CIRCOLAZIONE DATI

Data Act, forte spinta del Consiglio UE per arrivare al testo definitivo: quali novità

Il Data Act è uno dei testi più importanti del pacchetto normativo UE dedicato ai dati, così come l’IA Act. Una spinta propulsiva verso la definitiva approvazione arriva ora dalla Presidenza semestrale di turno del Consiglio UE, ovvero quella della Repubblica Ceca. Ecco le novità in discussione

25 Lug 2022
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Uno dei testi più importanti del c.d. pacchetto normativo UE dedicato ai dati – inquadrato complessivamente nel piano “Shaping Europe’s digital future” della strategia europea – è certamente il Data Act (ovvero norme armonizzate sull’accesso equo ai dati e sul loro utilizzo).

Questo testo, in via di definizione ultima, trova nuova spinta per cercare di arrivare, in breve tempo, al termine del suo percorso ed essere approvato dalle istituzioni UE, cercando un giusto compromesso tra il desiderio di rendere i dati digitali più liberi di circolare possibile, con maggiore trasparenza e, dall’altro lato, preservando in varia misura i diritti spettanti ai produttori dei dispositivi (a loro volta generanti i dati basati sull’utilizzo compiutone dagli utenti).

In linea con quanto accaduto recentemente ai testi di Digital Markets Act e Digital Services Act, circa i quali si è trovato recentemente accordo politico e approvazione parlamentare definitiva, si vuole arrivare in breve tempo alla chiusura del cerchio.

La spinta propulsiva e forse definitiva verso il Data Act (così come verso l’IA Act sull’intelligenza artificiale, altro obiettivo dichiarato) proviene dalla Presidenza semestrale di turno del Consiglio UE, ovvero quella della Repubblica Ceca.

Presidenza che è arrivata in sole due settimane a un nuovo testo di compromesso tra le varie istanze in gioco, essendo (prevedibilmente) un intreccio normativo di delicati equilibri e contrappesi, inevitabili quando si parla di maggiore condivisione sul mercato dei dati.

DSA e DMA approvati: ecco cosa cambia per le piattaforme online

Tessera fondamentale del puzzle UE per la libera circolazione dei dati

Come già segnalato, si tratta di un testo destinato a incastrarsi nei tanti che compongono la nuova strategia europea dei dati, mirata al 2030: ricordiamo che vi conteggiamo il pluri-rimandato Regolamento e-Privacy, l’IA Act, il Digital Markets Act, il Data Governance Act e il Digital Services Act.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

Se è vero che il GDPR menziona, tra le sue finalità, anche quella di favorire la libera circolazione dei dati (personali), è solo con i nuovi testi regolamentari del pacchetto dati che forse si arriverà a promuovere davvero tale circolazione e ad estenderla a tutti i tipi di dati.

In teoria, gli interventi sui dati – se personali – dovrebbero essere sempre in armonia con i principi base di tutela garantiti dal GDPR, che funge da uno dei pilastri complessivi su cui si reggono, purtroppo non sempre in maniera pienamente coordinata e terminologicamente cristallina, le nuove proposte.

Entrano in gioco nondimeno altre normative, come il Reg. 2018/1807 sulla circolazione dei dati non personali, le norme di protezione dell’IP e dei segreti commerciali.

Anche il Data Act, tra gli altri, risulta una proposta di regolamento focalizzata sui “dati” in senso ampio, personali e non che siano, “importando” alcuni istituti e concetti dall’alveo del GDPR nel seno della nuova proposta complessiva e muovendo passi di intervento sui tangenti temi delle privative industriali.

Il testo è stato proposto in bozza per la prima volta il 23 febbraio 2022, a complemento del Data Governance Act (risalente al 2020 e approvato in maggio dal Consiglio UE), modellato su auspicatissime pratiche di condivisione dei dati tra imprese e P.A. da basarsi sullo sfruttamento dei dati generati soprattutto da dispositivi come quelli IoT (Internet of Things).

Il testo sulla “governance”, precisamente, dovrebbe disegnare processi e strutture di utilizzo dei dati; il testo sostanziale sui “dati” dovrebbe d’altro canto stabilire chi può sfruttare i dati e a quali condizioni.

Si vuole favorire la generazione di un mercato “aperto” dei dati, attualmente stagnante perché “chiuso” da logiche proprietarie, a favore sia delle PMI che della P.A.

Rimandiamo ad altra sede per approfondimenti sul testo complessivo del Data Act. Ci limitiamo qui a rammentare che dovrebbe risolvere molte delle attuali ambiguità sull’utilizzo dei dati prodotti dai dispositivi, specie lato utenti e terzi interessati ai dati, così che sia facilitato l’accesso, l’utilizzo e la costruzione di valore sui dati stessi – in maniera più chiara, generale ed equa, non ristretta ai produttori dei dispositivi stessi. Estendendo peraltro la portabilità dei dati, partendo dal GDPR, a favore dell’interoperabilità degli ambienti digitali.

Non da ultimo, a corollario di tutto ciò il testo interviene sul diritto sui generis – spettante ai costitutori di banche dati che vi abbiano investito, a partire dalla Direttiva 96/9/CE – proprio al riguardo dei database creati tramite i dispositivi.

Si vuole fugare il rischio d’uso della proprietà intellettuale come scudo per limitare la concorrenza, la ricerca e la conoscenza incentrati sui dati, anche per generale interesse pubblico.

Le novità in discussione da parte della Presidenza ceca della UE

Citando proprio il GDPR e la necessità di maggior coordinamento normativo, tra le modifiche proposte dalla Presidenza ceca, troviamo a grandi linee: l’armonizzazione delle definizioni e della terminologia del GDPR col testo del Data Act, oltre a maggiori esenzioni per le PMI, una più netta divisione tra le disposizioni B2B e B2C, una maggior tutela per il know-how aziendale e il divieto espresso di utilizzo dei dark pattern verso gli utenti.

Vediamo alcuni dei dettagli trapelati circa le novità delle ultime settimane:

  1. definizioni normative: i “dati” oggetto del provvedimento sono quelli – personali e non, ora espressamente definiti nel testo – che sono generati dall’utilizzo di un prodotto (o di un servizio) presente nel territorio dell’UE, correlato all’utente (business o consumatore che sia – includendovi ora anche la P.A.) del prodotto o servizio stesso; l’esempio tipico è quelli dei dati generati dai dispositivi IoT – Internet of Things, come possono esserlo i sensori usati nella domotica; nel nuovo testo, alla definizione di “prodotto” non troviamo più abbinato l’aggettivo “mobile”, essendo sufficiente un qualsiasi dispositivo in grado di raccogliere o generare dati, potenzialmente comunicandoli esternamente al dispositivo stesso (trovano eccezione espressa SmartTV e speaker audio, vi rientrano invece gli smartwatch);
  2. GDPR: tornando all’ambito privacy, sono stati richiamati e introdotti termini noti come “consenso” e “interessato”, per reintegrare l’armonia concettuale e normativa che dovrebbe intercorrere tra i vari testi e che finora si era persa (in particolare come puntualizzato dall’EDPS ed EDPB nelle loro analisi congiunte nel parere 2/2022);
  3. diritto di accesso e portabilità dei dati: gli utenti di dispositivi connessi (o di servizi correlati) devono poter accedere (anche tramite delega a terzi) ai dati che hanno contribuito a generare, ora includendovi i preziosi metadata (dati sui dati, come possono essere date e orari di creazione o modifica di un file); by default l’accesso deve essere gratuito, cui si allaccia una portabilità esercitabile con dati da ricevere in un formato strutturato, comunemente usato e leggibile da una macchina (vi ritroviamo i requisiti dettati dall’art. 20 GDPR);
  4. divieto di dark pattern: pur lasciando libertà di contrarre tra le parti, tra le novità troviamo la proibizione espressa di “dark pattern”, già noti in ambito privacy e di tutela del consumatore – cioè i tentativi di costringere, ingannare o manipolare gli utenti tramite varie tecniche – da parte dei produttori circa gli appena visti diritti di accesso e di portabilità, ora estesi perché riconosciuti anche a terzi (diversi dall’utente) di cui potrebbero essere raccolti i dati (pensiamo ad es. ai familiari dell’utente, presenti nello stesso ambiente di raccolta dati dei sensori); quindi gli utenti non potranno essere “circuiti” al fine di farli rinunciare o di limitarne tali importanti diritti, tramite consensi o comunque su un piano di imposizione contrattuale;
  5. garanzie per l’utente: vige il divieto per il destinatario dei dati dal fornire informazioni incomplete o di utilizzare i dati per sviluppare un prodotto concorrenti, anche verso utenti che possono aver trasmesso i dati a terzi; peraltro l’utente potrebbe richiedere che i dati vengano elaborati in un ambiente informatico diverso da quello del produttore; nel caso in cui un dispositivo non trasmetta dati all’esterno, il produttore non sarebbe costretto ad archiviarne i dati altrove, lasciandoli nel dispositivo – sempre che ciò sia proporzionato all’uso previsto e salvo diversa opinione degli utenti (ecco il pericolo di potenziale rinunce, viziate dai predetti dark pattern);
  6. condivisione obbligatoria dei dati: ora è stata ristretta ai soli rapporti B2B, esentandone le PMI (a fronte di determinati requisiti, ad es. per i prodotti che sono sul mercato da meno di un anno); nei rapporti B2B, si devono fornire – su richiesta della società che riceve i dati – solo alcune informazioni sul livello di accesso fornito, tale da non essere discriminatorio; è previsto un “premio”, cioè un compenso economico per la messa a disposizione dei dati, limitata in genere per le PMI ai costi effettivamente sostenuti circa la riproduzione, archiviazione e diffusione dei dati, escludendone la raccolta o la produzione dei dati;
  7. terzi coinvolti dall’utente: si potrà, da parte degli utenti, delegare o cedere il diritto di accesso ai dati a terzi – ora si afferma che i terzi in parola dovranno godere di condizioni di accesso “eque, ragionevoli, non discriminatorie e trasparenti”; nell’ipotesi di dissenso tra le parti, le parti potrebbero concordare volontariamente di rivolgersi a un organo di risoluzione stragiudiziale delle controversie (ADR), di loro scelta, in qualsiasi paese dell’UE; altra novità concerne l’obbligo per questi organismi di risoluzione di pubblicare una relazione annuale (descrivente il numero di controversie ricevute, i loro esiti e i tempi medi, e una valutazione dei problemi comuni con raccomandazioni su come evitarli);
  8. knowhow aziendale segreto: gli utenti o terzi potrebbero essere invitati a preservare la segretezza dei dati che includono tale know-how (quindi mantenendo il segreto, a condizioni da specificare contrattualmente da parte del produttore) – precisando che ciò non può costituire, comunque, un motivo per rifiutare l’accesso dell’utente ai dati; è sempre onere del soggetto che comunica i dati precisare se contengono tali segreti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 5