nuove regole e differenze con il GDPR

Il Data Act nella strategia europea dei dati

La strategia europea sui dati è caratterizzata da svariati Regolamenti destinati a dare una svolta al mercato dei dati, ossia il Digital Services Act, il Digital Markets Act, il Data Governance Act e, infine, il Data Act.

L’importanza della strategia europea in materia dei dati deriva dal fatto che la stessa mira a creare un mercato unico dei dati che garantisca la competitività globale e la sovranità dei dati dell’Europa, creando spazi comuni europei di dati, garantendo che più dati diventino disponibili per l’uso nell’economia e nella società e mantenendo al contempo il controllo delle aziende e degli individui che generano i dati.

Nello specifico, il Data Act integra il Data Governance Act (DGA), in vigore dal 23 giugno 2022. Tuttavia, mentre il DGA disciplina l’accesso e la condivisione dei dati all’interno dell’UE, compresa la definizione delle condizioni per il riutilizzo dei dati protetti del settore pubblico e meccanismi affidabili per la condivisione volontaria dei dati, il Data Act interviene a livello sostanziale su specifici aspetti per l’accesso ai dati, nonché disciplinando requisiti e standard obbligatori per facilitare il riutilizzo dei dati.

Per comprendere gli obiettivi del Data Act, si menziona il Considerando 5 dello stesso, il quale afferma che “il presente regolamento garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell’Unione possano accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta. Esso impone ai titolari dei dati l’obbligo di mettere i dati a disposizione degli utenti e dei terzi scelti dagli utenti in determinate circostanze. Garantisce inoltre che i titolari dei dati mettano i dati a disposizione dei destinatari dei dati nell’Unione a condizioni eque, ragionevoli e non discriminatori e in modo trasparente. Le norme di diritto privato sono fondamentali nel quadro generale della condivisione dei dati. Il presente regolamento adegua pertanto le norme di diritto contrattuale e impedisce lo sfruttamento degli squilibri contrattuali che ostacolano l’accesso equo ai dati e il loro utilizzo. Il presente regolamento garantisce inoltre che i titolari dei dati mettano a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento di un compito specifico nell’interesse pubblico. Il presente regolamento mira altresì ad agevolare il passaggio tra servizi di trattamento dei dati e a migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati nell’Unione. È opportuno non interpretare il presente regolamento come un atto che riconosce o che conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati generati dall’uso di un prodotto connesso o di un servizio correlato”.

In sintesi, il Data Act (art. 1 par. 1):

• garantisce che gli utenti di un prodotto connesso o di un servizio correlatonell’Unione possano accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta;
• impone ai titolari dei dati l’obbligo di mettere i dati a disposizione degli utenti e dei terzi scelti dagli utenti in determinate circostanze;
• garantisce che i titolari dei dati mettano i dati a disposizione dei destinatari dei dati nell’Unione a condizioni eque, ragionevoli, non discriminatorie e in modo trasparente (il Data Act, quindi, adegua le norme di diritto contrattuale e impedisce lo sfruttamento degli squilibri contrattuali che ostacolano l’accesso equo ai dati e il loro utilizzo);
• garantisce che i titolari dei dati mettano a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento di un compito specifico nell’interesse pubblico.

Dunque, il Data Act apre alla possibilità non solo di mettere a disposizione i dati, ma anche di condividerli.

Il presente articolo pone l’attenzione su alcuni dei tanti aspetti degni di nota derivanti da un’attenta lettura e interpretazione del Data Act.

Attenzione alla terminologia: le differenze con il GDPR

Anzitutto, è importante definire bene i ruoli derivanti da questa normativa. Ad esempio, è fondamentale tenere a mente chi è il titolare dei dati (data holder) ai sensi del Data Act, ossia “una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato” (art. 2 punto 13 Data Act).

È bene ricordare, poi, che il titolare dei dati si differenzia rispetto al titolare del trattamento di cui al GDPR (segnatamente, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri” ai sensi dell’art. 4 punto 7 GDPR).

Questa scelta terminologica dettata dal legislatore europeo porta alla necessità di prestare particolare attenzione alla semantica, allo scopo di evitare di fare confusione tra le (diverse) disposizioni delle varie normative.

Strettamente correlato al concetto di titolare dei dati è quello di destinatario dei dati, ossia “una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’utente di un prodotto connesso o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione (art. 2 punto 14 Data Act)”.

In tal senso, si nota come il concetto di “destinatario” appaia piuttosto fumoso, poiché potenzialmente intercambiabile con il concetto di “terzo” (il quale è inglobato nella definizione, succitata, di destinatario dei dati), sollevando delle importanti questioni interpretative.

Dunque, si osserva come talvolta l’utilizzo di specifici termini possa ingenerare confusione nei lettori, richiedendo spiccate capacità interpretative, anche in considerazione delle circostanze concrete.

Investire nella generazione dati

Il Data Act elimina gli ostacoli all’accesso ai dati per operatori pubblici e privati, incentivando ad investire nella generazione di dati, con la garanzia di un controllo equilibrato sui dati per coloro che li creano.

Ma a quali dati si applica questa normativa? La normativa in questione si applica ai dati grezzi o pre-elaborati (ossia, i dati che non sono stati modificati in modo sostanziale; dati che si riferiscono a dati generati automaticamente senza alcuna ulteriore forma di trattamento; dati che sono stati pretrattati al fine di renderli comprensibili e utilizzabili prima di ulteriori operazioni di trattamento e analisi), i quali si differenziano dai dati desunti o derivati (informazioni dedotte dai dati grezzi).

Il diritto alla portabilità rafforzato

Con riguardo al concetto di portabilità, introdotto dal GDPR con l’art. 20, il Data Act introduce un approccio rinnovato. Difatti, secondo l’art. 20 GDPR, “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, qualora il trattamento sia effettuato in base al consenso o a un contratto e tramite mezzi automatizzati​”.

Con il Data Act, invece, si ha un’estensione del diritto alla portabilità dei dati a qualsiasi dato generato dall’uso di macchine e dispositivi IoT. La normativa prevede che è sufficiente chiedere all’azienda X di trasferire i dati all’azienda Y che offre un analogo servizio. Per questo, con il Data Act, si parla di diritto alla portabilità rafforzato, proprio perché esso supera i limiti originariamente introdotti con il GDPR. Attraverso l’applicazione delle norme del Data Act, quindi, gli interessati possono spostare i propri dati personali tra diversi titolari del trattamento (ad esempio, società che offrono servizi di riparazione e manutenzione del prodotto connesso) più facilmente, indipendentemente dalla base giuridica.

Data act, impatti per le imprese

Quelle ripercorse nel presente articolo sono solo alcune delle possibili osservazioni che una lettura attenta della normativa in questione può sollevare e, se adeguatamente affrontate, possono rappresentare uno strumento molto utile, per le imprese, alla piena comprensione e alla corretta interpretazione di quest’ultimo tassello della strategia europea in materia di dati.

Che devono fare i titolari dei dati

Alla luce di quanto emerso sopra, i titolari dei dati dovranno prestare attenzione a:

• definire adeguatamente gli specifici ruoli, con la corretta individuazione del perimetro soggettivo e stando particolarmente attenti alla terminologia (la quale, talvolta, potrebbe trarre in inganno, come ampiamente osservato nei paragrafi precedenti);
• individuare il perimetro oggettivo del Data Act, dunque capire se si ha a che fare con dati grezzi o pre-elaborati (ad esempio, svolgendo una mappatura interna dei dati relativi ai prodotti connessi o ai servizi correlati per comprendere se sono presenti dei dati che rispettano le caratteristiche richieste dal Data Act);
• alle modalità di applicazione del diritto alla portabilità c.d. “rafforzato”, ai sensi del Data Act; ad esempio integrando procedure già esistenti o creandole ex novo.

Inoltre, oltre ai temi trattati, non bisogna scordarsi anche ulteriori elementi e adempimenti; ad esempio in merito alle richieste di accesso ai dati da parte degli utenti. Rispetto a queste ultime i titolari dei dati, ove ricorrano le condizioni previste dalla normativa, dovranno mettere gli utenti nella condizione di poter accedere ai dati “ove pertinente e tecnicamente possibile, in modo diretto” (ad esempio, attraverso un’interfaccia) oppure in modo indiretto.

Per fare ciò dovranno svolgere un’analisi per comprendere se la via dell’accesso diretto è percorribile e con quale soluzione tecnologica. Nel caso in cui non lo fosse, si dovrebbe comunque garantire l’accesso indiretto tramite, ad esempio, la predisposizione di procedure per rispondere alle richieste.