In data In data 27 novembre 2023, il Consiglio dell’Unione Europea ha approvato il Data Act[1],Regolamento che disciplina la condivisione dei dati generati dall’uso di prodotti connessi (tra cui IoT, mobilità connesse, macchinari industriali intelligenti, elettrodomestici, ecc.) o di servizi correlati.
L’approvazione interviene a seguito dell’accordo politico tra Parlamento Europeo e Consiglio[2], intervenuto in data 28 giugno, e si inscrive nel più ampio disegno europeo di regolamentazione dei grandi temi dell’accessibilità dei dati e delle conseguenti ricadute sulla protezione dei dati personali.
Se i dati saranno – e già sono – il “petrolio” dell’economia digitale, la crescita esponenziale di questa rende necessaria una maggiore fluidità nella circolazione degli stessi; di talché, si impongono dei modelli di accesso e utilizzo dei dati in una cornice di governanceintersettoriale (oltre che a-territoriale), sia da parte delle persone fisiche che delle autorità pubbliche ed organizzazioni europee[3].
In questa prospettiva, l’avvento del Data Act renderà i dati più disponibili e più fruibili, per offrire un vantaggio competitivo ad imprese, cittadini e pubbliche amministrazioni attraverso un insieme di misure per offrire certezza giuridica; prevenire l’abuso delle asimmetrie di forza negoziale; e mettere a punto dei nuovi setting di regole per garantire un grado sempre più elevato di interoperabilità dei dati con le conseguenti efficienze ed economie di scala destinate a riflettersi sulla competitività europea[4].
Più particolarmente, i pilastri del Regolamento si possono così sintetizzare:
- si introduce un diritto condiviso all’utilizzo dei dati tra produttore e acquirente/utilizzatore tramite misure[5] che consentano agli utenti di dispositivi connessi di accedere – senza indebito ritardo e a titolo gratuito – ai dati da sé generati, spesso raccolti e concretamente utilizzati esclusivamente dai produttori, e di condividere tali dati con terze parti per fornire servizi post-vendita o altri servizi innovativi basati su di essi, fermo restando il diritto del produttore dei dati di azionare un c.d. “freno di emergenza” qualora le richieste di condivisione con l’utente mettano a serio rischio il know-how aziendale, con potenzialità di danno patrimoniale;
- si individuano misure di ribilanciamento del potere negoziale delle PMI negli accordi di condivisione dei dati tra imprese, tramite un test di abusività strutturato sulla scorta di una disposizione generale[6] volta a definire il carattere abusivo di una clausola di condivisione dei dati, nonché su di un elenco di clausole considerate o presunte inique od abusive[7];
- si prevedono meccanismi di accesso e di utilizzo dei dati detenuti dai privati in capo al settore pubblico, il quale può avvalersi di un accesso gratuito quando i dati siano necessari nel contesto di situazioni eccezionali di interesse pubblico, come le emergenze sanitarie e le gravi catastrofi naturali o provocate dall’uomo[8];
- si interviene nella tutela dei consumatori, con la previsione di un diritto alla portabilità dei servizi di cloud computing rafforzato, che agevola gli utenti nel passaggio da un service provider di elaborazione dati cloud ad un altro[9];
- vengono predisposte misure di salvaguardia contro il trasferimento illecito di dati nei contesti transfrontalieri, nella prospettiva di un ecosistema affidabile e sicuro, con rafforzamento della protezione dei dati personali – od anche non personali però sensibili, come i segreti industriali – già in parte garantita dalle norme armonizzate europee ed in particolare dal GDPR.
Il Data Act sarà pubblicato nella Gazzetta ufficiale dell’Unione “nelle prossime settimane”[10] ed entrerà in vigore dal ventesimo giorno successivo. L’applicazione è prevista a partire da 20 mesi dalla sua data di entrata in vigore (agosto 2025), con l’eccezione relativa alla sezione sui requisiti per l’accesso semplificato ai dati per i nuovi prodotti, che si applicherà ai prodotti connessi e ai servizi collegati immessi sul mercato dopo 32 mesi (agosto 2026).
Il Regolamento riflette la volontà politica dell’Unione Europea di assicurarsi un ruolo di trend setter nella corsa alla governance digitale, ed è stato efficacemente definito “… catalyst for a Europe fit for the digital age …”[11].
Purtuttavia, restano ancora ampi spazi scoperti. Le preoccupazioni più diffuse si concentrano sulla verosimile assenza di garanzie effettive per proteggere i segreti commerciali nel contesto delle richieste di accesso ai dati, nonché, in una prospettiva ancor più ampia, riguardo ai costi di implementazione per le imprese della nuova normativa (specie se assommata ai Regolamenti in dirittura di arrivo in settori contigui, come, ad esempio, l’AI Act[12]) ed al coordinamento con altri strumenti già in vigore, GDPR in primis.
[1] GUUE L 12 del 16.01.2001.
[1] COM (2022) 68 final del 23 febbraio 2022, Proposta di Regolamento del Parlamento Europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo.
Si veda il testo integrale del Regolamento al seguente LINK.
[2] Si veda il Press Release sull’accordo al seguente LINK.
[3] Secondo il Consiglio dell’Unione Europea, “… Following the Data Governance Act adopted by the co-legislators in 2022, the Data Act regulation is the second main legislative initiative resulting from the Commission’s February 2020 European strategy for data, which aims to make the EU a leader in our data-driven society.
While the data governance act creates the processes and structures to facilitate data sharing by companies, individuals and the public sector, the Data Act clarifies who can create value from data and under which conditions. This is a key digital principle that will contribute to creating a solid and fair data-driven economy and guide the EU’s digital transformation by 2030. It will lead to new, innovative services and more competitive prices for aftermarket services and repairs of connected objects (‘Internet of Things’ / IoT) …”.
[4] Per una analisi approfondita del Regolamento, si veda il nostro precedente contributo al seguente LINK.
[5] Si vedano gli articoli 3 e 4 del Regolamento.
[6] Si veda l’articolo 13, paragrafo 2, del Regolamento, per cui “… A contractual term is unfair if it is of such a nature that its use grossly deviates from good commercial practice in data access and use, contrary to good faith and fair dealing …”.
[7] Si veda l’articolo 13, paragrafi 3 e 4, del Regolamento.
[8] Si veda l’articolo 20 del Regolamento.
[9] Si veda l’articolo 25 del Regolamento.
[10] Si veda il Press Release sull’adozione del Regolamento al seguente LINK.
[11] Ibidem.
[12] Sull’argomento, si veda il nostro precedente contributo al seguente LINK.