Data Act: applicazione e obiettivi UE per la gestione dei dati

Negli ultimi anni il legislatore europeo ha dimostrato una particolare attenzione nel regolamentare la materia dei dati. Avendo iniziato nel lontano 1995 a disciplinare la materia dei dati personali, pian piano la regolazione si è estesa anche in altri ambiti, cercando di aggiornarsi con l'evolvere delle tecnologie.

L'ultimo provvedimento normativo è il Data Act (Reg UE n. 2023/2854), entrato in vigore in data 11 gennaio 2024 ed applicabile a decorrere dal settembre 2025, il quale mira a coprire quegli spazi non disciplinati dalle altre normative, come il GDPR, rafforzando la tutela degli utenti da un punto di vista, per così dire, consumeristico, ed inserendo previsioni volte a disciplinare le pratiche delle grandi piattaforme, ma anche dei produttori di sistemi IOT, relativamente alle operazioni di elaborazione dei dati.

Ciò è tanto vero che la tutela dei dati nello spazio economico europeo, sulla base del nuovo regolamento, non riguarda solo la sfera personale dell'individuo, ma si declina fino a ricomprendere il dato nella sua accezione più estesa ovvero – per utilizzare la definizione dell'art. 2 del Data Act – “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni anche sotto forma di registrazione sonora visiva o audiovisiva”.

Il comune denominatore con gli altri provvedimenti che disciplinano lle attività afferenti ai dati è di garantire la libera circolazione degli stessi – personali e non – assicurando allo stesso tempo un elevato livello di tutela e di garanzie per le persone e per le imprese, favorendo condizioni di mercato con una concorrenza priva di distorsioni creando uno spazio comune europeo dei dati nell'ambito del quale gli stessi sono accessibili, fruibili ed interoperabili.

Questo comune denominatore è agevolmente rinvenibile anche nel Data Act allorquando nel suo primo considerando afferma che “la proliferazione di prodotti connessi a Internet ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e la società. Dati interoperabili e di elevata qualità provenienti da diversi settori aumentano la competitività e l'innovazione e garantiscono una crescita economica sostenibile. Gli stessi dati possono essere utilizzati e riutilizzati per una varietà di scopi e in misura illimitata, senza alcuna perdita in termini di qualità o quantità”.

Nella visione dell'Unione Europea la regolamentazione dei dati non si limita alla semplice necessità di disciplinare uno dei tanti elementi tecnici che riguardano il nostro vissuto, ma va ben oltre.  Essa diventa l'attuazione di un più ampio programma politico finalizzato a consentire lo sfruttamento dell'enorme potenziale strategico dei dati con il fine di mantenere elevati livelli di competitività e sostenibilità, per avere una maggiore produttività, miglioramenti in materia di salute e benessere, ambiente, amministrazione trasparente e servizi pubblici convenienti in uno scenario nel quale l'evoluzione tecnologica rappresenta il più importante generatore di ricchezza e di progresso.

La ratio che ha portato all'adozione del Data Act trova le sue radici proprio in questa visione. Esso, infatti, rappresenta in ordine di tempo l'ultimo provvedimento con il quale la UE ha dato concreta attuazione alla cd. strategia dei dati, un piano ambizioso adottato dalla Commissione nel febbraio del 2020 nel quale si afferma che “I dati sono la linfa vitale dello sviluppo economico: sono la base di molti nuovi prodotti e servizi e generano guadagni in termini di produttività ed efficienza delle risorse in tutti i settori economici, rendendo possibili prodotti e servizi più personalizzati, un miglioramento del processo di elaborazione delle politiche e un potenziamento dei servizi pubblici”.

L'obiettivo è rimuovere le barriere alla loro condivisione per creare un mercato unico europeo dei dati ove gli stessi sono disponibili per l'uso nell'economica e nella società, assicurando al contempo un elevato livello di tutela dei diritti e dei cittadini e delle aziende.

Nella visione europea vi è la piena consapevolezza che la trasformazione tecnologica non riguarda solo l'economia ed i suoi modelli produttivi, essa è molto più profonda ed investe l'uomo ed il suo modo di vivere, interagire e relazionarsi con gli altri e con le istituzioni.

Tuttavia, secondo le istituzioni europee, per poter cogliere le opportunità migliori che derivano da questa trasformazione economica e sociale è necessario che essa non sia lasciata a sé stessa ma sia incanalata in degli ambiti precisi, mediante una regolamentazione che affermi e mantenga la centralità dei valori e dei principi costituzionali dell'Unione attraverso un approccio antropocentrico nel quale la persona è posta al centro di essa.

In questo modo il modello della UE si pone come alternativo sia a quello degli Stati Uniti, dove l'organizzazione dello spazio di dati è affidata al settore privato, con ripercussioni significative in termini di concentrazione, che a quello della Cina, dove si assiste a una combinazione tra sorveglianza governativa e forte controllo delle imprese Big Tech su massicce quantità di dati, senza sufficienti garanzie per i cittadini.

È evidente, dunque, che in questa prospettiva l'adozione del Data Act e degli altri regolamenti che hanno ad oggetto i dati non è soltanto un intervento regolatorio finalizzato a disciplinare un settore altamente competitivo ed in continua evoluzione, ma costituisce altresì un intervento con una duplice caratterizzazione politica e strategica dalle evidenti implicazioni future dotate di un enorme potenziale in termini di modellazione e trasformazione del mercato dei dati e di posizionamento dell'Unione rispetto alle sfide poste dalla trasformazione digitale.

Gli obiettivi del Data Act

Dopo avere fatto cenno alle ragioni e al contesto che hanno portato all'adozione del Data Act, possiamo individuare gli obbiettivi specifici che con esso il legislatore europeo intende realizzare.

Innanzitutto, viene in evidenza il considerando n. 4 nel quale si riconosce la necessità di “stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base.”

Il punto di partenza sta nel processo di generazione dei dati che vede la sua genesi nelle azioni di due soggetti: l'utente da una parte, ed il fabbricante dei prodotti o il fornitore dei servizi dall'altra.

Tuttavia, mentre i secondi hanno generalmente una piena accessibilità ai dati che consente loro di poter estrarre dagli stessi ulteriore valore sotto molti punti di vista e per diverse finalità, all'utente invece tale accesso è del tutto precluso con la conseguente impossibilità di ottenere un'ampia serie di opportunità e di vantaggi.

Da queste premesse, come espressamente stabilisce il considerando n. 6, deriva la necessità di una “equità nell'economia digitale” al fine di “realizzare gli importanti vantaggi economici dei dati”.

A tal fine, quindi, il Data Act, nell'impedire lo sfruttamento degli squilibri contrattuali che ostacolano l'accesso equo ai dati e il loro utilizzo, garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell'Unione possano accedere tempestivamente, utilizzare e condividere i dati generati dall'uso di tali prodotti o servizi correlati, imponendo a fabbricanti ed erogatori dei servizi l'obbligo di metterli disposizione degli utenti e dei terzi scelti dagli utenti.

Tuttavia, è bene precisare sin da subito,  che tale diritto di accesso non è in alcun modo incondizionato giacché le disposizioni del Data Act devono essere applicate nel pieno rispetto delle regole riguardanti la tutela dei dati personali e della vita privata, nonché quelle riguardanti i segreti commerciali e i diritti di proprietà, l'accesso e l'utilizzo dei dati a fini di prevenzione, indagine, accertamento o perseguimento di reati o allo scopo di eseguire sanzioni penali, o a fini doganali e fiscali.

Ambito di applicazione oggettivo

L'individuazione del campo di applicazione oggettivo e di quello soggettivo ci consente di definire con precisione l'estensione del perimetro di efficacia del Data Act.

Il campo di applicazione oggettivo del Data Act è costituito dai dati, personali e non personali, generati dall'uso di un prodotto connesso immesso sul mercato della UE o da un servizio correlato, indipendentemente dal luogo di stabilimento del loro fabbricante o fornitore.

Innanzitutto, si deve sottolineare come il legislatore europeo sia stato attento a non creare sovrapposizioni con la tutela dei dati personali: il considerando n. 34 stabilisce che quando l'uso di un prodotto connesso o di un servizio correlato può generare dati personali dell'utente-persona fisica trova applicazione il GDPR anche quando gli stessi siano costituiti da dati personali e non personali indissolubilmente legati.

E' interessante evidenziare che mentre per la definizione dei dati personali viene richiamata quella dell'articolo 4, punto 1 del GDPR, per i dati non personali invece il Regolamento dà una definizione molto più precisa – peraltro la stessa già presente nel Data Governance Act – secondo la quale il dato è “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni anche sotto forma di registrazione sonora visiva o audiovisiva”, e che mancava nel quadro regolatorio europeo: ad esempio nel regolamento n. 2018/1807 avente ad oggetto la libera circolazione dei dati non personali, essi sono definiti semplicemente con  come “quelli “diversi dai dati personali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679”.

Il Data Act scinde i dati (personali e non) in due tipologie: 1) dati del prodotto connesso e 2) dati del servizio correlato.

I primi sono definiti al n. 15 dell'art. 2 comma 1 e dal considerando n. 15 come dati generati dall'uso di un prodotto connesso e progettati dal fabbricante in modo tale che un utente, un titolare dei dati o un terzo, compreso se del caso il fabbricante, possano reperirli dal prodotto connesso tramite un servizio di comunicazione elettronica, una connessione fisica o l'accesso su dispositivo.

I secondi, invece, ai sensi del n. 16 della stessa norma e del medesimo considerando, sono i dati che rappresentano la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto connesso, registrati intenzionalmente dall'utente o generati come sottoprodotto dell'azione dell'utente durante la fornitura di un servizio correlato da parte del fornitore.

La caratteristica che accomuna queste due categorie è che entrambi i tipi di dati devono essere generati intenzionalmente, oppure devono derivare indirettamente dall'azione dell'utente come, ad esempio, i dati generati dall'interazione con il prodotto o quelli relativi all'ambiente.

Dunque, rientrano in tali categorie ad esempio tutti i dati generati da una interfaccia utente, nonché tutti quelli generati automaticamente dai sensori anche durante i periodi di inattività dell'utente o persino quando il prodotto o il servizio sono in modalità stand-by o addirittura spenti.

Inoltre, devono essere ricompresi anche i dati in forma grezza (raw data) – detti anche dati fonte o primari - che vengono archiviati nel loro formato nativo ed in modo non strutturato in appositi repository chiamati data lake, e che offrono una serie di vantaggi rispetto ai data warehouse tradizionali tra cui una maggiore scalabilità e flessibilità nella elaborazione delle informazioni ed una riduzione dei costi di archiviazione.

Inoltre, tutti i dati messi a disposizione devono ricomprendere anche i loro metadati inclusi il contesto di base e le informazioni temporali.

Sono invece espressamente esclusi dal campo di applicazione del Data Act tutte le altre informazioni che possono essere ricavate dall'elaborazione di tali dati mediante altre attività di trattamento che utilizzano tecniche proprietarie in grado di estrarre ulteriore valore da essi.

Devono essere esclusi dal campo di applicazione del regolamento, ai sensi del considerando n. 23, anche i dati generati direttamente dagli assistenti virtuali di un prodotto connesso o di un servizio correlato senza alcuna forma di interazione tra l'utente ed il prodotto o il servizio; invece, quando la generazione dei dati da parte di un assistente virtuale sia connessa all'interazione del prodotto o servizio con l'utente dovrà applicarsi il regolamento anche laddove tale assistente non sia fornito dal fabbricante o dal fornitore, ma da un soggetto terzo.

Una caratteristica comune ad entrambe la categorie di dati, funzionale all'effettiva realizzazione degli obiettivi perseguiti dal Data Act, è che fin dalla progettazione di un prodotto o di un servizio, ovvero di default, e per impostazione predefinita, e dunque by design, essi siano per l'utente sempre accessibili in modo facile e sicuro, a titolo gratuito, in un formato completo, strutturato, di uso comune e leggibile da un dispositivo automatico, e che per il titolare siano “prontamente disponibili” ovvero che possano essere ottenuti “legittimamente dal prodotto connesso o dal servizio correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione”.

La definizione del campo oggettivo del Data Act non è completa senza analizzare anche cosa si intende per “prodotto connesso” e per “servizio correlato”.

Ai sensi dell'art. 2 comma 1 n. 5) e del considerando n. 14 per prodotto connesso si intende un bene che ottiene, genera o raccoglie mediante i suoi componenti o sistema operativo dati relativi al suo utilizzo, al suo ambiente o alle sue prestazioni e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l'accesso su dispositivo, e la cui funzione primaria non è l'archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall'utente.

L'ampiezza di tale definizione ha la precisa finalità di estendere il campo di applicazione del Data Act a tutti quei dispositivi connessi e oggetti (detti “cose”) dotati di sensori e altre tecnologie che consentono loro di trasmettere e ricevere dati da e verso altre cose e sistemi di dispositivi, denominati “internet of things- IOT”.

Un servizio correlato è, ai sensi dell'art. 2 comma 1 n. 6), “un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell'acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto connesso”.

Come chiarito nel considerando n. 17 sono esclusi da tale definizione i servizi che non incidono sul funzionamento del prodotto connesso e che non comportano la trasmissione di dati o comandi al prodotto da parte del fornitore del servizio.

Dunque, considerato l'ampia gamma di servizi che potrebbero essere potenzialmente offerti unitamente ad un prodotto, o che potrebbero essere ad esso associati, il discrimine per poter stabilire quali tra i vari servizi sono soggetti alla disciplina del Data Act e quali invece ne sono esclusi è rappresentato dalla possibilità trasmettere dati e di incidere sul suo funzionamento, con esclusione quindi di servizi ausiliari di consulenza, di analisi, finanziari o di riparazione e manutenzione.

Ambito di applicazione soggettivo

L'art. 1 comma 3 elenca i soggetti ai quali si applica il Data Act:

a) ai fabbricanti di prodotti connessi immessi sul mercato dell'Unione e ai fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento di tali fabbricanti e fornitori;

b) agli utenti nell'Unione di prodotti connessi o servizi correlati di cui alla lettera a);c) ai titolari dei dati, indipendentemente dal loro luogo di stabilimento, che mettono dati a disposizione dei destinatari dei dati nell'Unione; ai destinatari dei dati nell'Unione a disposizione dei quali sono messi i dati;

d) ai destinatari dei dati nell'Unione a disposizione dei quali sono messi i dati;

e) agli enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi dell'Unione, che chiedono ai titolari dei dati di mettere i dati a disposizione tali dati qualora siano necessari a fronte di una necessità eccezionale per l'esecuzione di un compito specifico svolto nell'interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta;

f) ai fornitori di servizi di trattamento dei dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell'Unione;

g) ai partecipanti agli spazi di dati, ai venditori di applicazioni che utilizzano contratti intelligenti (smart contracts) e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l'implementazione di contratti intelligenti per altri nel contesto dell'esecuzione di un accordo.

Il successivo art. 2 definisce espressamente alcune delle suddette categorie.

Per l'utente si intende “una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato”.

Il titolare dei dati è “una persona fisica o giuridica che ha il diritto o l'obbligo, conformemente al presente regolamento, al diritto applicabile dell'Unione o alla legislazione nazionale adottata conformemente al diritto dell'Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato”.

Per destinatario dei dati si intende “una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall'utente di un prodotto connesso o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell'utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell'Unione o della legislazione nazionale adottata conformemente al diritto dell'Unione”A tutti questi soggetti il Data Act si applica indipendente dal luogo di stabilimento, inteso in senso ampio come previsto dall'ordinamento europeo, purché le attività da essi compiute siano svolte nell'unione Europea o coinvolgano utenti dell'Unione Europea.

È nei confronti di tali destinatari che si applicano le regole stabilite nel Data Act, e che andremo ad esaminare nel dettaglio nei prossimi interventi.