Il Data Act, culmine della strategia europea sui dati, si propone come il cardine della trasformazione digitale nell’Unione Europea. In questo excursus, esamineremo in dettaglio i molteplici vantaggi che questa ambiziosa proposta intende portare agli attori dell’economia dei dati e alla società nel suo complesso.
Il 28 giugno 2023, il Parlamento Europeo e il Consiglio dell’Unione Europea hanno raggiunto un accordo politico sullo European Data Act, frutto delle discussioni iniziate con la proposta della Commissione a febbraio 2022. Questa iniziativa completa il quadro regolamentare sugli oggetti connessi e sull’accesso ai dati generati in tutti i settori economici dell’Unione.
Regolamentazione e governance dei dati
In un contesto più ampio, il Data Act si inserisce nel solco delle iniziative dell’Unione, rispondendo alle sfide dell’accessibilità dei dati e alla protezione dei dati personali. Nato da un percorso avviato nel 2020, questo atto normativo si integra con il Regolamento sulla Governance dei dati, approvato nel novembre 2021 e applicabile dal settembre 2023, creando un solido tessuto normativo.
La regolamentazione diviene cruciale in risposta alla crescita esponenziale dell’utilizzo dei dati, un trend destinato a persistere nel tempo. L’obiettivo principale è la democratizzazione dell’accesso ai dati, con l’aspettativa di un aumento significativo del PIL europeo entro il 2028.
Diritto condiviso nell’utilizzo dei dati
La proposta di regolamento presenta, innanzitutto, un principio di condivisione dei diritti nell’utilizzo dei dati tra il produttore e l’acquirente/utilizzatore, attraverso misure che permettono agli utenti di dispositivi connessi di accedere, senza indugi ingiustificati e in modo gratuito, ai dati che essi stessi generano. Questi dati, spesso raccolti e sfruttati esclusivamente dai produttori, possono essere condivisi con terze parti per fornire servizi post-vendita o altri servizi innovativi basati su di essi.
Inoltre, la proposta mira a bilanciare la libertà contrattuale e d’impresa dei fabbricanti o progettisti, mitigando le limitazioni attraverso la preservazione del loro diritto a continuare ad utilizzare i dati. Tale diritto è sottoposto ai limiti imposti dalla legislazione applicabile e dagli accordi stipulati tra le parti coinvolte. Il regolamento mantiene anche incentivi per i produttori, prevedendo una compensazione per i costi associati alla concessione dell’accesso e escludendo l’uso da parte di terzi dei dati condivisi in competizione con il prodotto originario. Questo approccio evita potenziali impatti negativi sulle opportunità commerciali dei produttori.
Nello stesso contesto, il Data Act sancisce il diritto del produttore dei dati di attivare un “freno di emergenza” quando le richieste di condivisione con l’utente mettono seriamente a rischio il know-how aziendale, con conseguenze potenzialmente dannose dal punto di vista patrimoniale.
La divulgazione di segreti commerciali a terzi avviene solo nella misura strettamente necessaria per raggiungere gli obiettivi concordati tra l’utente e il terzo. Tutte le misure specifiche concordate tra il titolare dei dati e il terzo devono essere adottate da quest’ultimo per preservare la riservatezza del segreto commerciale. In caso di divulgazione, la natura dei dati come segreti commerciali e le misure per garantirne la riservatezza sono dettagliate nell’accordo tra il titolare dei dati e il terzo.
È importante notare che questa disciplina potrebbe sollevare interrogativi di coordinamento con le norme a tutela dei segreti commerciali contenute nella Direttiva UE 2016/943 e negli articoli 98 e 99 del Codice della Proprietà Industriale.
Affrontare l’accesso limitato e salvaguardare gli interessi delle PMI
In secondo luogo, il regolamento mira a rispondere all’accesso limitato ai dati, fenomeno che, in contrasto con il fondamentale principio di libera concorrenza, genera una concentrazione del potere digitale nelle mani di poche grandi imprese. Questa centralizzazione conduce a asimmetrie nel potere negoziale e a accordi sbilanciati nella condivisione dei dati con le PMI.
Il Capo IV del regolamento individua specifiche misure di riequilibrio del potere negoziale delle PMI negli accordi di condivisione dei dati tra imprese. Queste misure includono un test di abusività che contempla una disposizione generale mirata a definire il carattere abusivo di una clausola di condivisione dei dati. Inoltre, viene fornito un elenco di clausole considerate o presumibilmente inique ed abusive.
Una volta riconosciuta l’abusività di una clausola, che sia stata imposta unilateralmente da un’impresa a una microimpresa o a una piccola o media impresa, ne segue la sua non vincolatività per quest’ultima. Come ulteriore tutela, il regolamento prevede la predisposizione di clausole contrattuali modello raccomandate, che possono assistere le parti coinvolte nella negoziazione di contratti equi. Queste disposizioni dovranno essere armonizzate con gli articoli 101 e 102 del Trattato sul Funzionamento dell’Unione Europea (TFUE) e con l’acquis giurisprudenziale decisionale.
Settore pubblico e utilizzo responsabile dei dati
In terzo luogo, il regolamento prevede specifici meccanismi volti a regolare l’accesso del settore pubblico ai dati detenuti da entità private. L’accesso a tali dati è gratuito nelle situazioni eccezionali di interesse pubblico, come durante emergenze sanitarie o gravi catastrofi naturali o provocate dall’uomo. In caso di mancanza di dati disponibili, impedendo al soggetto pubblico di svolgere un compito specifico di interesse pubblico previsto dalla legge e in assenza di mezzi alternativi, è previsto un indennizzo.
L’utilizzo dei dati deve avvenire in modo coerente con la finalità per la quale sono stati richiesti, e tali dati devono essere distrutti quando cessa la necessità per la finalità indicata. Nel caso di divulgazione di segreti commerciali, questa è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo della richiesta. In tal caso, il soggetto pubblico o l’istituzione, l’agenzia o l’organismo dell’Unione adottano misure adeguate a tutelare la riservatezza.
Questo insieme di norme è presumibilmente correlato agli istituti che modellano la proprietà e si basa sull’elaborazione giurisprudenziale dell’articolo 8 della Carta dei Diritti Fondamentali.
Portabilità dei servizi di Cloud Computing e sicurezza dei dati
Il Data Act va oltre, garantendo il diritto alla portabilità dei servizi di cloud computing e sostenendo la concorrenza. Misure di sicurezza vengono intensificate per prevenire trasferimenti illeciti di dati, assicurando la protezione di informazioni sensibili e la sicurezza globale dei dati digitali.
Garantire la salvaguardia dei dati da trasferimenti illeciti
Per quanto riguarda il rischio di trasferimenti illeciti di dati in contesti transfrontalieri, la proposta di regolamento adotta misure di salvaguardia per promuovere un ecosistema dati più affidabile e sicuro. In questa direzione, si intensifica la protezione dei dati personali, inclusi quelli non personali ma sensibili come i segreti industriali, garantita dalle norme europee, in particolare dal GDPR.
Tuttavia, riguardo alla compatibilità tra il GDPR e la proposta di regolamento, la proposta non offre indicazioni su come conciliare i requisiti combinati di entrambi gli strumenti, destinati a essere fonti di pari rango. Questa mancanza potrebbe comportare costi significativi per le imprese. Le violazioni del Data Act o del GDPR possono essere sanzionate con multe fino a 20 milioni di euro o fino al 4% del fatturato globale annuo dell’impresa, a seconda del valore più elevato.
Nel tentativo di affrontare la sfida del giusto equilibrio tra libero accesso ai dati e protezione dei segreti commerciali, la proposta subordina la divulgazione di tali segreti alla condizione che il titolare e l’utente adottino tutte le misure necessarie per preservarne la riservatezza, specialmente nei confronti di terzi. Nel caso in cui ciò non avvenga, è prevista la possibilità per il titolare dei dati di rifiutare o sospendere la fornitura di dati classificati come segreti commerciali, previa comunicazione all’autorità di controllo responsabile dell’attuazione del Data Act.
Promozione dell’interoperabilità tra settori
Infine, con l’obiettivo di potenziare l’interoperabilità e in sintonia con l’EU Standardisation Strategy, sono state implementate misure per incentivare la condivisione e l’elaborazione dei dati tra differenti settori. Il documento di lavoro della Commissione sui Common European Data Spaces, pubblicato congiuntamente al Data Act, offre una panoramica dettagliata sull’argomento.
In questa prospettiva, sono state delineate prescrizioni essenziali riguardanti potenziali “contratti intelligenti” per facilitare la condivisione dei dati, con un’attenzione particolare alla sicurezza delle interruzioni, all’archiviazione e alla continuità dei dati stessi.
In conclusione, il Data Act si configura come il fulcro di una nuova era digitale europea, promettendo non solo maggiore accesso ai dati, ma anche un approccio più etico e sostenibile all’utilizzo delle informazioni digitali. I suoi benefici si estendono agli attori economici, ai consumatori e all’ambiente, contribuendo in modo tangibile agli obiettivi del Green Deal e alla crescita economica complessiva dell’Unione Europea.