Il Regolamento (EU) 2023/2854, meglio conosciuto come Data Act, è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 22 dicembre 2023 e sarà applicabile a partire dal 12 settembre 2025.
Entrato in vigore con l’obiettivo di potenziare l’economia dei dati nell’UE, il regolamento promuove la creazione di un mercato dei dati competitivo attraverso l’incentivazione di una maggiore accessibilità, disponibilità e utilizzabilità dei dati, in modo tale da porre questi alla base dell’innovazione tecnologica.
Per raggiungere questi obiettivi, il Data Act garantisce una distribuzione equa del valore dei dati tra gli attori dell’economia dei dati, chiarendo chi può utilizzare quali dati e a quali condizioni, intersecandosi con le normative in materia già in vigore.
Il successo del diritto alla portabilità previsto dal Data Act dipenderà dalla capacità di integrare la natura commerciale di condivisione dei dati a favore dell’innovazione di tale regolamento con la natura più tutelante dei diritti fondamentali del cittadino del GDPR. Inoltre, la Commissione europea punta a far maturare consapevolezza negli utenti circa il valore dei dati della loro condivisione, mostrando loro la possibilità di ottenere in cambio servizi migliori e/o più economici.
Indice degli argomenti
Il Data Act nel quadro della strategia europea sui dati
Il Data Act è un tassello centrale nella Strategia Europea dei Dati con l’obiettivo di stimolare la crescita dei servizi “data driven“, ossia fortemente incentrati sui dati, e superare le difficoltà di accesso alle informazioni che creano situazioni di lock-in di mercato. Per raggiungere questo risultato, la Commissione Europea ha introdotto regole chiare volte a costruire un ecosistema di scambio di dati basato sulla fiducia di imprese e consumatori: in un contesto tecnologico che richiede sempre più informazioni per efficientarsi, il Data Act mira a ottimizzare l’uso dei dati disponibili, garantendone sia quantità che qualità per favorirne il riutilizzo e accelerare l’innovazione, eliminando le barriere esistenti alla loro circolazione.
Data Act e IoT: un binomio vincente
Il testo, dunque, si inserisce perfettamente nel quadro della Strategia Europea, contribuendo significativamente al raggiungimento degli obiettivi delineati dal Decennio Digitale, ossia il piano europeo volto a promuovere la trasformazione digitale al servizio delle persone. Il regolamento mira a facilitare l’accesso alle informazioni generate dall’uso di prodotti connessi e servizi correlati, consentendo la loro agevole condivisione con terzi. Con l’introduzione di diritti e obblighi riguardanti l’accesso e la condivisione dei dati, si cerca di valorizzare il vasto patrimonio informativo generato dall’Internet of Things (IoT) mediante utilizzo da parte dei consumatori e delle imprese.
I dati raccolti dall’IoT offrono insight fondamentali su come ci muoviamo, viviamo e agiamo quotidianamente, sono il fulcro della nuova economia digitale. Le informazioni ottenute grazie a questi dati possono aprire nuovi mercati, rafforzare pratiche commerciali esistenti e essere importanti nelle fasi successive alla raccolta per prodotti ancillari e altri servizi (creando benefici economici). Si pensi, ad esempio, alla creazione di polizze assicurative customizzate basate sull’utilizzo effettivo del veicolo (“pay as you drive“). Allo stesso tempo, queste risorse informative possono essere sfruttate anche per migliorare processi produttivi, gestire emergenze o disastri naturali e prevenire incidenti o rischi, grazie all’analisi predittiva che può fondarsi su tali informazioni.
Il Data Act conferisce agli utenti di prodotti connessi, siano essi aziende o individui, un maggiore controllo sui dati che generano, senza tuttavia disincentivare gli investimenti da parte di coloro che sviluppano tecnologie basate sui dati.
In sostanza, consumatori e imprese beneficeranno di prezzi più bassi per i servizi post-vendita e per la riparazione dei loro oggetti connessi, nuove opportunità di utilizzare servizi basati sull’accesso ai dati, un migliore accesso ai dati raccolti o prodotti da un dispositivo, nuove garanzie contro i trasferimenti illeciti di dati, riduzione dei costi in caso di trasferimento dei dati a un altro fornitore di servizi cloud. Inoltre, disponendo di maggiori informazioni, i consumatori e utilizzatori come gli agricoltori, le compagnie aeree o le imprese di costruzione saranno in grado di prendere decisioni migliori, ad esempio acquistando prodotti e servizi di qualità superiore o più sostenibili, contribuendo in tal modo agli obiettivi del Green Deal.
In aggiunta, la normativa definisce condizioni generali per i casi in cui un’impresa è obbligata per legge a condividere i dati con un’altra, promuovendo così un ambiente di scambio trasparente e regolamentato.
Il mercato del cloud
Un ulteriore aspetto centrale riguarda il mercato del cloud, con misure volte a garantire equità e concorrenza, proteggendo le imprese da clausole contrattuali inique imposte da attori dominanti; in particolare, il regolamento ha l’obiettivo di agevolare l’accesso a start-up, piccole imprese, medie imprese garantendo nel contempo che gli obblighi corrispondenti siano quanto più proporzionati, tenendo conto del piccolo numero di imprese molto grandi con un notevole potere economico nell’economia digitale, ottenuto grazie all’accumulo e all’aggregazione di grandi volumi di dati e all’infrastruttura tecnologica per la loro monetizzazione.
Viene inoltre previsto un meccanismo attraverso il quale le autorità pubbliche possono richiedere dati alle imprese in caso di necessità eccezionali, come emergenze pubbliche, con regole chiare su come tali richieste debbano essere formulate.
Le ricadute sull’economia
Infine, il Data Act introduce delle misure di salvaguardia per impedire che governi di paesi terzi possano accedere a dati non personali in modo contrario alla normativa europea o nazionale, stabilendo requisiti stringenti in materia di interoperabilità. L’obiettivo è assicurare che i dati possano circolare liberamente e senza ostacoli tra settori e Stati membri, sostenuti dai Common European Data Spaces, nonché tra i fornitori di servizi di trattamento dei dati, promuovendo così un ecosistema digitale efficiente e interconnesso.
Si prevede che le nuove norme creeranno 270 miliardi di euro di PIL in più per gli Stati membri dell’UE entro il 2028 ponendo rimedio ai problemi giuridici, economici e tecnici che causano un sottoutilizzo dei dati.
Data Act e GDPR: due linee parallele e complementari
Il report sull’attuazione del GDPR del 2024 evidenzia gli sforzi della Commissione Europea per ampliare i diritti di accesso e portabilità dei dati, cercando di risolvere le diverse problematiche che nel tempo hanno portato ad un evidente sottoutilizzo dei dati.
Il Data Act, infatti, cerca di rispondere a tale esigenza, poiché introduce un diritto di accesso generalizzato ai dati generati da prodotti connessi e dai servizi correlati, estendendo tali diritti anche ai metadati necessari per interpretarli, e richiedendo che i prodotti vengano progettati by design e by default per agevolare tale fine.
In particolare, l’art. 3 del Data Act impone ai produttori di progettare prodotti connessi e servizi che permettano all’utente di accedere direttamente ai dati generati da questi, concetto rafforzato nell’art. 4, che garantisce l’accesso anche ai dati non direttamente disponibili. L’accesso deve essere sempre gratuito, sicuro, fornito in un formato standardizzato e leggibile da macchine. L’art. 5, inoltre, consente all’utente di richiedere la condivisione dei dati con terzi in modo rapido e continuo, come nel caso di un proprietario di un veicolo connesso che richiede la trasmissione diretta dei dati registrati da questo ad una compagnia assicurativa.
I diritti di accesso e portabilità garantiti dal Data Act
Rispetto al GDPR, appare evidente che i diritti di accesso e portabilità garantiti dal Data Act sono notevolmente più ampi: il punto essenziale è che quest’ultimo non riguarda solo i dati personali, ma include anche i dati non personali relativi all’uso dei prodotti connessi.
Questo comporta che, diversamente da quanto previsto all’art. 20 del GDPR, gli utenti possano condividere non solo dati attivamente forniti, ma anche quelli osservati e catturati dalla tecnologia, come le abitudini di guida di un veicolo connesso.
Un’altra differenza sostanziale con il GDPR risiede nel fatto che i diritti del Data Act, poiché non limitati ai soli dati personali, si applicano anche alle persone giuridiche. Ad esempio, un’azienda che gestisce flotte di veicoli può richiedere i dati generati dai veicoli per migliorare i propri servizi o per ottenere offerte più vantaggiose da fornitori terzi. Nonostante questa complementarità tra Data Act e GDPR, resta tuttavia la necessità per gli operatori di distinguere quando si applica l’una o l’altra normativa, anche considerando i diversi tempi di risposta richiesti dalle due leggi.
Data Act e trasparenza informativa
Circa invece il tema della trasparenza informativa, il Data Act prevede chiari obblighi informativi per garantire agli utenti il controllo sui propri dati. Molti elementi coincidono con quelli previsti all’interno del GDPR, ma i due regolamenti differiscono per l’ambito e i destinatari. Il Data Act, infatti, si applica a dati personali e non personali per cui, come accennato, riguarda sia individui che aziende. Gli operatori dovranno quindi evitare duplicazioni e garantire che le informazioni siano complete e comprensibili, soprattutto quando è necessario ottenere il consenso di terzi.
La disciplina contrattuale
Inerentemente alla disciplina contrattuale, in primo luogo il Data Act introduce l’interoperabilità come principio base, rendendo la portabilità un diritto contrattuale soggetto a condizioni eque e non discriminatorie (FRAND). Ciò comporta che, a differenza del GDPR, il Data Act permette la possibilità di un compenso per la condivisione dei dati, sebbene resti controversa la questione della monetizzazione dei dati personali, con l’EDPB e l’EDPS che esprimono preoccupazioni circa tale possibilità. In secondo luogo, il Data Act regola i flussi di dati attraverso contratti tra utenti e titolari, ponendo l’attenzione sul controllo e l’interoperabilità dei dati non personali, differenziandosi dal GDPR, che si concentra invece sulla protezione dei dati personali e, dunque, stabilisce principi più stringenti. Questa distinzione porta a una maggiore flessibilità nei contratti di condivisione dei dati non personali, ma richiede comunque la conformità al GDPR quando si tratta di dati personali, considerando così due binari paralleli di tutela.
Si nota dunque la complementarità del Data Act con il GDPR, due regolamenti che riconoscono la diversa natura dei dati personali e non personali e che si possono rappresentare come due linee parallele ma altresì complementari: infatti, mentre il GDPR offre una protezione rigorosa della persona fisica cui si riferisce il dato personale, il Data Act amplia l’orizzonte e promuove l’accesso e la condivisione dei dati in generale, cercando di bilanciare le esigenze del mercato con i diritti degli utenti.
Data Act e DGA: il ruolo dei servizi di intermediazione dei dati nell’ambito del Data Act
Oltre al GDPR, il Data Act si integra altresì con il Data Governance Act, primo risultato della strategia europea per i dati, divenuto applicabile a settembre 2023.
Mentre il Data Governance Act mira a rafforzare la fiducia nei meccanismi di condivisione volontaria dei dati, il Data Act, come già specificato, fornisce un quadro giuridico chiaro per l’accesso e l’utilizzo dei dati, delineando obblighi specifici per produttori e fornitori di prodotti e servizi IoT. Entrambi i regolamenti operano in un ecosistema che valorizza il potenziale dei dati, dove gli intermediari dei dati, disciplinati dal Data Governance Act, giocano un ruolo chiave. Questi intermediari, ad esempio, possono facilitare la connessione tra produttori e assicuratori o tra diverse compagnie assicurative, oppure gestire le richieste di portabilità in modo coordinato, come nei data trust.
Il considerando 26 del Data Act riconosce l’importanza della sinergia tra i due regolamenti, suggerendo che la portabilità dei dati possa essere realizzata direttamente dall’utente, su richiesta, o attraverso servizi di intermediazione. Tali servizi potrebbero favorire l’economia dei dati, instaurando relazioni tra utenti, destinatari dei dati e terzi, e aiutando gli utenti a esercitare i loro diritti, ad esempio garantendo l’anonimizzazione o l’aggregazione dei dati. Tuttavia, i considerando 21 e 29 sembrerebbero indicare che le richieste di portabilità debbano essere effettuate tramite account utente e meccanismi di identificazione, rafforzando il controllo di produttori e fornitori sui dati e limitando l’espansione degli strumenti di intermediazione come i Personal Information Management Systems (PIMS).
Il vero collegamento tra le norme, in realtà, si cela nell’art. 33 del Data Act, che stabilisce requisiti di interoperabilità per i servizi di condivisione dei dati e gli spazi comuni di dati, rimandando a futuri atti della Commissione per l’adozione di specifiche tecniche. Questo articolo rappresenta l’espressione della strategia europea volta a creare spazi comuni di condivisione dei dati, caratterizzati da regole certe e operatori qualificati. Il considerando 103 del Data Act, in linea con il considerando 27 del Data Governance Act, descrive questi spazi come “quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati”, con finalità che spaziano dallo sviluppo di nuovi prodotti alla ricerca scientifica.
In questo contesto, dunque, il Data Act è solo il primo passo di un progetto normativo più ampio, che nel settore assicurativo troverà ulteriore sviluppo con il Regolamento per l’accesso ai dati finanziari (FIDA), ad esempio, presentato dalla Commissione il 28 giugno 2023.
Questo regolamento si pone come normativa verticale, complementare a GDPR e Data Governance Act, e introduce un obbligo giuridico di condividere, su richiesta del cliente, dati personali e non personali, garantendo al contempo la fattibilità tecnica dell’accesso e della condivisione tra servizi finanziari.
L’allineamento del Data Act con le discipline IP, di segreto industriale, antitrust e di diritto dei consumatori
Il Data Act si inserisce altresì in un quadro normativo che coinvolge anche la tutela della proprietà intellettuale (IP), i segreti commerciali, le norme antitrust e i diritti dei consumatori. In materia di proprietà intellettuale, il Data Act non pregiudica i diritti di autore e l’enforcement delle norme IP, compresi quelli relativi al copyright nel mercato digitale. Tuttavia, interviene modificando la direttiva sul diritto sui generis dei database: tale diritto non può essere invocato per impedire l’accesso ai dati generati da prodotti connessi o servizi correlati, evitando che i titolari di tali dati possano di fatto rivendicarne l’esclusività, rivelandosi cruciale per garantire l’effettività dei diritti di accesso e portabilità dei dati previsti dal Data Act.
Data Act e segreti commerciali
Per quanto riguarda i segreti commerciali, il Data Act adotta la definizione stabilita dalla direttiva europea 2016/943, senza pregiudicarne in alcun modo le previsioni di tutela. I segreti commerciali devono essere identificati preventivamente e sottoposti ad accordi di riservatezza con l’utente o terze parti, attraverso strumenti come clausole contrattuali standard elaborate dalla Commissione, protocolli di accesso ristretto, accordi di riservatezza e codici di condotta tecnici. In casi eccezionali, quando tali accordi non sono presenti, il titolare dei dati può sospendere la condivisione, ma deve fornire una giustificazione scritta all’utente e notificare l’autorità competente, dimostrando un rischio concreto di danno economico o un pregiudizio serio e irreparabile, ad esempio connesso alla cybersicurezza. In materia di portabilità, la divulgazione di segreti commerciali è consentita solo se strettamente necessaria per il raggiungimento degli obiettivi concordati tra utente e terzi, previa definizione delle misure di protezione della riservatezza. Se il titolare dimostra il rischio di gravi danni economici, può rifiutare la richiesta di accesso, motivando tale decisione e informando le autorità competenti. Questo può includere considerazioni sulla protezione dei segreti in paesi terzi o sull’unicità del prodotto connesso.
Il fronte antitrust
Sul fronte antitrust, il Data Act non vieta ovviamente lo sviluppo di prodotti basati sui dati, riconoscendo che ciò è fondamentale per incentivare l’innovazione, tuttavia, stabilisce chiare limitazioni per evitare distorsioni di concorrenza nei confronti di prodotti o servizi simili, in conformità con i principi antitrust dell’UE. Ad esempio, agli utenti o ai terzi è vietato usare i dati ottenuti per sviluppare prodotti in concorrenza con quelli del titolare o per trasmettere tali dati a terzi con simili finalità. Anche i titolari non possono utilizzare i dati per ottenere informazioni economiche o di produzione degli utenti in modo da compromettere la loro posizione sul mercato. Le finalità legittime per l’uso dei dati possono includere, in certi casi, l’ingegneria inversa, purché conforme ai requisiti UE, come ad esempio per la manutenzione di un prodotto connesso.
Le restrizioni nei confronti dei gatekeeper
Il Data Act stabilisce, inoltre, restrizioni precise nei confronti dei gatekeeper, come definiti dal Digital Markets Act (DMA). Tali soggetti, data la loro capacità di raccogliere e trattare grandi volumi di dati, non possono beneficiare dei diritti di accesso ai dati previsti dal Data Act, evitando così che la loro posizione dominante sia ulteriormente rafforzata. I terzi che accedono ai dati su richiesta dell’utente non possono condividerli con i gatekeeper, anche se nulla impedisce loro di utilizzare i servizi di trattamento di dati offerti da tali soggetti, purché ciò avvenga in modo conforme alle normative. Gli accordi volontari tra gatekeeper e titolari dei dati restano comunque possibili.
Data Act e tutela dei consumatori
Infine, in ambito di tutela dei consumatori, il Data Act rafforza le norme sulla trasparenza, prevedendo che qualsiasi clausola che limiti o escluda i diritti degli utenti ai sensi del Data Act sia considerata vessatoria e, pertanto, invalida. Inoltre, la normativa non si applica in settori specifici come la prevenzione e la repressione dei reati, la sicurezza pubblica e la difesa nazionale, né agli accordi volontari di condivisione dati tra soggetti pubblici e privati.
Focus: i passaggi tra servizi di trattamento dei dati (Cloud-Edge) ai sensi del Data Act
Il Data Act stabilisce le condizioni per facilitare i passaggi tra servizi di trattamento dei dati, come il cloud e l’edge computing, e garantire ai clienti una maggiore flessibilità nella gestione dei propri dati.
I fornitori di servizi di trattamento dei dati devono permettere ai clienti di trasferire facilmente i loro dati a un altro fornitore che offra lo stesso tipo di servizio, a un’infrastruttura TIC locale, o persino di utilizzare più fornitori contemporaneamente.
Il processo di trasferimento fonda sui principi di cooperazione in buona fede, con l’obiettivo di garantire un passaggio efficiente e mantenere la continuità operativa. Un esempio di questo è la riduzione della velocità di trasferimento dei dati all’uscita per evitare una discontinuità nel servizio. I fornitori di servizi di trattamento dei dati con risorse scalabili ed elastiche (come server, reti e risorse virtuali) devono, inoltre, fornire il supporto necessario affinché i clienti raggiungano un’equivalenza funzionale nel nuovo servizio di destinazione, offrendo assistenza tecnica, documentazione e strumenti necessari per il passaggio.
Per il medesimo scopo, inoltre, il Data Act richiede che i fornitori di servizi rendano disponibili interfacce aperte, che devono fornire informazioni sufficienti per lo sviluppo di un software compatibile con i servizi stessi e rispettare specifiche comuni di interoperabilità o norme armonizzate entro 12 mesi dalla loro pubblicazione nell’archivio centrale dell’Unione Europea.
Tuttavia, i fornitori non sono obbligati a sviluppare nuove tecnologie o a condividere risorse digitali che siano protette da diritti di proprietà intellettuale o segreti commerciali. Inoltre, non devono compromettere la sicurezza e l’integrità dei dati del cliente durante il passaggio.
Per eliminare ostacoli di tipo commerciale e contrattuale che impediscono i passaggi tra servizi, il Data Act vieta alcune clausole contrattuali che, tra le altre cose, non permettono la risoluzione del contratto dopo il termine di preavviso, la stipula di nuovi contratti con altri fornitori, il trasferimento dei dati esportabili, ed il conseguimento dell’equivalenza funzionale. L’equivalenza funzionale riguarda il mantenimento di un livello minimo di funzionalità nel nuovo ambiente di trattamento dei dati, fornendo risultati comparabili a quelli del servizio precedente. Tuttavia, il fornitore di servizi di origine non ha accesso al sistema del nuovo fornitore e quindi non è tenuto a ricostruire l’intero servizio, ma solo a supportare il cliente nel passaggio.
I contratti devono includere specifiche condizioni sul processo di passaggio, come l’autorizzazione del cliente per il trasferimento, il mantenimento della continuità operativa durante il passaggio e la fornitura di informazioni sui rischi per la continuità dei servizi.
Inoltre, altre disposizioni riguardano la durata del preavviso per il passaggio (massimo due mesi), l’elenco delle categorie di dati trasferibili e la cancellazione dei dati al termine del processo.
Il Data Act prevede, infine, anche la possibilità di utilizzare più servizi di trattamento dati in parallelo (multi-cloud), senza interrompere i contratti esistenti.
Questo approccio consente ai clienti di sfruttare le funzionalità complementari offerte da diversi fornitori. Le disposizioni previste per il passaggio, come la continuità operativa, la sicurezza, e la specifica delle categorie di dati trasferibili, si applicano anche all’uso parallelo. Tuttavia, a differenza del passaggio, l’uso parallelo è continuativo e non un processo una tantum, con la possibilità di mantenere delle tariffe seppur nei limiti dei costi effettivi.
