pubblici e privati e preservando gli incentivi a investire nella «generazione di dati» tramite la garanzia di un controllo equilibrato sugli stessi per coloro che li creano. L’obiettivo di tale normativa è promuovere l’innovazione e creare dei modelli di business basati sui dati.
La proposta di modifica della Repubblica Ceca al Data Act
Di seguito, una sintesi delle modifiche più significative proposte dalla Presidenza ceca.
Definizioni
Relativamente alle definizioni e all’ambito di applicazione della normativa in esame, si ricordano le seguenti:
• la definizione di “prodotto” è stata modificata in “qualsiasi oggetto in grado di raccogliere o generare dati e comunicarli”. È stato eliminato l’aggettivo “mobile”, che avrebbe escluso elementi chiave come le reti intelligenti o le turbine eoliche;
• sono state aggiunte le definizioni di “dati personali”, “dati non personali”, “consenso” e “soggetto interessato” relative alla normativa Ue sulla protezione dei dati personali (GDPR). L’ambito di applicazione degli obblighi di condivisione obbligatoria dei dati di cui al Capitolo III è stato chiarito e si riferisce solo alle relazioni tra imprese.
Condivisione di dati
Circa la condivisione dei dati, il Data Act introduce il principio secondo cui gli utenti dei dispositivi connessi o dei servizi correlati devono poter accedere ai dati che hanno contribuito a generare, altrimenti possono delegare tale accesso a terzi.
Per la presidenza ceca, questo diritto di accesso deve applicarsi anche ai metadati, che forniscono informazioni su dove e come sono stati prodotti i dati, e deve essere “di default gratuito e reso disponibile in un formato strutturato, comunemente usato e leggibile a macchina”. Inoltre, è stato aggiunto un articolo per prevenire i tentativi di costringere, ingannare o manipolare gli utenti affinché non esercitino il loro diritto di accesso e portabilità dei dati che hanno contribuito a generare. Questa protezione dalle tecniche di manipolazione (anche note come dark pattern) è stata estesa a tutti coloro i cui dati vengono raccolti, che potrebbero non coincidere necessariamente con l’utente.
Rapporti commerciali
Relativamente ai rapporti commerciali, gli obblighi di condivisione dei dati prevedono un’esenzione per le micro e piccole imprese. A parere della Presidenza ceca, l’esenzione dovrebbe continuare ad applicarsi alle aziende che hanno raggiunto la dimensione media da meno di un anno o per i loro prodotti che sono sul mercato da meno di un anno. I detentori di dati devono fornire, su richiesta dell’azienda che riceve i dati, solo alcune informazioni che attestino che il livello di accesso fornito non è stato discriminatorio.
Controversie
Nell’ambito della risoluzione delle controversie, è previsto che gli utenti possano delegare o vendere l’accesso ai dati a terzi. Le terze parti devono godere di condizioni di accesso eque, ragionevoli, non discriminatorie e trasparenti. In caso di disaccordo, le due parti possono volontariamente concordare di rivolgersi a un organo di risoluzione delle controversie di loro scelta in qualsiasi Paese dell’UE. È stato aggiunto un nuovo paragrafo che introduce l’obbligo per gli organismi di risoluzione delle controversie di pubblicare una relazione annuale che illustri il numero di controversie ricevute, i loro esiti e i tempi medi, nonché una valutazione dei problemi comuni con raccomandazioni su come evitarli.
In sintesi, la presidenza di Praga ha proposto l’allineamento con le definizioni basate sulla legislazione europea in materia di protezione dei dati, delle esenzioni più ampie per le medie imprese, tutele per i segreti commerciali e il divieto di dark pattern.
Lavori in corso sulle nuove regole in Europa
Emerge, infine, come il testo della Proposta di Regolamento sul Data Act sia ancora nel pieno dei lavori, a differenza invece delle altre normative facenti parte, insieme al Data Act, della strategia europea in materia di dati: ossia la legge sulla governance dei dati (Data governance Act) che è già in vigore e le leggi sui servizi digitali e sui mercati digitali (Digital Services Act e Digital Markets Act), da poco approvate definitivamente.
In generale, l’auspicio è che le modifiche proposte dalla neo-presidenza ceca del Consiglio Ue siano realmente funzionali a garantire una maggiore conformità alle normative vigenti sulla data protection e non creino, al contrario, solo più oneri per gli attori coinvolti e difficoltà interpretative.