DATA ACT: UNA PRIMA ANALISI PER PREPARARSI IN TEMPO ALLA SUA ENTRATA IN VIGORE

Il Data Act. Introduzione.

Il Data Act nasce per migliorare l’economia dei dati dell’Unione Europea e promuovere un mercato competitivo rendendo i dati, in particolare quelli industriali, più accessibili e utilizzabili. 

La normativa è volta a garantire equità nella ripartizione del valore dei dati tra gli attori di tale economia, chiarendo chi può utilizzare quali dati e a quali condizioni. 

Il Data Act offre agli utenti di prodotti connessi alla rete (imprese o individui che possiedono o noleggiano tali prodotti) un maggiore controllo sui dati che generano, prevedendo incentivi per coloro che investono in tecnologie dei dati. La norma stabilisce inoltre le condizioni generali per le situazioni in cui un’impresa ha l’obbligo giuridico di condividere i dati con un’altra impresa.

In aggiunta, il Data Act comprende misure volte ad aumentare l’equità e la concorrenza nel mercato europeo del cloud e a proteggere le imprese dalle clausole contrattuali abusive, imposte da soggetti contrattualmente più forti, in relazione alla condivisione dei dati. Stabilisce altresì un meccanismo attraverso il quale, in caso di necessità eccezionale, gli enti pubblici possono richiedere dati a un’impresa; fornendo norme chiare sulle modalità di presentazione di tali richieste. Inoltre, il Data Act introduce garanzie per evitare che gli organismi governativi di paesi terzi possano accedere a dati non personali qualora ciò sia contrario al diritto dell’UE o nazionale. 

Sui temi sollevati dal Data Act è inoltre molto importante rilevare la presenza delle FAQ della Commissione Europea che, pur non essendo documentazione normativa, rappresentano un ottimo strumento interpretativo per navigare questo argomento. 

Il Data Act. Analisi della normativa.

Seguendo le disposizioni generali (capo I) che definiscono l’ambito di applicazione del regolamento e i termini chiave, il Dat Act è strutturato in nove capitoli principali:

• Capo II: Condivisione dei dati tra imprese e tra imprese e consumatori nel contesto dell’IoT.
• Capo III: Condivisione dei dati tra imprese.
• Capo IV: Protezione contro le clausole contrattuali abusive.
• Capo V: Condivisione dei dati tra imprese e amministrazioni pubbliche.
• Capo VI: Passaggio da un servizio di trattamento dei dati all’altro.
• Capo VII: Protezione contro l’accesso illegale ai dati da parte di governi di paesi terzi.
• Capo VIII: Interoperabilità nei flussi di dati.
• Capo IX: Esecuzione della legge tramite autorità competenti designate.

Capo II: Condivisione dei dati business-to-business e business-to-consumer nel contesto del mercato IoT

Un obiettivo chiave del Data Act è creare equità nell’economia dei dati e consentire agli utenti di trarre valore dai dati generati utilizzando i prodotti connessi che possiedono o noleggiano. Questa disposizione mira a garantire che gli utenti abbiano accesso ai propri dati generati attraverso l’utilizzo quotidiano degli oggetti IoT.

La norma consente agli utenti di prodotti connessi (come automobili connesse, dispositivi medici e macchinari industriali) e servizi correlati (ad esempio app per la gestione delle funzionalità del prodotto) di accedere ai dati co-creati tramite l’uso del prodotto stesso. La disponibilità di tali dati avrà un impatto significativo sull’economia, poiché possono essere utilizzati per sviluppare servizi post-vendita o nuovi servizi innovativi.

I prodotti connessi comprendono:

• Prodotti di consumo: automobili connesse, dispositivi indossabili per il monitoraggio della salute.
• Altri prodotti: aerei, robot industriali.

I servizi correlati possono includere applicazioni che forniscono analisi dettagliate sull’utilizzo del prodotto o assistenza nella gestione delle sue funzionalità.

Il capo II si applica a tutti i tipi di dati generati dall’uso del prodotto connesso o del servizio correlato. Questi includono sia i dati personali sia i dati non personali, come metadati e informazioni raccolte da sensori (es. temperatura o posizione). Tuttavia, i contenuti derivati o altamente elaborati non rientrano nell’ambito della legge.

Gli utenti possono accedere ai propri dati generati attraverso il prodotto connesso e decidere se condividerli con terzi. Il titolare dei dati deve fornire informazioni chiare riguardo ai diritti relativi all’accesso e alla condivisione dei propri dati. 

Non è permesso utilizzare i suddetti dati per sviluppare prodotti concorrenti, tuttavia, non ci sono restrizioni sulla concorrenza nei servizi post-vendita. La norma assicura anche che le microimprese non siano soggette agli stessi obblighi delle grandi aziende.

Capo III: Norme sulla condivisione obbligatoria dei dati tra imprese

Il Data Act introduce norme specifiche per i casi in cui un’impresa abbia l’obbligo giuridico di condividere i propri dati con un’altra impresa. Questo è particolarmente rilevante nel contesto della crescente digitalizzazione e interconnessione delle attività economiche nonché alla rilevante ascesa del settore IoT.

Il capo III si applica a tutti i tipi di dato detenuti da un’impresa ed è progettato per garantire che i termini della condivisione siano equi e ragionevoli. I titolari dei dati possono richiedere una compensazione ragionevole per la messa a disposizione delle informazioni.

La compensazione può includere costi sostenuti per la preparazione e la diffusione dei data set richiesti. Alle microimprese e alle PMI non possono essere addebitati costi superiori a quelli sostenuti per la messa a disposizione dei data set.

La legge prevede misure specifiche in caso di accesso illecito o utilizzo improprio delle informazioni condivise con la finalità di proteggere i titolari dei diritti sui propri data set. Ciò include la possibilità per il titolare dei diritti di richiedere misure correttive come la cessazione della produzione del prodotto illegittimamente utilizzato o risarcimenti economici.

Capo IV: Protezione contro le clausole contrattuali abusive

Il Capo IV del Data Act è progettato per proteggere tutte le imprese, in particolare le piccole e medie imprese (PMI), dalle clausole contrattuali abusive che potrebbero essere imposte da attori più forti nel mercato. Questa protezione è fondamentale per garantire un ecosistema concorrenziale equo e competitivo, dove le PMI possano operare senza subire pressioni indebite da parte di grandi aziende.

Le disposizioni di questo capo stabiliscono che i termini e le condizioni contrattuali devono essere equi, chiari e ragionevoli. La norma stabilisce criteri specifici per identificare clausole abusive, che possono includere termini che limitano in modo eccessivo i diritti delle PMI o che impongono obblighi sproporzionati rispetto ai benefici ricevuti.

Inoltre, la legge richiede che le clausole contrattuali siano redatte in modo comprensibile e accessibile, affinché tutte le parti coinvolte possano facilmente comprendere i loro diritti e doveri. Questo approccio mira a garantire che le PMI non siano costrette ad accettare condizioni svantaggiose semplicemente per la necessità di accedere a determinati servizi o dati.

La legge prevede misure specifiche per affrontare situazioni in cui si sospetta l’applicazione di clausole contrattuali abusive. Le PMI possono contestare tali clausole presso le autorità competenti o attraverso meccanismi di risoluzione delle controversie. Inoltre, la legge incoraggia la trasparenza nei contratti, richiedendo alle imprese più grandi di fornire informazioni dettagliate sui termini contrattuali e sulle implicazioni delle clausole proposte.

Queste misure sono destinate a rafforzare la posizione delle PMI nel mercato, consentendo loro di negoziare condizioni più favorevoli e di concorrere in modo più equo con i grandi attori del settore.

Capo V: Condivisione dei dati tra imprese e amministrazioni pubbliche

Il Capo V del Data Act si concentra sulla condivisione dei dati tra il settore privato e le amministrazioni pubbliche. Questo capitolo è particolarmente rilevante in situazioni di emergenza o necessità eccezionale, dove l’accesso tempestivo ai dati può migliorare la risposta delle autorità pubbliche a eventi critici come crisi sanitarie o disastri naturali.

Le amministrazioni pubbliche saranno in grado di accedere a determinati data set detenuti dal settore privato per prendere decisioni informate basate su dati concreti. La legge stabilisce che tale accesso deve avvenire nel rispetto dei diritti dei titolari dei dati e deve essere giustificato da una necessità chiara e urgente.

Le amministrazioni pubbliche devono seguire procedure specifiche per richiedere l’accesso ai dati, garantendo così trasparenza e responsabilità nel processo. Le richieste devono essere motivate e documentate, e i titolari dei dati devono essere informati delle finalità per cui i loro dati vengono richiesti.

Per proteggere i diritti dei titolari dei dati, la legge stabilisce che le richieste di accesso devono rispettare i principi di proporzionalità e necessità. Inoltre, è previsto un meccanismo di ricorso per i titolari dei dati nel caso in cui ritengano che la richiesta sia ingiustificata o non conforme alle normative vigenti.

Queste disposizioni mirano a garantire un equilibrio tra l’esigenza delle autorità pubbliche di accedere ai dati per scopi legittimi e il diritto dei cittadini alla privacy e alla protezione dei propri dati personali.

Capo VI: Passaggio da un servizio di trattamento dei dati all’altro

Il Capo VI del Data Act stabilisce requisiti minimi affinché i fornitori di servizi di cloud computing ed edge computing facilitino il passaggio degli utenti da un servizio all’altro. Questo capitolo è cruciale per promuovere la concorrenza nel mercato dei servizi digitali e garantire che gli utenti abbiano il controllo sui propri dati.

I fornitori dei summenzionati servizi devono implementare pratiche che consentano agli utenti di trasferire facilmente i propri data set tra diversi fornitori senza incorrere in costose penali o difficoltà tecniche significative. Questo include l’adozione di standard aperti per garantire l’interoperabilità tra diversi sistemi.

La legge richiede anche che i fornitori informino gli utenti riguardo alle modalità di trasferimento dei dati, inclusi eventuali costi associati e tempi previsti per il completamento del trasferimento. Gli utenti devono avere accesso a informazioni chiare su come gestire il processo di migrazione dei propri dati.

Per garantire una transizione fluida, la legge prevede misure specifiche in caso di problemi durante il trasferimento dei dati. Gli utenti hanno diritto a ricevere assistenza dai fornitori durante il processo e possono presentare reclami se incontrano ostacoli ingiustificati al trasferimento.

Queste disposizioni sono progettate per ridurre il lock-in degli utenti presso un singolo fornitore e incoraggiare una maggiore competitività nel mercato dei servizi digitali.

Capo VII: Accesso illegale ai dati da parte del governo di paesi terzi

Il Capo VII del Data Act mira a proteggere i cittadini europei da richieste illecite da parte delle autorità governative esterne riguardo ai loro data set non personali conservati nell’UE. Questa protezione è fondamentale per garantire la sicurezza dei dati degli utenti europei e mantenere la fiducia nel mercato digitale.

La legge stabilisce che qualsiasi richiesta da parte di governi esteri deve rispettare le normative dell’UE e non può violare i diritti fondamentali degli individui. Gli organismi competenti dell’UE sono responsabili della supervisione dell’accesso ai dati non personali e devono garantire che tali accessi siano giustificati da motivazioni legittime.

Inoltre, la legge richiede che i fornitori di servizi informatici adottino misure proattive per proteggere i propri data set da accessi non autorizzati da parte di governi stranieri. Queste misure possono includere crittografia avanzata e audit regolari delle pratiche di sicurezza.

In caso di richieste illegittime, gli utenti hanno diritto a essere informati e possono contestare tali richieste attraverso le autorità competenti. La legge prevede anche sanzioni severe per coloro che tentano di accedere illegalmente ai data set non personali conservati nell’UE.

Queste disposizioni mirano a garantire un elevato livello di protezione dei dati personali e a mantenere l’integrità del mercato digitale europeo.

Capo VIII: Interoperabilità

Il Capo VIII si concentra sull’interoperabilità tra diversi sistemi informatici affinché vi sia una comunicazione fluida tra vari spazi informativi. L’interoperabilità è essenziale per garantire che i dati possano fluire liberamente tra diversi attori economici senza ostacoli tecnici o normativi.

I partecipanti agli spazi comuni saranno chiamati rispettare specifiche norme tecniche affinché il flusso informativo sia agevole ed efficiente tra diversi sistemi operativi e piattaforme cloud. La legge stabilisce requisiti chiari riguardo agli standard tecnici necessari per facilitare l’interoperabilità tra diversi fornitori di servizi digitali.

Inoltre, sarà creato un repertorio dell’UE che definirà norme pertinenti per l’interoperabilità del cloud, assicurando così una base comune su cui costruire soluzioni interoperabili.

Per garantire l’efficacia dell’interoperabilità, gli organismi competenti dovranno monitorare continuamente l’attuazione delle norme stabilite nella legge. Eventuali carenze nell’interoperabilità dovranno essere affrontate attraverso misure correttive appropriate.

Queste disposizioni sono progettate per promuovere un ecosistema digitale integrato in cui i dati possano essere condivisi facilmente tra diverse piattaforme e settori, contribuendo così all’efficienza economica complessiva dell’UE.

Capo IX: Esecuzione della legge

Il capitolo IX stabilisce le responsabilità degli Stati membri nell’applicare le disposizioni del Data Act attraverso autorità competenti designate.

Ogni Stato membro deve nominare almeno una autorità competente responsabile della supervisione dell’applicazione della normativa; se più autorità sono designate, deve essere nominato un “coordinatore dei dati” come punto unico d’accesso nazionale.

Il Data Act. Roadmap.

La strategia europea per i dati definisce il percorso che l’UE deve seguire per diventare leader nell’economia dei dati. Ciò sarà realizzato attraverso la creazione di un mercato unico europeo dei dati in cui i dati possano circolare tra i settori e gli Stati membri in modo sicuro e affidabile a vantaggio dell’economia e della società. All’interno di questo scenario, il Data Act è un elemento chiave per realizzare garantire l’equità nell’assegnazione del valore dei dati tra le parti interessate.

La nuova normativa in parola sarà applicabile il 12 settembre 2025.

Per aiutare le imprese a orientarsi fra queste nuove norme, la Commissione raccomanderà una serie di clausole contrattuali tipo per facilitare la conclusione di contratti di condivisione dei dati che siano equi, ragionevoli e non discriminatori (capi II e III del Data Act). Tali condizioni forniranno inoltre orientamenti su un indennizzo ragionevole e sulla protezione dei segreti commerciali.

La Commissione raccomanderà inoltre una serie di clausole contrattuali standard non vincolanti per i contratti di cloud computing tra utenti e fornitori di servizi cloud. È stato inoltre istituito un gruppo di esperti per aiutare la Commissione a elaborare tali termini e clausole; si prevede che tali raccomandazioni saranno pubblicate entro l’autunno 2025.

Entro tre anni dall’entrata in vigore del data Act la Commissione effettuerà una valutazione dell’impatto della normativa sui dati. Su tale base, se necessario, potrà proporre una modifica del predetto atto.