Questo articolo di Roberto A. Jacchia e Federico Aluigi è stato pubblicato in data 4 ottobre 2023 su CyberSecurity360.
Riproponiamo di seguito il testo dell’articolo:
In data 28 giugno 2023, il Parlamento Europeo e il Consiglio dell’Unione Europea hanno raggiunto l’accordo politico[1] sullo European Data Act[2] proposto dalla Commissione nel febbraio 2022, che completa il quadro regolamentare sugli oggetti connessi (c.d. Internet of things)[3] e sull’utilizzo e l’accesso ai dati generati nell’Unione in tutti i settori economici. La proposta, una volta adottata, entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione sulla GUUE, e diverrà applicabile 20 mesi dopo l’entrata in vigore.
Le iniziative dell’Unione[4] tra le quali il Regolamento si inserisce costituiscono la risposta europea ai grandi temi dell’accessibilità dei dati e delle conseguenti ricadute sulla protezione dei dati personali. A conclusione di un percorso iniziato nel 2020[5], il Data Act integra il Regolamento sulla Governance dei dati[6], approvato nel novembre 2021 ed applicabile dal settembre 2023. Correlati e causalmente interconnessi, il Data Governance Act disciplina i processi e le infrastrutture giuridiche per facilitare la condivisione dei dati da parte di imprese, persone fisiche e settore pubblico, mentre il Data Act si rivolge alla creazione di valore attraverso i dati, e a quali condizioni.
La necessità di regolamentazione del settore si è acuita con la crescita esponenziale dell’utilizzo dei dati, il cui volume è destinato ad aumentare[7], con sempre più ingenti quantità di dati inutilizzati o non pienamente sfruttati a causa di barriere tecniche o della insufficiente chiarezza del quadro giuridico. La nuova regolamentazione mira a rendere più dati accessibili per il riutilizzo, con una aspettativa di incremento del PIL europeo di €270 miliardi entro il 2028.
La proposta di Regolamento prevede, in primo luogo, un diritto condiviso nell’utilizzo dei dati[8] tra produttore e acquirente/utilizzatore tramite misure[9] che consentano agli utenti di dispositivi connessi di accedere – senza indebito ritardo e a titolo gratuito – ai dati da sé generati, spesso raccolti e concretamente utilizzabili esclusivamente dai produttori, e di condividere tali dati con terze parti per fornire servizi post-vendita o altri servizi innovativi basati su di essi. Peraltro, la limitazione della libertà contrattuale e d’impresa del fabbricante o del progettista è mitigata dalla conservazione del loto titolo a continuare ad utilizzare i dati, nei limiti della legislazione applicabile e degli accordi tra le parti. Inoltre, il Regolamento mantiene gli incentivi per i produttori ad investire nella generazione di dati di alta qualità, tramite la previsione di una compensazione[10] dei costi di concessione dell’accesso ed escludendo l’uso da parte di terzi dei dati condivisi in concorrenza con il loro prodotto[11], evitando perciò un impatto negativo sulle opportunità commerciali del produttore. Nello stesso senso, il Data Act sancisce il diritto del produttore dei dati di azionare un “freno di emergenza” quando le richieste di condivisione con l’utente mettono a serio rischio il know-how aziendale, con potenzialità di danno patrimoniale. I segreti commerciali sono comunicati a terzi solo nella misura in cui sono strettamente necessari per conseguire la finalità concordata tra l’utente e il terzo, e tutte le misure specifiche concordate tra il titolare dei dati e il terzo sono adottate da quest’ultimo al fine di tutelare la riservatezza del segreto commerciale. In tal caso, la natura dei dati come segreti commerciali e le misure per preservarne la riservatezza sono specificate nell’accordo tra il titolare dei dati e il terzo[12]. Questa disciplina potrebbe porre interrogativi di coordinamento con le norme poste a tutela dei segreti commerciali contenute nella Direttiva UE 2016/943[13] e negli articoli 98 e 99 del Codice della Proprietà Industriale.
In secondo luogo, il Regolamento prevede una risposta all’accesso limitato ai dati, il quale comporta, in contrasto con il principio cardine di libera concorrenza, una concentrazione del potere digitale tra poche grandi imprese[14], con asimmetrie di potere negoziale e accordi squilibrati di condivisione dei dati con le PMI. Il capo IV del Regolamento individua misure di ribilanciamento del potere negoziale delle PMI negli accordi di condivisione dei dati tra imprese, tramite un test di abusività che comprende una disposizione generale[15] volta a definire il carattere abusivo di una clausola di condivisione dei dati, ed un elenco di clausole considerate o presunte inique ed abusive[16]. Al riconoscimento dell’abusività della clausola, che sia stata imposta unilateralmente da un’impresa a una microimpresa o a una piccola o media impresa, segue la sua non vincolatività per quest’ultima[17]. Ancora, è prevista la predisposizione di clausole contrattuali – modello raccomandate, che possono essere di aiuto alle le parti nel negoziare contratti a condizioni eque. Queste norme dovranno, sul piano attuativo, essere armonizzate con le disposizioni degli Artt. 101 e 102 TFUE e con l’acquis giurisprudenziale decisionale.
In terzo luogo, sono previsti dei meccanismi per il settore pubblico, per accedere a ed utilizzare i dati detenuti dai privati. L’accesso è gratuito se i dati sono necessari in situazioni eccezionali di interesse pubblico, come le emergenze sanitarie e le gravi catastrofi naturali o provocate dall’uomo[18]; prevedendosi un indennizzo se la mancanza di dati disponibili impedisce al soggetto pubblico di svolgere un compito specifico di interesse pubblico previsto dalla legge e l’ente non è in grado di ottenere tali dati con mezzi alternativi[19]. L’utilizzo dei dati deve avvenire in maniera compatibile con la finalità per la quale gli stessi sono stati richiesti, e questi devono essere distrutti quando cessa la necessità per la finalità indicata[20]. In caso di divulgazione di segreti commerciali, obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo della richiesta, il soggetto pubblico o l’istituzione, l’agenzia o l’organismo dell’Unione adottano misure adeguate a tutelare la loro riservatezza[21]. Questo blocco di norme è verosimilmente riconducibile agli istituti di conformazione della proprietà, e all’elaborazione giurisprudenziale sull’articolo 8 della Carta dei Diritti Fondamentali.
In quarto luogo, con riguardo alle criticità relative ai servizi cloud, il Data Act prevede un diritto alla portabilità dei servizi di cloud computing rafforzato, che agevola i consumatori nel passaggio da un service provider di elaborazione dati cloud ad un altro, prevenendo il fenomeno del vendor lock-in[22]. Si prefigura al riguardo una soppressione graduale delle tariffe di passaggio nei tre anni successivi all’entrata in vigore della normativa sui dati e, medio tempore, la possibilità di introdurre un meccanismo di controllo sulle stesse[23].
In quinto luogo, per ciò che concerne il rischio di trasferimenti illeciti di dati in contesti transfrontalieri, la proposta di Regolamento contiene misure di salvaguardia, nella direzione di un ecosistema dei dati più affidabile e sicuro. A tal fine, viene rafforzata la protezione dei dati personali – o non personali però sensibili, come i segreti industriali – garantita dalle norme europee ed in particolare dal GDPR[24]. Con riguardo alla compatibilità tra quest’ultimo e la proposta di Regolamento, la stessa non fornisce alcuna guida su come rendere compatibili i requisiti combinati dei due strumenti, destinati a rivestire un pari rango a livello di fonti. Questo deficit potrebbe comportare costi gravosi per le imprese. Le violazioni del Data Act o del GDPR comportano, infatti, sanzioni fino a 20 milioni di euro o fino al 4% del fatturato globale annuo dell’impresa, quale che sia il valore più alto. Nel tentativo di superare il problema, ancora una volta, del giusto equilibrio tra libero accesso ai dati e protezione dei segreti commerciali, la proposta subordina la divulgazione di questi ultimi alla condizione che il titolare e l’utente adottino tutte le misure necessarie per proteggerne e mantenerne la riservatezza, soprattutto nei confronti di terzi[25]. Nel caso in cui ciò non avvenisse, è prevista la possibilità per il titolare dei dati di rifiutare o sospendere la fornitura dei dati classificati come segreti commerciali, previa comunicazione all’autorità di controllo responsabile dell’attuazione del Data Act.
Infine, nell’ottica di una maggiore interoperabilità, in linea con l’EU Standardisation Strategy[26], sono previste misure per promuovere la condivisione e l’elaborazione dei dati tra diversi settori. Il documento di lavoro della Commissione sugli spazi comuni di dati europei[27], pubblicato insieme al Data Act, fornisce una panoramica sull’argomento, e la Commissione riferirà ulteriormente al riguardo nel corso del 2023. A tal fine, si prevedono delle prescrizioni essenziali relative ai possibili “contratti intelligenti”[28] per la condivisione dei dati, con particolare riguardo alla sicurezza della cessazione e all’archiviazione e continuità degli stessi.
In conclusione, il Data Act è l’ultimo tassello orizzontale della strategia sui dati della Commissione, in un contesto che conferma il ruolo di trend setter dell’Unione, così come è avvenuto di recente in materia di intelligenza artificiale con gli ulteriori passi mossi verso una inedita regolazione del fenomeno[29]. I benefici che la proposta mira a conseguire riguardano gli attori dell’economia dei dati e la società nel suo complesso. Difatti, gli operatori commerciali ed industriali potranno accedere ad un mercato dei dati competitivo ed avranno a disposizione un maggior volume di dati, potenzialmente utilizzabili in misura illimitata, senza alcuna perdita in termini di qualità o quantità; ed i fornitori di servizi post-vendita saranno in grado di offrire prestazioni più personalizzate e di competere su un piano di parità con servizi analoghi offerti dai produttori. I consumatori, dal canto loro, potranno esercitare un maggior controllo sui dati dei propri dispositivi e potranno utilizzarli per servizi di post-vendita e a valore aggiunto. Ancora, la disponibilità di dati sul funzionamento delle apparecchiature industriali potrà consentire alle imprese, alle aziende agricole e alle imprese edili di ottimizzare i cicli operativi, le linee di produzione e la gestione della catena del valore di fornitura, anche sulla base dell’apprendimento automatico. Ed infine, i conseguenti incrementi delle efficienze dovrebbero condurre ad una riduzione dei costi e degli sprechi, dei consumi energetici e delle emissioni di CO2, coerentemente agli obiettivi del Green Deal.
[1] Si veda l’accordo al seguente link.
[2] COM (2022) 68 final del 23 febbraio 2022, Proposta di Regolamento del Parlamento Europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, consultabile al seguente link.
[3] Per Internet of Things (IoT) si intende la rete di oggetti fisici che hanno sensori, software e altre tecnologie integrate allo scopo di connettere e scambiare dati con altri dispositivi e sistemi su Internet. Questi dispositivi vanno dai normali oggetti domestici ai sofisticati strumenti industriali.
Per ulteriori informazioni si veda il seguente link.
[4] Quali il Data Governance Act (Regolamento UE 2022/868), il Digital Markets Act (Regolamento UE 2022/1925), il Digital Services Act(Regolamento UE 2022/2065).
[5] Anno di avvio della Strategia Europea in materia di Dati (European Data Strategy) e della Strategia per la Finanza Digitale (Digital Finance Strategy).
[6] Regolamento UE 2022/868 entrato in vigore il 23 giugno 2022; a seguito di un periodo di tolleranza di 15 mesi, esso sarà applicabile a partire da settembre 2023.
[7] Da 33 zettabytes generati nel 2018 a 175 zettabytes previsti nel 2025.
Per ulteriori informazioni si veda il Data Act FactSheet visualizzabile al seguente link.
[8] Si veda l’Articolo 3 della proposta di Regolamento.
[9] Si veda l’Articolo 4 della proposta di Regolamento.
[10] Il capo III del Data Act stabilisce le norme generali applicabili agli obblighi e le condizioni relativi alla messa a disposizione dei dati, prevedendo che tutte le condizioni debbano essere eque e non discriminatorie e che gli eventuali compensi debbano essere ragionevoli. Come previsto dall’Articolo 9, comma 2, della proposta di Regolamento, gli eventuali compensi stabiliti per le PMI non possono superare i costi sostenuti per la messa a disposizione dei dati, salvo diversamente specificato in normative settoriali. Gli organismi di risoluzione delle controversie certificati dagli Stati membri, previsti dall’Articolo 10 del Data Act, possono assistere le parti che siano in disaccordo sul compenso o sulle condizioni affinché giungano a un accordo.
[11] Si veda l’Articolo 4, comma 4, della proposta di Regolamento; si veda inoltre l’Articolo 6, comma 2, lettera e), della proposta di Regolamento.
[12] Si veda l’Articolo 5, comma 8, della proposta di Regolamento.
Sull’argomento, si veda il nostro precedente contributo al seguente link.
[13] Con la Direttiva (UE) 2016/943 dell’8 giugno 2016 del Parlamento europeo e del Consiglio, è stato fornito agli Stati membri un quadro comune sulla protezione del know-how e delle informazioni commerciali riservate (segreti commerciali).
[14] Trattasi dei c.d. Giganti del Web che traggono grandi benefici economici dall’originaria politica europea dell’Open Data (Direttiva UE 2019/1024, detta Direttiva Open Data), ossia della disponibilità di tutti i dati generati dalle amministrazioni pubbliche.
[15] L’Articolo 13, comma 2, della proposta di Regolamento dispone: “…Una clausola contrattuale è abusiva se è di natura tale che il suo utilizzo si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, e se è in contrasto con i principi di buona fede e correttezza…”.
[16] Si vedano, rispettivamente, l’Articolo 13, comma 3, e l’Articolo 13, comma 4, della proposta di Regolamento.
[17] Si veda l’Articolo 13, comma 1, della proposta di Regolamento.
[18] Si veda l’Articolo 20 della proposta di Regolamento.
[19] L’Articolo 20, comma 2, della proposta di Regolamento dispone: “…Se il titolare dei dati chiede un compenso per aver messo a disposizione dati al fine di soddisfare una richiesta presentata a norma dell’articolo 15, lettere b) o c), tale compenso non supera i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, compresi, se necessario, i costi di anonimizzazione e di adattamento tecnico, maggiorati di un margine ragionevole. Su richiesta dell’ente pubblico o dell’istituzione, dell’agenzia o dell’organismo dell’Unione che richiede i dati, il titolare dei dati fornisce informazioni sulla base per il calcolo dei costi e del margine ragionevole…”.
[20] Si veda l’Articolo 19 della proposta di Regolamento.
[21] Ibidem.
[22] Il vendor lock-in è il rapporto di dipendenza che si instaura tra un cliente e un fornitore di beni o servizi, tale per cui il cliente si trova nella condizione di non poter acquistare analoghi beni o servizi da un fornitore differente senza dover sostenere rilevanti costi e rischi per effettuare questo passaggio.
[23] Si veda l’Articolo 25 della proposta di Regolamento.
[24] Regolamento generale sulla protezione dei dati 2016/679, entrato in vigore il 24 maggio del 2016.
[25] Si veda l’Articolo 27, comma 1, della proposta di Regolamento.
[26] Per ulteriori informazioni si veda il seguente link.
[27] Per ulteriori informazioni si veda il seguente link.
[28] Per “contratto intelligente” si intende un programma archiviato su una blockchain che viene eseguito quando vengono soddisfatte delle condizioni prestabilite. Esso è di norma utilizzato per automatizzare l’esecuzione di un accordo in modo che tutti i partecipanti possano essere immediatamente certi del risultato senza il coinvolgimento di intermediari o perdite di tempo. Ciò permette anche di automatizzare un flusso di lavoro, attivando l’azione successiva quando vengono soddisfatte le condizioni.
[29] Per ulteriori informazioni, si veda il nostro contributo al seguente link.