Data Act: la disciplina della condivisione dei dati

L'accesso ai dati costituisce la condizione necessaria ed indispensabile senza la quale la condivisione dei dati non sarebbe possibile.

Il Data Act stabilisce a più riprese che l'accesso ai dati generati dall'uso di prodotti connessi o servizi correlati deve avvenire in modo tempestivo, trasparente, ed a condizioni eque, ragionevoli e non discriminatorie, e nell'art. 1 indica i soggetti che sono titolati a richiedere tale accesso: gli utenti, i terzi scelti dagli utenti, gli enti pubblici, la Commissione, la Banca Centrale europea e gli organismi dell'Unione.

Il capo II si concentra sulla condivisione dei dati tra imprese e consumatori (B2C) e tra imprese ed imprese (B2B), e si applica ai metadati, quindi con esclusione del contenuto, relativi alle prestazioni, all'uso e all'ambiente dei prodotti connessi e dei servizi correlati. Tale obbligo di messa a disposizione trova un'eccezione per le micro e piccole imprese eventualmente produttrici di dispositivi connessi o servizi ad essi correlati.

Il Data Act attribuisce agli utenti un diritto di accesso diretto ai dati: infatti, l'art 3 par. 1) impone ai fabbricanti dei prodotti connessi ed ai fornitori dei servizi correlati di mettere a disposizione li stessi ai consumatori, essendo previsto che tale accessibilità sia presente per impostazione predefinita (by default) e fin dalla progettazione (by design) del prodotto connesso e del servizio correlato o dell'interfaccia pertinente. Ciò vale sia in caso di più utenti che utilizzano il medesimo prodotto sia in caso di integrazione di più servizi nel medesimo prodotto.

Affinché il requisito dell'accessibilità sia effettivamente soddisfatto il legislatore europeo ha stabilito che i dati debbano avere alcune precise caratteristiche prevedendo che siano messi a disposizione sia i dati sia i pertinenti metadati necessari ad interpretarli ed utilizzarli, ciò in maniera facile, sicura, gratuita, ed in un formato completo, strutturato, di uso comune e leggibile anche mediante un altro dispositivo, ed in modo diretto ove possibile tecnicamente e pertinente.

Il Data Act stabilisce l'obbligo di fornire all'utente una informativa il cui contenuto è variabile a seconda dei casi previsti; prima della conclusione del contratto avente ad oggetto il prodotto connesso l'utente dovrà essere informato in merito a:

1. il tipo, il formato e il volume stimato di dati che il prodotto può generare;
2. se il prodotto è in grado di generare dati in modo continuo e in tempo reale;
3. se il prodotto è in grado di archiviare dati sul dispositivo o su un server remoto, compresa, se del caso, la durata prevista della conservazione;
4. il modo in cui l'utente può accedere a tali dati, reperirli o, se del caso, cancellarli, compresi i mezzi tecnici per farlo.

Invece, laddove il rapporto contrattuale abbia ad oggetto la fornitura di un servizio correlato, l'informativa dovrà esplicitare:

1. la natura, il volume stimato e la frequenza di raccolta dei dati e le modalità con cui l'utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione e la durata della loro conservazione;
2. se il titolare dei dati prevede di utilizzarli e per quali finalità, nonché se intende consentire a terzi tale utilizzo;
3. l'identità del titolare dei dati e, se del caso, di altre parti coinvolte nel trattamento dei dati, nonché i mezzi di comunicazione per contattarlo;
4. il modo in cui l'utente può chiedere che i dati siano condivisi con terzi e, se del caso, porre fine alla condivisione dei dati.

Tali informazioni potranno essere rese anche mantenendone una copia online resa accessibili agli utenti tramite QR Code.

L'obbligo di rendere tali informazioni trova delle eccezioni, previste nel Regolamento, però qualora il titolare voglia limitare o vietare l'accesso dovrà notificare tale scelta all'Autorità di controllo competente, scelta che potrà essere impugnata dagli utenti con un reclamo.

La condivisione dei dati con i terzi

Come accennato sopra, l'utente – o chi agisce per suo conto –può formulare espressa richiesta di condividere i dati con un terzo.

A fronte di tale richiesta il titolare dei dati sarà tenuto a mettere i dati e i pertinenti metadati a disposizione dei terzi senza indebito ritardo.  In tale ipotesi la medesima norma stabilisce che la condivisione dei dati dovrà avvenire in conformità con le disposizioni degli artt. 8 e 9 del regolamento.

In coerenza con i principi e le finalità che il Data Act persegue, non possono essere considerati “terzi” quei soggetti indicati come gatekeeper ai sensi del Digital Markets Act (Reg. UE 2022/1925). D'altra parte, consentire a soggetti che già detengono posizioni di mercato dominanti la possibilità di beneficiare delle condizioni di accessibilità e di condivisione dei dati avrebbe rappresentato una chiara contraddizione rispetto all'obiettivo di creare un mercato dei dati aperto, liquido, equo, efficiente e concorrenziale per tutti i soggetti che operano nella value chain dai dati e che per dimensioni e forza economica non sono in grado di potersi confrontare alla pari con le Big Tech.

Il terzo verso cui sono condivisi i dati potrà trattarli solamente per le finalità e alle condizioni concordate con l'utente e sarà tenuto a cancellarli quando non più necessari.

Per evitare l'abuso di situazioni di disparità conseguenti alla maggiore forza economica che un titolare può avere nei confronti di un terzo, il Data Act attribuisce alla Commissione Europea il compito di elaborare delle clausole contrattuali tipo non vincolanti per i contratti di condivisione dei dati tra imprese. Nelle intenzioni del legislatore europeo tali clausole sono funzionali a garantire una più corretta ed uniforme applicazione del Regolamento in quanto, come chiarito dal considerando n. 111, devono essere intese principalmente quale strumento pratico per aiutare in particolare le PMI.

Per avviare la condivisione dei dati il titolare potrà anche richiedere al terzo un compenso, il quale potrà essere basato sul volume, formato e natura dei dati, dovendo essere determinato su una serie di parametri quali i costi sostenuti per la condivisione, gli investimenti nella raccolta e produzione dei dati e l'eventuale coinvolgimento di altri soggetti per la loro generazione e raccolta.

Il Regolamento consente al titolare dei dati di adottare adeguate misure tecniche di protezione, compresi i cd. smart contracts e la cifratura – che, salvo diverso accordo, non possono essere né modificate né rimosse dall'utente o dai terzi – per impedire l'accesso non autorizzato ai dati, metadati compresi, e garantire il rispetto delle previsioni regolamentari e contrattuali.

Requisito fondamentali di tali misure è che esse non debbano creare discriminazioni tra i destinatari dei dati, né ostacolare il diritto dell'utente di ottenere una copia, reperire, utilizzare o accedere ai dati o fornire dati a terzi.

La condivisione dei dati con gli enti pubblici, la Commissione, BCE e Organismi UE

Novità rilevante del Data Act è la previsione dell'accesso ai dati anche da parte di alcuni organismi pubblici, nell'ottica di condivisione Business to Government (B2G).

Infatti, il titolare dei dati è obbligato, ai sensi dell'art. 14 del regolamento, a condividere gli stessi con un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione in caso di necessità eccezionale, ossia qualora a) i dati richiesti sono necessari per rispondere a un'emergenza pubblica e le pubbliche Autorità non possono ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti; b) se vengono individuati dalle Autorità dati specifici la cui mancanza impedisce di svolgere un compito nell'interesse pubblico esplicitamente previsto dalla legge (redazione di statistiche ufficiali, mitigazione o la ripresa dopo un'emergenza pubblica); c) le Autorità abbiano esaurito tutti gli altri mezzi a loro disposizione per ottenere i dati.

A fronte della richiesta il titolare deve mettere i dati a disposizione del soggetto richiedente senza indebito ritardo, tenendo conto delle misure tecniche, organizzative e giuridiche necessarie, salvo la possibilità di rifiutarsi nelle ipotesi di cui all'art. 18 del Data Act.

Come previsto nel caso della condivisione dei dati con un terzo, anche in questa ipotesi il regolamento riconosce al titolare dei dati un diritto a ricevere un compenso secondo i criteri stabiliti nell'art. 20.

La condivisione dei dati personali

Il Data Act si applica anche ai dati personali; tuttavia, al fine di evitare possibili sovrapposizioni con la disciplina del Reg. UE 2016/679 (GDPR) è previsto che in caso di conflitto tra il Data Act e il GDPR quest'ultimo o la legislazione nazionale adottata conformemente al diritto dell'Unione prevalgono sul Data Act.

Molti ed evidenti sono i punti di contatto tra le due discipline: ad esempio entrambe fanno riferimento ad una progettazione che by design e by default sia compliant con le loro disposizioni, dettano dei criteri per la data retention, entrambe fanno riferimento al principio dell'accountability.

Entrambi i regolamenti stabiliscono il diritto alla portabilità dei dati, ma il Data Act ne estende il campo di applicazione, consentendo all'interessato di accedere a tutti i dati, indipendentemente dalla loro natura personale o meno, dalla base giuridica del trattamento e dalla modalità di acquisizione (attiva o passiva). Inoltre, i principi fondamentali del GDPR, come quello di minimizzazione del trattamento, trovano applicazione anche nei casi sottoposti al Data Act.

Il Data Act, inoltre, impone ai titolari dei dati l'obbligo di condividere dati e metadati con terzi indicati dall'utente, ma sempre nel rispetto del GDPR e delle condizioni concordate con l'utente stesso. In caso di richieste di accesso a dati personali di terzi, il titolare dovrà verificare l'esistenza di una valida base giuridica per il trattamento.

L'art. 11 del Data Act impone ai titolari dei dati l'adozione di specifiche misure tecniche di protezione, in linea con quanto previsto dal GDPR in termini di misure tecniche e organizzative adeguate e di accountability. Questi principi si applicheranno anche nelle ipotesi di richiesta di messa a disposizione dei dati personali da parte di soggetti istituzionali indicati nel Data Act.

Infine, il Data Act attribuisce un ruolo fondamentale alle Autorità competenti per la tutela della privacy nei vari Paesi europei, incaricate di sorvegliarne l'applicazione per quanto riguarda il trattamento dei dati personali, in conformità con le disposizioni del GDPR relative al funzionamento delle Autorità di controllo indipendenti e alla cooperazione tra le stesse.

La condivisione dei dati e la tutela dei segreti commerciali

Una particolare attenzione nella condivisione dei dati il Data Act la dedica alla tutela dei segreti commerciali e ai rapporti con quella dettata dalla direttiva (UE) 2016/943.

Quando la condivisione dei dati può riguardare segreti commerciali, il titolare dei dati e l'utente devono adottare tutte le misure necessarie per garantirne la riservatezza.

L'art. 4 par. 6 del Data Act stabilisce che, prima della condivisione, il titolare dei dati o il terzo detentore del segreto commerciale deve individuare i dati e i metadati da proteggere e concordare con l'utente le misure tecniche e organizzative proporzionate e necessarie per tutelarne la segretezza. Tali accordi possono essere raggiunti attraverso clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l'applicazione di codici di condotta, lasciando comunque alle parti la libertà di convenire condizioni contrattuali specifiche.

In assenza di accordo sulle misure necessarie o qualora l'utente non le attui o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o sospendere la condivisione dei dati identificati come segreti commerciali, fornendo all'utente una motivazione scritta e notificando all'autorità competente la decisione adottata.

La stessa disciplina si applica anche nel caso di condivisione dei dati con terzi su richiesta dell'interessato (art. 5 del Data Act). Anche in questo caso, il titolare deve individuare i dati protetti da segreti commerciali e concordare con il terzo le misure per preservarne la riservatezza. In caso di mancato accordo o di pregiudizio alla riservatezza dei segreti commerciali, il titolare può bloccare o sospendere la condivisione, motivando per iscritto e notificando all'autorità competente.

Infine, il Data Act detta obblighi specifici per la tutela dei segreti commerciali nel caso di messa a disposizione dei dati ad enti pubblici, alla Commissione, alla Banca Centrale Europea e agli organismi dell'Unione. L'art. 19 par. 3 stabilisce che la condivisione di segreti commerciali è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo della richiesta, e il soggetto richiedente deve adottare tutte le misure tecniche e organizzative necessarie per preservarne la riservatezza.