Data Act: diritti e obblighi degli utenti

Il diritto di accesso

Negli interventi precedenti abbiamo delimitato il perimetro di applicazione del Data Act ed abbiamo esaminato la disciplina della condivisione dei dati.

Nel presente intervento tratteremo i diritti e gli obblighi che il Regolamento UE 2023/2854 attribuisce agli utenti.

Prima di tutto dobbiamo stabilire quali sono quei soggetti che possono definirsi “utenti”.

Secondo l'art. 2 del Data Act per utente si intende “una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato”.

L'ampiezza di tale definizione consente di ricomprendere oltre alle persone fisiche anche le persone le persone giuridiche, ossia tutti quei soggetti che sono proprietari di un prodotto connesso, o che in forza di un contratto – ad esempio di locazione o di noleggio - hanno ricevuto temporaneamente la titolarità del diritto di accedere a tali dati o di utilizzarli, oppure che quei soggetti che ricevono servizi correlati per il prodotto connesso.

All'utente è attribuito in primo luogo il diritto di accesso diretto ai dati del prodotto connesso o del servizio correlato, nonché ai pertinenti metadati necessari per interpretarli.

L'accesso ai dati non si limita alla mera consultazione ma, come vedremo, include la possibilità di utilizzarli e condividerli con terzi, favorendo trasparenza e flessibilità nell'uso delle informazioni raccolte.

D'altra parte, sussiste una stretta correlazione e un forte legame di complementarità tra l'accesso e l'utilizzo dei dati in quanto sono funzionali alla realizzazione delle finalità che il Data Act persegue, e cioè di contribuire all'istituzione di un vero mercato interno dei dati basato sui principi di equità nella ripartizione del loro valore tra i diversi attori economici.

Prima di tutto viene in evidenza l'art. 3 il quale stabilisce espressamente che i prodotti connessi ed i servizi correlati devono consentire all'utente l'accesso ai dati fin dalla loro progettazione (by design) e fabbricazione, per impostazione predefinita (by default), e nel pieno rispetto di precisi requisiti e cioè “in modo facile, sicuro, gratuito, in formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto”.

Inoltre, ai sensi dell'art. 4 qualora agli utenti sia precluso l'accesso diretto ai dati del prodotto connesso o del servizio correlato, o ai pertinenti metadati necessari per interpretare e utilizzare tali dati, l'utente può - ove sia tecnicamente fattibile - formulare al titolare dei dati una semplice richiesta mediante mezzi elettronici a fronte della quale il titolare deve provvedere prontamente, mettendo a disposizione i dati con la stessa qualità di cui egli stesso ne dispone, e nel rispetto degli stessi requisiti già elencati dall'art. 3 e sopra citati.

Il diritto di accesso ai dati sussiste anche laddove l'utilizzo del prodotto connesso o del servizio correlato sia esercitato da più persone, le quali tal fine saranno considerate tutte utenti.

Ai titolari è fatto obbligo di non rendere più difficili le scelte degli utenti in merito all'esercizio del diritto in commento, sicché dovranno ritenersi del tutto illeciti tutti quelli accorgimenti che potrebbero compromettere o pregiudicare la loro autonomia decisionale, come ad esempio i c.d. dark patterns che potrebbero essere ricompresi nella citata disposizione normativa.

Si deve però sottolineare che il Data Act, al fine di meglio definire e circoscrive l'estensione del diritto di accesso, prevede alcune limitazioni sia a tutela dell'utente e che dei titolari.

A tal riguardo, viene prima di tutto in evidenza il par. 2 dell'art. 4, secondo la quale l'utente e i titolari dei dati possono - attraverso la sottoscrizione di accordi contrattuali - limitare se non addirittura vietare l'accesso ai dati, il loro uso o la loro ulteriore condivisione.

Questa possibilità è consentita quando il trattamento possa compromettere i requisiti di sicurezza del prodotto connesso o del servizio correlato, oppure possa comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche.

Inoltre, prima di procedere ad una richiesta di accesso da parte di un utente, il titolare può chiedere allo stesso di fornire le informazioni necessarie a verificare se può essere considerato utente o meno, a condizione però che tale richiesta abbia ad oggetto solo ed esclusivamente le informazioni strettamente necessarie a tale verifica.

Alcune limitazioni possono sussistere quando l'accesso ai dati possa compromettere i segreti commerciali.

Infatti, all'utente è fatto obbligo di garantire la riservatezza e la protezione dei segreti commerciali affinché il libero accesso ai dati non pregiudichi la concorrenza o causi danni economici a chi detiene i diritti sui dati.

Sebbene gli utenti abbiano il diritto di accedere, utilizzare e condividere i dati, questo deve essere fatto nel rispetto delle regole di riservatezza relative ai segreti commerciali.

L'obbligo per gli utenti di proteggere queste informazioni deriva dalla necessità di evitare che l'esercizio dei predetti diritti da parte loro possa pregiudicare la concorrenza o causare danni economici al titolare o a chi detiene i diritti sui segreti commerciali.

In tali casi, il titolare dei dati o il detentore del segreto commerciale deve individuare, secondo quanto previsto dall'art. 4 par. 6, quali dati ed i pertinenti metadati sono segreti commerciali, e poi concordare con l'utente le misure tecniche ed organizzative proporzionate e ritenute necessarie per tutelare la loro riservatezza, ovvero: clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l'applicazione di codici di condotta.

Laddove non vi sia un accordo sulle misure necessarie di cui al par. 6 oppure qualora l'utente non attui le misure concordate, il titolare può bloccare l'accesso ai dati o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali, ed è obbligato alla notifica all'autorità designata ex art. 37.

L'esercizio del diritto di accesso può subire delle limitazioni anche quando sono state adottate misure di tecniche ed organizzative a norma dell'art. 4 par. 6.

Infatti, in casi eccezionali – come specificato espressamente dal par. 8 dello stesso articolo – quando il titolare può dimostrare che, malgrado l'adozione delle misure indicate nel par. 6, l'accesso ai dati potrebbe rendere molto probabili gravi danni economici a causa della divulgazione di segreti commerciali, può di volta in volta può rifiutare la richiesta dell'utente di accedere ai dati. Anche in tal caso è fatto obbligo al titolare di notificare all'autorità designata ex art. 37

Un ulteriore limite al diritto di accesso dell'utente è costituito dalla necessità di non modificare né pregiudicare in alcun modo la tutela dei dati personali degli interessati che eventualmente interagiscono con un prodotto connesso o un servizio correlato.

Infatti, l'accesso ai dati personali di soggetti diversi dall'utente e che sono generati dall'uso di un prodotto connesso o di un servizio correlato può avvenire solo qualora sussista una valida base giuridica del trattamento ex art. 6 del GDPR e, ove pertinente, se sono soddisfatte le condizioni di cui all'art. 9 di detto regolamento e all'art. 5, par. 3, della direttiva ePrivacy.

Il diritto di utilizzo

Come abbiamo accennato in precedenza, strettamente connesso al diritto di accesso ai dati è quello del loro utilizzo.

Il Data Act specifica che l'utente, pur potendo utilizzare i dati per qualsiasi finalità legittima, è tenuto a rispettare le limitazioni contrattuali o normative che regolano l'utilizzo di determinati dati. Ciò include, ad esempio, il divieto di usare i dati per sviluppare prodotti in concorrenza diretta con quelli del titolare dei dati.

Infatti, sebbene l'utente abbia ampia libertà d'uso sui dati, questo diritto è bilanciato da restrizioni contrattuali e legali che impediscono l'abuso di tali dati, proteggendo gli investimenti e gli interessi commerciali del titolare dei dati.

Infatti, l'art. 4 par. 10 del Regolamento vieta espressamente all'utente che accede ai dati, o ai pertinenti metadati, del prodotto connesso o del servizio correlato, di utilizzare li stessi per sviluppare un prodotto connesso in concorrenza con il prodotto connesso da cui essi provengono, né può condividerli con un terzo per il medesimo fine, né può utilizzare tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.

Al di fuori di tali ipotesi l'utilizzo dei predetti dati e metadati è assolutamente consentito in coerenza con le finalità che il legislatore europeo ha inteso perseguire con l'adozione del Data Act.

Il diritto alla trasparenza

Prima di acquistare, noleggiare o prendere in locazione un prodotto connesso, l'utente ha il diritto di ricevere informazioni chiare e comprensibili sui dati che il prodotto genera.

In questo modo gli utenti sono messi nella condizione di poter comprendere pienamente il flusso di dati generati dai prodotti che intendono utilizzare, consentendo decisioni e di d'acquisto e di utilizzo dei prodotti connessi o dei servizi correlati più informate e consapevoli.

Dunque, prima di concludere un contratto di acquisto, di locazione o di noleggio di un prodotto connesso, oppure prima di concludere un contratto di fornitura di un servizio correlato, l'utente ha il diritto di ricevere dal venditore, dal locatore o dal noleggiante, che può essere il fabbricante, o dal fornitore, almeno le informazioni elencate rispettivamente nell'art. 3 par. 2 e 3, di cui abbiamo più ampiamente trattato nel precedente capitolo 2) pubblicato nella presente rubrica ed al quale per brevità si rimanda.

Diritto alla condivisione dei dati con terzi

Gli utenti hanno il diritto di condividere i dati con terze parti di loro scelta, anche a fini commerciali. Questo diritto permette agli utenti di utilizzare i propri dati per accedere a servizi di riparazione o per migliorare l'esperienza d'uso, senza essere vincolati al fornitore del servizio originale.

In questo modo, coerentemente con le finalità perseguite con il Data Act di cui abbiamo detto in precedenza, viene favorita la concorrenza e l'innovazione nel mercato, consentendo a terzi di sviluppare soluzioni basate sui dati condivisi dagli utenti. Inoltre, sempre nella prospettiva di favorire un mercato dei dati equo e bilanciato, l'utente non è più vincolato a un unico fornitore di servizi e può beneficiare di alternative più economiche o efficaci.

Al diritto di condivisione dei dati con i terzi è espressamente dedicato l'art. 5 del Data Act.

In base alla predetta norma l'utente, o anche un altro soggetto che agisce per conto di questi, ha il diritto di chiedere al titolare di mettere a disposizione di terzi i dati prontamente disponibili, nonché i pertinenti metadati necessari ad interpretarli ed utilizzarli, generati dall'utilizzo del prodotto connesso o del servizio correlato.

A fronte di tale richiesta il titolare è tenuto a provvedere senza indebito ritardo, mettendo a disposizione del terzo indicato dall'utente – secondo le condizioni stabilite dagli artt. 8 e 9 del Regolamento, i dati con la stessa qualità di cui ne dispone e rispettando una serie di requisiti elencati nel citato paragrafo dell'art. 5.

Anche nel caso della condivisione dei dati l'utente è tenuto al rispetto di alcuni obblighi e limitazioni che per lo più sono le medesime stabilite dall'art. 4 e che abbiamo già visto quando in precedenza abbiamo esaminato il diritto di accesso fatta salve, ovviamente, alcune particolarità.

Innanzi tutto, a differenza dell'art. 4 che fa un generico riferimento ai dati, l'art. 5 specifica che tale tipo di richiesta si applica ai dati “prontamente disponibili” ovvero quei dati del prodotto e dati di un servizio correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto connesso o dal servizio correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione.

La citata norma stabilisce altresì che la condivisibilità dei dati con i terzi non è prevista nel caso di prodotti connessi in fase di collaudo o non ancora immessi nel mercato a meno che il loro utilizzo da parte di terzi non sia autorizzato contrattualmente.

Un particolare previsione è quella che troviamo al par. 3 in merito a quei soggetti designati come gatekeeper in base al Digital Markets Act (Reg. UE 2022/1925) ai quali in buona sostanza è fatto espresso divieto di sollecitare o di dare incentivi affinché gli utenti condividano con essi i dati generati dai prodotti connessi o dai servizi correlati.

Per quanto riguarda la tutela dei dati personali e dei segreti commerciali, l'art. 5 stabilisce le medesime limitazione ed attribuisce al terzo i medesimi obblighi che abbiamo visto in precedenza per quanto riguarda il diritto di accesso degli utenti.

Diritto alla tutela effettiva

Il Data Act prevede al capo IX una serie di disposizioni finalizzate a garantire alle persone fisiche e giuridiche una tutela effettiva quando ritengano violati i loro diritti riconosciuti a norma del Regolamento.

In particolare, fatta sempre salva la possibilità di un ricorso amministrativo o giudiziario, il Data Act prevede due possibilità:

a) presentare, conformemente all'articolo 37, paragrafo 5, lettera b), un reclamo all'autorità competente designata dagli Stati membri; oppure

b) convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell'articolo 10, paragrafo 1.

Dunque, un utente dovesse ritenere violati i diritti che abbiamo fin qui esaminato, avrà diritto di ricevere una tutela effettiva avvalendosi di una delle due possibilità sopra elencate.

Ad esempio, laddove un utente dovesse ritenere illegittimamente violato il suo diritto di accesso ai dati in conseguenza delle limitazioni o dei divieti contrattuali visti in precedenza e posti ai sensi dell'art. 4 par. 2, oppure quando un utente volesse contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati nelle ipotesi previste dai par. 7 e 8 in materia di tutela dei segreti commerciali.