Data Act, verso la piena applicabilità: le osservazioni di EDPB sulle clausole contrattuali

Uno stretto legame tra accesso ai dati e loro condivisione

L’EDPB con la dichiarazione 4/2025 parte da un presupposto fondamentale: lo stretto legame tra l’accesso ai dati (personali) e la loro condivisione ai sensi della normativa sui dati introdotta dal Data Act e del Regolamento generale sulla protezione dei dati, il GDPR.

Di qui, l’EDPB ha riesaminato lo schema/bozza degli MCT – e soltanto ai quali si riferisce, precisa lo stesso Board – proposti dalla Commissione, fornendo una serie di osservazioni generali alla Commissione.

Il contesto della dichiarazione dell’EDPB sul Data Act

L’EDPB osserva anzitutto come il processo di sviluppo delle clausole tipo in materia sia iniziato già dal lontano 2022.

Poi nel maggio 2025 un sottogruppo di esperti ha saputo dalla Commissione che sarebbe stato accolto con favore un rapido riscontro, tenuto conto del cronoprogramma fissato dalla Commissione per le Raccomandazioni.

Le osservazioni e raccomandazioni dell’EDPB

Data la complessità della questione e il periodo di tempo limitato per il feedback, le osservazioni dell’EDPB che andremo ad analizzare, sono da considerarsi “non esaustive e di alto livello”.

Così esordisce lo Statement in analisi, prima di enunciare le sue osservazioni con i vari punti di attenzione.

Una differente identificazione dell’utente interessato

L’EDPB osserva in primo luogo che le clausole tipo in questione sembrano essere stati redatte per parti contraenti aventi una differente posizione, dal momento che gli “utenti”, nell’ambito di applicazione della normativa sui dati, possono essere una persona giuridica o fisica.

Nel caso in cui un utente sia persona fisica, ecco che quest’ultimo potenzialmente può qualificarsi come “interessato” secondo il GDPR.

In taluni casi, all’EDPB sembra che l’attuale formulazione degli MCT si concentri più che altro “sulle interazioni tra persone giuridiche”, sollevando per l’effetto dubbi sul fatto che “le implicazioni per le persone fisiche siano state pienamente considerate”.

Mentre, osserva poi il Board, le persone cui si applicano le condizioni in parola non risultano sempre chiaramente identificate.

L’EDPB allora “raccomanda di chiarire ulteriormente questo aspetto e di valutare se potrebbe essere utile sviluppare MCT diversi a seconda che l’utente sia o meno l’interessato”.

Attenzione ai meccanismi di compensazione

L’EDPB osserva poi che taluni termini operino una “chiara distinzione tra dati personali e dati non personali, mentre altri no”.

Per i termini in cui tale distinzione non risulti fatta, l’EDPB raccomanda di “verificare se tale distinzione possa aiutare le parti contraenti a determinare il quadro giuridico applicabile”. Ad esempio, l’EDPB prende atto in particolare delle condizioni relative all’indennizzo (allegati II e III), che sono formulate in modo molto generico nella loro formulazione attuale, sollevando dubbi sulla loro portata.

Di qui, l’EDPB raccomanda vivamente alla Commissione di “limitare i meccanismi di compensazione all’uso di dati non personali”.

Più chiarezza e struttura nella stesura delle clausole tipo

L’EDPB osserva e raccomanda ancora che le clausole tipo in questione andrebbero rivisitate in maniera più chiara e netta nella loro struttura, e suggerisce di includere tra le definizioni la nozione dei “dati di consumo”.

Inoltre, raccomanda di fare riferimento incrociato alle disposizioni pertinenti della legge sui dati e del GDPR nei riquadri informativi per garantire la coerenza giuridica.

La legge prevale sulle clausole tipo

L’EDPB ricorda ancora che la normativa sui dati non pregiudica il diritto dell’Unione e nazionale in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni e dell’integrità delle apparecchiature terminali.

Ciò significa che in caso di conflitto tra normative prevale il diritto dell’Unione o nazionale in materia di protezione dei dati personali.

Ne consegue che l’EDPB raccomanda di rendere “più esplicito questo aspetto nelle clausole MCT, chiarendo che tali leggi prevarranno sulle condizioni contrattuali in caso di conflitto”.

Misure aggiuntive

L’EDPB suggerisce che nelle clausole tipo dovrebbe essere chiaramente indicato che, per circa i dati personali, il rispetto delle stesse da sé solo non comporta necessariamente il rispetto del GDPR.

Ecco perché le parti potrebbero “dover attuare misure aggiuntive per soddisfare pienamente i requisiti in materia di protezione dati”.

Alcuni esempi specifici in cui servirebbero necessarie misure aggiuntive oltre agli MCT sono:

1. i termini relativi al diritto dell’utente di accedere ai dati dei prodotti e ai relativi dati di servizio;
2. il diritto dell’utente di condividere i dati con terzi;
3. la necessità di conformità al GDPR da parte di un titolare dei dati e di un destinatario dei dati quando trattano i dati personali dell’utente (ad esempio, i termini non devono presumere l’esistenza di una base giuridica per il trattamento dati personali, in particolare il consenso);
4. l’utilizzo dei dati da parte dell’utente che non è un interessato.

Consumatori ed economia digitale al centro

Le clausole tipo/MCT in parola da ultimo dovrebbero tenere maggiormente in considerazione “la vulnerabilità dei consumatori e le asimmetrie di potere che emergono nell’economia digitale”, stabilendo penali contrattuali proporzionate senza violare i diritti degli interessati.

Conclusioni

Quindi, l’EDPB conclude lo Statement stando a disposizione per ulteriori consigli, al riguardo (clausole/MCT) precisando come le osservazioni generali qui fornite “non pregiudicano ulteriori osservazioni che l’EDPB potrebbe fornire in futuro sull’interazione tra la normativa sui dati e la legislazione dell’Unione in materia di protezione dei dati personali, privacy e riservatezza delle comunicazioni e integrità delle apparecchiature terminali”.

Stiamo a vedere, seguendo le evoluzioni.