In arrivo il Data Act: regole per l’utilizzo e l’accesso ai dati in tutti i settori economici

Portabilità, interoperabilità e condivisione dei dati personali e non personali: queste le direttive lungo cui si articola il nuovissimo Data Act (Legge sui dati), il cui testo è stato pubblicato lo scorso 23 febbraio. La proposta, formulata dalla Commissione europea, si inserisce nel solco della data strategy[1] della Commissione stessa e fa seguito al precedente Data Governance Act (Legge sulla gestione dei dati), approvato a novembre.
In particolare, mentre il Data Governance Act individua processi e strutture per promuovere, facilitare e rafforzare la disponibilità e portabilità dei dati, il Data Act chiarisce chi e a quali condizioni può creare valore dai dati.
Il Data Act – si legge sul sito della Commissione[2] – garantirà equità nell’ambiente digitale, stimolerà un mercato dei dati competitivo, aprirà opportunità di innovazione basate sui dati e renderà gli stessi dati più accessibili a tutti; assicurerà l’equità, stabilendo regole inerenti all’uso dei dati generati dai dispositivi IoT (Internet of Things).

In attesa che Consiglio e Parlamento europeo possano esprimersi e decidere nel merito della proposta, procediamo ad una breve analisi del testo pubblicato, sondando ambito di applicazione, rapporto fra Data Act e art. 20 del GDPR, struttura e contenuti principali.

Indice:

  1. Ambito di applicazione del Data Act
  2. Data Act e art. 20 del GDPR, quale rapporto?
    2.1 Diritto alla portabilità: quali dati?
  3. Data Act e art. 20 del GDPR, la soluzione
  4. Alla scoperta del Data Act
    4.1 Obiettivi

    4.2 Struttura e contenuti
  5. Conclusioni

1. Ambito di applicazione del Data Act

A norma dell’art. 1, par. 1, le regole del Data Act trovano applicazione con riferimento ai dati generati dall’utilizzo di prodotti e relativi servizi da parte degli utenti, alla messa a disposizione dei dati da parte dei titolari nei confronti dei destinatari, nonché alla messa a disposizione dei dati da parte dei titolari nei confronti di enti pubblici ed istituzioni, agenzie ed organismi dell’Unione europea, laddove vi siano esigenze eccezionali per la realizzazione di compiti di interesse pubblico. Nel dettaglio, a mente del successivo par. 2, le disposizioni della legge sui dati operano nei confronti di: (a) produttori di prodotti e fornitori di servizi correlati immessi sul mercato dell’Unione e utenti di tali prodotti o servizi; (b) titolari di dati che mettono i dati a disposizione di destinatari nell’Unione; (c) destinatari di dati nell’Unione nei confronti dei quali i dati sono messi a disposizione; (d) enti del settore pubblico e istituzioni, agenzie o organismi dell’Unione che richiedono la disponibilità dei dati ai titolari dei dati laddove vi siano esigenze eccezionali per la realizzazione di compiti di interesse pubblico e titolari che forniscono dati in risposta a tale richiesta; (e) fornitori di servizi di elaborazione dati che offrono tali servizi a clienti nell’Unione.

2. Data Act e art. 20 del GDPR: quale rapporto?

Come precisato in apertura, il Data Act investe in maniera diretta i dati, siano essi personali o non personali. Tuttavia, avendo particolare riguardo ai dati personali, sorge con naturale spontaneità l’interrogativo circa il rapporto con cui le disposizioni del nuovo Regolamento, in futuro, potranno rapportarsi alle previsioni già contemplate dal Regolamento (EU) 2016/679.

Sul punto, è doveroso richiamare il tenore dell’art. 20 del GDPR, a mezzo del quale il legislatore europeo introduceva, fra i diritti dell’interessato, il nuovissimo diritto alla portabilità dei dati. Invero, ai sensi del par. 1 della disposizione testé citata, esiste il chiarissimo diritto dell’interessato a ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano da lui forniti, avendone la contestuale libertà di poterli trasmettere ad altri titolari del trattamento, senza alcun impedimento da parte dell’originario titolare, seppur nel rispetto di due condizioni (rectius, limiti). Nondimeno, la portabilità dei dati è ammessa nelle sole ipotesi in cui il trattamento si basi sul consenso ex art. 6, par. 1, lett. a), ovvero ex art. 9, par. 2, lett. a) ovvero su un contratto, ex art. 6, par. 1, lett. b), e – ancora – laddove il trattamento sia effettuato con mezzi automatizzati[3]. Come osservato da autorevole dottrina, nitidamente emerge una sorta di diritto di accesso con modalità vincolate[4], un complesso di prerogative tali da potersi parlare di un “digital right to privacy[5].

L’articolo prosegue prevedendo che, nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile (par. 2); l’esercizio del diritto di cui al paragrafo 1 lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (par. 3). Tuttavia – a sommesso parere di chi scrive – è di primaria importanza il disposto di cui al par. 4, ove si pone un ulteriore argine alla prerogativa de quo nella misura in cui si afferma che il diritto alla portabilità dei dati non debba ledere i diritti e le libertà altrui. Trattasi di una condizione tesa ad evitare il recupero e la trasmissione a un nuovo titolare del trattamento di informazioni contenenti i dati personali di altri interessati, nel caso in cui questi non abbiano acconsentito a tale operazione. Sul punto, è stato osservato che agli stessi limiti sono anche sottoposti i dati soggetti a diritti di proprietà intellettuale o informazioni commerciali riservate, che potranno essere oggetto di portabilità solo laddove ciò non si risolva in una lesione di altri diritti di natura processuale o commerciale[6].

2.1 Diritto alla portabilità: quali dati?

La norma in esame non sembrerebbe lasciar spazio a perplessità o ambiguità. All’esito, però, di una lettura maggiormente oculata, sorge una questione che ha a lungo impegnato l’interprete nel risolvere una criticità di rilevante portata applicativa. L’art. 20 – come appena visto – riconosce all’interessato il diritto a ricevere (e trasmettere), sussistendone determinate condizioni, i dati personali che lo riguardano da lui forniti. Ciononostante, il Regolamento non si spende esaustivamente con riferimento a siffatta formulazione, con ciò generando problematiche interpretative degne di nota. A tal proposito, intervengono (provvidenzialmente, ndr) le Linee guida dell’Article 29 Working Party (adottate il 13 dicembre 2016, versione emendata e adottata il 5 aprile 2017), secondo cui «l’espressione “forniti da” si riferisce ai dati personali relativi ad attività compiute dall’interessato o derivanti dall’osservazione del comportamento di tale interessato, con esclusione dei dati derivanti dalla successiva analisi di tale comportamento. Viceversa, tutti i dati personali che siano creati dal titolare nell’ambito di un trattamento, per esempio attraverso procedure di personalizzazione o finalizzate alla formulazione di raccomandazioni, o attraverso la categorizzazione o profilazione degli utenti, sono dati derivati o dedotti dai dati personali forniti dall’interessato e non ricadono nell’ambito del diritto alla portabilità»[7]. Alla luce di siffatta interpretazione, dover considerare diversamente i dati direttamente forniti dall’interessato con i propri comportamenti e i dati che, sebbene a lui riferiti, siano il risultato di una autonoma analisi del titolare del trattamento, apriva fin dal 2017 amplissimi scenari, fortemente connessi ai trattamenti relativi ai Big Data e basati sulla Data analysis[8].

3. Art. 20 GDPR e Data Act, la soluzione

All’esito della (seppur breve) disamina finora condotta, è facile concordare con l’avveduta definizione fornita dal prof. Pizzetti, già Presidente del Garante per la Protezione dei Dati Personali, che identificava il diritto alla portabilità come un «diritto affacciato al futuro”»[9]. Futuro che, invero, come dimostra l’arrivo del Data Act, è già alle porte.

In proposito, è proprio questa la ragione che porta a interrogarsi relativamente alle modalità con cui le disposizioni della proposta di Regolamento potranno entrare in contatto ed eventualmente armonizzarsi con il già normato diritto ex art. 20, Reg. (EU) 2016/679.

In prima battuta, il nodo sembrerebbe presto districato dal dettato di cui all’art. 1, par. 3, della proposta così come formulata dalla Commissione. La lettera dell’articolo, infatti, prevede che le nuove norme non pregiudichino l’applicabilità della disciplina europea in materia di protezione dei dati personali, ivi inclusi poteri e competenze delle autorità garanti. Più precisamente, per quanto concerne i diritti illustrati nel capo II del nuovo Regolamento, e laddove gli utenti siano gli interessati dei dati personali soggetti ai diritti e agli obblighi previsti da tale capo, le previsioni del Data Act integreranno il diritto alla portabilità così come enunciato dall’art. 20 del GDPR.

Una simile previsione sarà sufficiente a dipanare ogni contrasto applicativo oppure esigerà nuovi interventi ermeneutici volti a chiarire, caso per caso, come dipanare le criticità interpretative? Sicuramente troppo presto, al momento, poter trovare risposta a tale quesito. Ciò non impedisce, nelle more, di passare in rassegna i principali contenuti del provvedimento.

4. Alla scoperta del Data Act

Prima di approdare alla lettura del testo della proposta di Regolamento, è qui opportuno richiamare le più recenti dichiarazioni rese avendo specifico riguardo alla portabilità dei dati, il cui tenore esprime al meglio quali siano i presupposti della Legge sui dati.

Le conclusioni del Consiglio europeo del 21 e 22 ottobre 2021 hanno sottolineato «l’importanza di compiere rapidi progressi sulle iniziative esistenti e future, in particolare sbloccando il valore dei dati in Europa, specialmente attraverso un quadro normativo globale che favorisca l’innovazione e faciliti una migliore portabilità dei dati , equo accesso ai dati e garantisce l’interoperabilità»[10]. Il 25 marzo 2021 il Consiglio europeo ha ribadito «l’importanza di sfruttare meglio il potenziale dei dati e delle tecnologie digitali a vantaggio della società e dell’economia»[11].

4.1 Obiettivi

Gli obiettivi primari della proposta sono linearmente illustrati nel medesimo documento pubblicato lo scorso 23 febbraio. Nel dettaglio, vi sono:

  • facilitare l’accesso e l’uso dei dati da parte dei consumatori e delle imprese, al contempo preservando gli incentivi a investire per generare valore attraverso i dati. Ciò include una maggiore certezza del diritto in merito alla condivisione dei dati ottenuti o generati dall’uso di prodotti o servizi correlati, nonché regole operative per garantire l’equità nei contratti di condivisione dei dati;
  • prevedere l’uso da parte degli enti pubblici e delle istituzioni, agenzie o organismi dell’Unione, di dati detenuti dalle imprese in determinate situazioni in cui vi siano esigenze eccezionali. Ciò riguarda principalmente le emergenze pubbliche, ma anche altre situazioni eccezionali in cui sia giustificata la obbligatoria condivisione dei dati tra imprese e governo, al fine di sostenere politiche e servizi pubblici basati su dati concreti, efficaci, efficienti;
  • semplificare il passaggio tra servizi cloud e edge. L’accesso a servizi di elaborazione dati competitivi e interoperabili è una precondizione per una fiorente economia dei dati, in cui i dati possano essere facilmente condivisi all’interno e tra gli ecosistemi settoriali. Il livello di fiducia nei servizi di elaborazione dati determina l’adozione di tali servizi da parte degli utenti in tutti i settori dell’economia;
  • mettere in atto misure di salvaguardia contro il trasferimento illegale di dati senza notifica da parte dei fornitori di servizi cloud. Ciò in quanto sono state sollevate preoccupazioni in merito all’accesso illegale ai dati da parte di governi non appartenenti all’UE ovvero allo Spazio economico europeo (SEE);
  • prevedere lo sviluppo di norme di interoperabilità per i dati da riutilizzare tra i settori, al fine di eliminare gli ostacoli alla condivisione dei dati tra spazi dello stesso settore, in coerenza con i requisiti di interoperabilità settoriali, e tra dati che non rientrano nell’ambito di applicazione di uno specifico spazio comune europeo di dati. La proposta sostiene anche la definizione di norme per i contratti intelligenti, ossia programmi che eseguono e regolano transazioni in base a condizioni predeterminate. Essi hanno la possibilità di fornire ai titolari dei dati e ai destinatari delle informazioni la garanzia che le condizioni per la condivisione dei dati siano rispettate.

4.2 Struttura e contenuti

Volgendo lo sguardo alla articolazione del venturo Regolamento, esso è suddiviso in undici capi.

Il capo I definisce l’oggetto e il campo di applicazione del regolamento, fornendo le definizioni utilizzate nel provvedimento.

Il capo II contribuisce alla maggiore certezza del diritto nei confronti di consumatori e imprese nell’accesso ai dati generati dai prodotti o dai servizi loro correlati e che possiedono, concedono o ricevono in concessione. I produttori e i programmatori devono progettare i prodotti in modo tale da rendere i dati facilmente accessibili di default, assicurando trasparenza circa quali dati saranno accessibili e come accedervi. Le disposizioni del presente non pregiudicano la possibilità che le imprese possano accedere e utilizzare i dati provenienti da prodotti offerti o servizi connessi, se concordato con l’interessato. Il titolare ha l’obbligo di mettere tali dati a disposizione di terzi su richiesta dell’interessato. Gli utenti avranno il diritto di autorizzare il titolare a dare accesso ai dati a terzi fornitori di servizi. Le microimprese e le piccole imprese saranno esentate da tali obblighi.

Il capo III stabilisce le norme generali applicabili agli obblighi di messa a disposizione dei dati. Qualora un titolare dei dati sia tenuto a mettere i dati a disposizione di un destinatario ai sensi del capo II o di altre disposizioni legislative dell’Unione o degli Stati membri, il capo affronta le condizioni alle quali i dati sono resi disponibili e il compenso per la messa a disposizione dei dati. Tutte le condizioni dovranno essere eque e non discriminatorie, e qualsiasi compenso dovrà essere ragionevole, senza impedire ad altre normative dell’Unione (o nazionali, che attuano il diritto dell’Unione) di escludere il compenso o prevederne uno. Gli eventuali compensi per le PMI non possono superare i costi sostenuti per la messa a disposizione dei dati, se non diversamente specificato nelle legislazioni settoriali. Gli organismi di risoluzione delle controversie certificati dagli Stati membri possono assistere le parti che non concordino sui compensi o sulle condizioni per giungere a un accordo.

Il capitolo IV affronta il problema dell’iniquità dei termini contrattuali nei contratti di condivisione dei dati tra imprese, in situazioni in cui una clausola contrattuale sia imposta unilateralmente da una parte a una micro, piccola o media impresa. Il presente capo garantisce che gli accordi contrattuali sull’accesso e sull’utilizzo dei dati non traggano vantaggio dagli squilibri nel potere negoziale tra le parti contrattuali. Nel dettaglio, è prevista una disposizione generale che definisce l’iniquità di un termine contrattuale relativo alla condivisione dei dati, integrato da un elenco di clausole che sono sempre ingiuste o presunte ingiuste. In situazioni di potere contrattuale iniquo, tale criterio tutela la parte contrattuale più debole per evitare contratti sleali. Tale iniquità ostacola l’uso dei dati ad opera di entrambe le parti contrattuali. I modelli di termini contrattuali raccomandati dalla Commissione possono essere d’ausilio alle parti per la conclusione di contratti a condizioni eque.

Il capo V istituisce un quadro armonizzato per l’utilizzo di dati detenuti dalle imprese da parte degli enti pubblici e delle istituzioni, agenzie e organismi dell’Unione in situazioni in cui vi sia una esigenza eccezionale, a fronte di emergenze pubbliche. I dati saranno resi disponibili gratuitamente. In altri casi di necessità eccezionale, anche per prevenire o contribuire al recupero da una fase di emergenza pubblica, il titolare, che rende disponibili i dati, dovrebbe avere diritto a un compenso che includa i costi relativi alla messa a disposizione dei dati pertinenti, più un margine di entità ragionevole. Per garantire che non si abusi del diritto di richiedere dati e che il settore pubblico rimanga responsabile del loro utilizzo, le richieste di dati dovrebbero essere proporzionate, indicare chiaramente lo scopo da raggiungere e rispettare gli interessi dell’impresa che rende disponibili i dati. Le autorità competenti garantirebbero la trasparenza e la disponibilità al pubblico di tutte le richieste, occupandosi anche dei reclami che ne derivano.

Il capitolo VI introduce requisiti normativi minimi di natura contrattuale, commerciale e tecnica, imposti ai fornitori di servizi cloud, edge e altri servizi di elaborazione dati, per consentire il passaggio da un servizio all’altro. In particolare, la proposta garantisce che i clienti mantengano l’equivalenza funzionale del servizio dopo essere passati a un altro fornitore di servizi. La proposta contiene un’eccezione per l’impossibilità tecnica, ma pone l’onere della prova al riguardo a carico del prestatore di servizi. La proposta non prevede norme tecniche, tuttavia richiede che i servizi siano compatibili con gli standard europei.

Il capo VII tratta dell’accesso illecito di terzi ai dati non personali detenuti nell’Unione dai servizi di trattamento dei dati offerti sul mercato dell’Unione medesima. La proposta lascia impregiudicata la base giuridica delle richieste di accesso ai dati presentate da cittadini o imprese dell’UE e lascia impregiudicato il quadro dell’Unione in materia di protezione dei dati e di tutela della vita privata.

Il capo VIII stabilisce i requisiti essenziali da rispettare per quanto riguarda l’interoperabilità per gli operatori di spazi dati e i fornitori di servizi di elaborazione dati, nonché i requisiti essenziali per i contratti intelligenti.

Il capo IX stabilisce il quadro di attuazione e di esecuzione del Regolamento ad opera delle autorità competenti di ciascuno Stato membro, altresì prevedendo un meccanismo di reclamo. La Commissione raccomanda modelli facoltativi di condizioni contrattuali sull’accesso e sull’uso dei dati. Per le infrazioni al Regolamento si applicano sanzioni.

Il capo X contiene una disposizione affinché la disciplina di cui alla direttiva 96/9/CE non si applichi alle banche dati contenenti dati ottenuti o generati dall’uso di un prodotto o di un servizio correlato per ostacolare l’esercizio effettivo del diritto degli utenti di accedere e utilizzare i dati, a norma dell’art. 4 del Regolamento, o del diritto di condividere tali dati con terzi, a norma dell’articolo 5.

Il capo XI consente alla Commissione di adottare atti delegati per introdurre un meccanismo di monitoraggio sui diritti di switching imposti ai fornitori di servizi di trattamento dei dati, al fine di specificare ulteriormente i requisiti essenziali in materia di interoperabilità. Esso prevede, inoltre, l’adozione di atti per facilitare l’individuazione di specifiche comuni per l’interoperabilità e i contratti intelligenti laddove non esistano norme armonizzate o le esistenti siano insufficienti a garantire la conformità ai requisiti essenziali.

5. Conclusioni

All’indomani della pubblicazione della proposta, il commissario per il Mercato interno, Thierry Breton, ha dichiarato: «È un passo importante per sbloccare una grande quantità di dati industriali in Europa, a beneficio di imprese, consumatori, servizi pubblici e della società nel suo complesso. Finora viene utilizzata solo una piccola parte dei dati industriali e il potenziale di crescita e innovazione è enorme. La Legge sui dati garantirà che i dati industriali siano condivisi, archiviati ed elaborati nel pieno rispetto delle norme europee. Costituirà la pietra angolare di un’economia digitale europea forte, innovativa e sovrana». Secondo le stime rese note, il volume dei dati è in costante crescita. Da 33 zettabyte generati nel 2018 si arriva a 175 zettabyte attesi nel 2025: un potenziale “non sfruttato”, sottolinea la Commissione, poiché l’80% dei dati industriali non viene mai utilizzato[12].

È indubbio che, con il Data Act, l’Ue miri a fregiarsi del titolo di leader mondiale nella data economy, ma la domanda è: il nuovo Regolamento basterà ad assicurare il pacifico incedere dell’Unione in questa nuova data era, salvaguardando i diritti degli attori coinvolti? Con molta probabilità ai più è già nota la risposta.

Consigliamo:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €


Note:

[1] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN

[2] https://digital-strategy.ec.europa.eu/en

[3] sul concetto di trattamento automatizzato cfr. pp. 7-8, “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679”, WP29, 6 febbraio 2018

[4] GENTILINI, GASPERINI, 2017

[5] FLORIDI, 2014

[6] art. 20, “Codice della privacy e data protection”, Giuffrè, 2021, commento di FALCE

[7] così “Guidelines on the right to data portability”, WP29, 5 aprile 2017 https://ec.europa.eu/newsroom/document.cfm?doc_id=44099

[8] così “Portabilità dei dati nel GDPR: cosa significa e cosa implica questo nuovo diritto”, PIZZETTI, 13 luglio 2018, https://www.agendadigitale.eu/sicurezza/portabilita-dei-dati-nel-gdpr-cosa-significa-e-cosa-implica-questo-nuovo-diritto/

[9] ult. op. cit.

[10] European Council, European Council meeting (21-22 October 2021) – Conclusion EUCO 17/21, 2021, p. 2, https://www.consilium.europa.eu/media/52622/20211022-euco-conclusions-en.pdf

[11] European Council, Statement of the members of the European Council meeting (25 March 2021) – Statement SN 18/21, p. 4, https://www.consilium.europa.eu/media/48976/250321-vtc-euco-statement-en.pdf

[12] così https://www.ansa.it/europa/notizie/rubriche/altrenews/2022/02/23/arriva-il-data-act-ue-per-regolare-accesso-e-uso-dati_49b8a247-6e25-490f-bafa-3ac6fb7c62a6.html

Dott. Pierpaolo De Natale Dumas

Scrivi un commento

Accedi per poter inserire un commento