Commissione Ue, il Data Act alle battute finali


Articolo
Silvia Compagnucci

Oggi i dati rappresentano la linfa vitale della trasformazione digitale e conseguentemente uno degli ambiti principali di interesse delle istituzioni europee impegnate nella creazione di un ecosistema che, da un lato, favorisca l’utilizzo dei dati e, dall’altro, assicuri adeguate forme di tutela per i dati personali.

In attuazione della Strategia europea per i dati del 2020 e ad integrazione del Data Governance Act (Regolamento n. 868/2022 del 30 maggio 2022), il 23 febbraio 2022 la Commissione Ue ha lanciato la proposta di Data Act che si trova ora alle battute finali. I rappresentanti degli Stati membri (Coreper) hanno infatti raggiunto una posizione comune che consente al Consiglio di avviare i negoziati con il Parlamento europeo sulla proposta legislativa lanciata dalla Commissione e portare dunque a completamento la procedura.

I CONTENUTI ESSENZIALI DELLA PROPOSTA DELLA COMMISSIONE 

La proposta di Data Act mira a rimuovere, attraverso la definizione di un set di regole armonizzato a livello Ue, gli ostacoli all’accesso ai dati sia per i consumatori che per le imprese. Per raggiungere tale obiettivo, la proposta di regolamento stabilisce regole comuni per disciplinare la condivisione dei dati generati dall’uso di prodotti o servizi connessi (es. IoT, macchine industriali), per garantire l’equità nei contratti e per consentire agli enti pubblici l’utilizzo di dati detenuti dalle imprese in caso di necessità eccezionale (es. emergenza pubblica). Introduce, inoltre, nuove regole per facilitare il passaggio tra fornitori di servizi cloud e altri servizi di elaborazione dati e mette in atto misure di salvaguardia contro il trasferimento internazionale illegale di dati da parte di fornitori di servizi cloud.

In particolare, la proposta al Capo II disciplina la condivisione dei dati da impresa a consumatore e da impresa ad impresa prescrivendo che la progettazione e fabbricazione siano tali da rendere accessibili i dati generati in modo facile e sicuro (e ove opportuno anche diretto). A tale obbligo si ricollega quello, prima di concludere un contratto di acquisto, affitto o noleggio di un prodotto o di un servizio correlato, di fornire all’utente in modo chiaro e comprensibile una serie di informazioni tra cui spiccano, per rilevanza, le indicazioni concernenti le modalità attraverso le quali l’utente stesso può chiedere che i dati siano condivisi con terzi. Il diritto degli utenti di accedere ai dati generati dall’uso di prodotti o servizi correlati e di utilizzarli è puntualmente declinato all’art. 4 che prescrive, tra l’altro, al titolare la messa a disposizione tempestiva e gratuita (e in modo continuo e in tempo reale ove applicabile) dei dati prodotti all’utente e subordina il loro utilizzo da parte del titolare alla previa conclusione di un accordo contrattuale con l’utente.

Ampio spazio è riservato da un lato al diritto di condividere i dati con terzi (art. 5), con specifici divieti a carico dei fornitori di servizi di piattaforma di base designati gatekeeper a norma del DMA nella logica di scongiurare rischi di condizionamento o alterazione delle scelte dell’utente, dall’altro agli obblighi dei terzi che ricevono dati su richiesta dell’utente, chiamati al loro trattamento solo per le finalità e alle condizioni concordate con l’utente e a cancellare i dati quando non sono più necessari per la finalità stabilite. A ciò si aggiunge il divieto di condizionare o manipolare l’autonomia dell’utente, utilizzare i dati per profilazione di persone fisiche, mettere i dati a disposizione di terzi (a meno che non sia necessario per offrire il servizio all’utente), mettere a disposizione i dati a un’impresa fornitrice di servizi di piattaforma di base per cui uno o più di questi sono stati designati come gatekeeper, utilizzare i dati per sviluppare un prodotto in concorrenza con quello da cui provengono i dati consultati (e quindi anche condividere i dati con un altro terzo a tal fine) e impedire all’utente, anche attraverso impegni contrattuali, di mettere i dati che riceve a disposizione di altre parti.

Il Capo V istituisce invece un quadro armonizzato per l’utilizzo, da parte degli enti pubblici e delle istituzioni, agenzie e organismi dell’Unione, dei dati detenuti dalle imprese, in situazioni in cui vi sia una necessità eccezionale. Nello specifico, si ritiene sussistente una situazione di questo tipo quando i dati richiesti risultano necessari per rispondere, prevenire o contribuire alla ripresa di un’emergenza pubblica (se la richiesta è limitata nella durata e nella portata) e per lo svolgimento di un compito specifico di interesse pubblico non altrimenti realizzabile, a patto che l’ente in questione non sia stato in grado di ottenere tali dati con mezzi alternativi, anche acquistandoli sul mercato. A fronte di una richiesta ai sensi del presente Capo – i cui contenuti sono dettagliatamente fissati dallo stesso regolamento – è prescritto al titolare dei dati di fornire riscontro senza indebito ritardo, ferme restando le ipotesi in cui è possibile per il ricevente, opporre un rifiuto o richiedere una modifica della richiesta. Rispetto a tali ipotesi, non è previsto un compenso e, dove previsto, non deve eccedere i costi tecnici e organizzativi sostenuti per dar seguito alla richiesta. Al di fuori di questi casi è riconosciuto il diritto di un ente pubblico o un’istituzione, un’agenzia o un organismo dell’Unione di condividere i dati ricevuti con persone o organizzazioni al fine di svolgere ricerche o analisi scientifiche, compatibili con la finalità per la quale sono stati richiesti i dati, o con istituti nazionali di statistica ed Eurostat per l’elaborazione di statistiche ufficiali.

Nella logica di tutela della concorrenza e della libertà di scelta dell’utente viene puntualmente disciplinato il diritto di passaggio da un fornitore di servizi di trattamento dei dati a un altro prevedendo l’abolizione graduale delle tariffe e dettando previsioni specifiche tese a garantire l’interoperabilità.

Al fine di assicurare l’osservanza del regolamento e favorire la cooperazione sovranazionale, gli Stati Membri sono chiamati a individuare una o più autorità nazionali competenti, nuove o già esistenti.

LE MODIFICHE DISPOSTE DAL COREPER

Analizzando la posizione comune del Consiglio emerge come l’impianto proposto dalla Commissione sia stato sostanzialmente conservato. Sono accolte, in particolare, le disposizioni che mirano a consentire agli utenti di dispositivi connessi di accedere ai dati da essi generati che spesso risultano raccolti esclusivamente dai fabbricanti, quelle tese a scongiurare il rischio che nei contratti di condivisione dei dati lo squilibrio di potere contrattuale tra le parti si traduca nell’inserimento di clausole contrattuali abusive, così come le previsioni che consentono agli enti pubblici di utilizzare e accedere ai dati detenuti dal settore privato necessari per circostanze eccezionali o di esigere il rispetto di un obbligo giuridico se i dati non sono disponibili in altro modo, nonché le norme che consentono ai clienti di passare efficacemente da un fornitore di servizi cloud di trattamento dati a un altro e istituiscono garanzie contro il trasferimento illecito di dati.

Nonostante l’adesione ai pilastri fondamentali della proposta, il Consiglio ha disposto una serie di modifiche piuttosto importanti con le quali, in particolare, si punta a definire in maniera più dettagliata l’ambito di applicazione del regolamento (soprattutto in relazione all’Iot dove l’attenzione è concentrata sulle funzionalità dei dati raccolti dai prodotti connessi piuttosto che sui prodotti stessi) e a chiarire la relazione tra la normativa sui dati e la legislazione orizzontale e settoriale vigente (es. Data Governance Act e GDPR), a rafforzare la protezione dei segreti commerciali e dei diritti di proprietà intellettuale, a meglio disciplinare un compenso ragionevole per la messa a disposizione dei dati e i meccanismi di risoluzione delle controversie, a migliorare la disciplina sulle richieste di condivisione dei dati da parte degli enti pubblici basate su necessità eccezionali e il passaggio effettivo tra servizi di trattamento dei dati.

CONCLUSIONI

All’inizio del mese il Parlamento europeo ha dato il suo ok al Data act con 500 voti a favore, 23 contrari e 110 astenuti. L’accordo sulla posizione comune del Consiglio consente ora alla presidenza svedese di avviare i triloghi sulla versione definitiva della proposta legislativa. Si tratta di un tassello importante che andrà a completare il puzzle disegnato dalla strategia e avviato con il Data Governance Act che ha creato i processi e le strutture per facilitare i dati ma che necessita di chiarimenti su chi può creare valore dai dati e a quali condizioni. 

Ci troviamo dunque ad un punto di svolta nella definizione delle politiche europee sul digitale che si trovano a svolgere un esercizio complesso ma indispensabile: trovare il giusto contemperamento tra l’esigenza di garantire l’accesso e l’utilizzo dei dati e quella di assicurare tutele effettive ed efficaci.

Vicepresidente dell'Istituto per la Competitività (I-Com). Laureata in Giurisprudenza presso l’Università di Tor Vergata nel 2006 ha partecipato, nel 2009, al master di II Livello in “Antitrust e Regolazione dei Mercati” presso la facoltà di Economia della medesima università conseguendo il relativo titolo nel 2010, anno in cui ha conseguito l’abilitazione all’esercizio della professione forense.

Nessun Articolo da visualizzare