Il Data Act (Regolamento Ue 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo) rappresenta l’ultimo e importante tassello a completamento della strategia europea in materia di dati.
Si ricorda, infatti, che la strategia europea sui dati è caratterizzata ulteriori Regolamenti destinati a dare una svolta al mercato dei dati, ossia Digital Services Act, Digital Markets Act e Data Governance Act.
L’importanza di tale strategia deriva dal fatto che essa mira a creare un mercato unico dei dati che garantisca la competitività globale e la sovranità dei dati dell’Europa; ciò porterà alla creazione di spazi comuni europei di dati, garantendo che più dati diventino disponibili per l’uso nell’economia e nella società, mantenendo al contempo il controllo delle aziende e degli individui che generano i dati[1].
Una importante novità relativa alla legge dei dati è rappresentata dall’emanazione, il 6 settembre scorso, da parte della Commissione europea, di alcune FAQ, ossia di domande frequenti sulla legge sui dati, le quali esplicano alcuni punti fondamentali del Data Act e delle quali si parlerà in un paragrafo dedicato.
Indice degli argomenti
Data Act: ambito soggettivo, vantaggi, obblighi
Il Data Act stabilisce norme armonizzate per l’utilizzo e l’accesso equo ai dati –prevalentemente non personali – derivanti dall’interazione degli utenti con dispositivi e servizi dell’IoT. Tale Regolamento chiarisce chi è legittimato ad accedere a questi dati e a quali condizioni.
Inoltre, il Data Act elimina gli ostacoli all’accesso ai dati per gli operatori pubblici e privati, incentivando ad investire nella generazione di dati con la garanzia di un controllo equilibrato sui dati per coloro che li creano; in più tale Regolamento garantisce l’equità nell’ambiente digitale, stimola un mercato dei dati competitivo, aprirà più opportunità per un’innovazione data driven e renderà i dati più accessibili a tutti per dare a consumatori e aziende più controllo sui dati che creano.
Dunque, il Data Act consente agli utenti di prodotti connessi[2] (ad es. auto connesse, dispositivi medici e fitness, macchinari industriali o agricoli) e relativi servizi[3] (cioè qualsiasi cosa che possa far sì che un prodotto connesso si comporti in modo specifico, come un’app per regolare la luminosità delle luci, o per regolare la temperatura di un frigorifero) di accedere ai dati che co-creano utilizzando i prodotti connessi/servizi correlati[4].
Di seguito, alcuni esempi di prodotti connessi e di servizi correlati forniti dalla Commissione europea[5]:
- prodotti connessi: prodotti di consumo come ad esempio automobili connesse, dispositivi di monitoraggio della salute, dispositivi per la casa intelligente, altri prodotti come ad esempio aerei, robot, macchine industriali;
- servizio correlato: si pensi ad un utente che acquista una lavatrice e installa un’applicazione che consente di misurare l’impatto ambientale del ciclo di lavaggio in base ai dati dei diversi sensori all’interno della macchina e regola il ciclo di conseguenza. Questa applicazione sarebbe considerata un servizio correlato.
Per quanto riguarda l’ambito di applicazione soggettivo, ai sensi dell’art. 1 par. 3, il Data Act si applica a:
- fabbricanti di prodotti connessi immessi sul mercato Ue e fornitori di servizi correlati indipendentemente dal luogo di stabilimento di fabbricanti e fornitori;
- titolari di dati[6] che mettono i dati a disposizione di destinatari nell’Ue;
- destinatari di dati in Ue nei confronti dei quali i dati sono messi a disposizione;
- enti pubblici, istituzioni, agenzie o organismi Ue che richiedono la disponibilità dei dati ai titolari laddove vi siano esigenze eccezionali per la realizzazione di compiti di interesse pubblico e ai titolari che forniscono dati in risposta a tale richiesta.
I vantaggi del Data Act
Circa i vantaggi che il Data Act comporta bisogna considerare che quando si acquista un prodotto connesso che genera dati, spesso non è chiaro chi può fare cosa con tali dati (ad esempio, nei contratti, è spesso stipulato che tutti i dati generati sono esclusivamente raccolti e utilizzati dal produttore del prodotto il cui uso genera dati).
Con il Data Act si ha, invece, l’estensione del diritto alla portabilità dei dati[7] (diritto introdotto con il GDPR con riferimento ai dati personali) a qualsiasi datogenerato dall’uso di macchine e dispositivi IoT.
Ciò significa che grazie al Data Act si può chiedere a una determinata azienda di trasferire i dati a un’altra azienda che offre un analogo servizio (si parla non a caso di diritto alla portabilità rafforzato).
Gli obblighi imposti dal Data Act
Allo scopo di realizzare tutti gli obiettivi sopracitati, il Data Act fissa una serie di obblighi e adempimenti in capo ai diversi attori coinvolti. Nello specifico:
- obbligo di rendere accessibili all’utente i dati generati dall’uso di prodotti connessi o di servizi correlati: prodotti connessi sono progettati e fabbricati e i servizi correlati sono forniti in modo tale che i dati generati dal loro uso siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro e diretto (art. 3 par. 1 Data Act – Obbligo di rendere accessibili all’utente i dati del prodotto e dei servizi correlati);
- diritto degli utenti di accedere ai dati generati dall’uso di prodotti connessi o di servizi correlati e di utilizzarli: qualora l’utente non possa accedere direttamente ai dati a partire dal prodotto connesso o dal servizio correlato, i titolari dei dati mettono prontamente a disposizione dell’utente i dati, nonché i pertinenti metadati necessari per interpretare e utilizzare tali dati senza indebito ritardo (art. 4 par. 1 Data Act – Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio correlato);
- diritto di condividere i dati con i terzi: su richiesta di un utente, il titolare dei dati mette a disposizione di terzi i dati generati dall’uso di un prodotto o di un servizio correlato, nonché i pertinenti metadati necessari a interpretare e utilizzare tali dati senza indebito ritardo e con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico (art. 5 par. 1 Data Act – Diritto dell’utente di condividere i dati con terzi);
- obblighi dei terzi che ricevono dati su richiesta dell’utente:un terzo tratta i dati messi a sua disposizione a norma dell’articolo 5 solo per le finalità e alle condizioni concordate con l’utente. Il terzo cancella i dati quando non sono più necessari per la finalità concordata, salvo diverso accordo con l’utente relativamente ai dati non personali (art. 6 par. 1 Data Act – Obblighi dei terzi che ricevono dati su richiesta dell’utente);
- obbligo dei titolari dei dati di rispettare le condizioni per la messa a disposizione dei dati ai destinatari: il titolare mette i dati a disposizione di un destinatario a condizioni eque, ragionevoli e non discriminatorie in modo trasparente, conformemente alle disposizioni del Data Act (art. 8 par. 1 Data Act – Condizioni alle quali i titolari dei dati mettono i dati a disposizione dei destinatari dei dati);
- obblighi nell’ambito della messa a disposizione dei dati a enti pubblici e istituzioni, agenzie o organismi dell’Ue sulla base di necessità eccezionali:il titolare di dati è obbligato a mettere i dati a disposizione di un ente pubblico, istituzione, agenzia o organismo dell’Unione che dimostri la necessità eccezionale di utilizzare taluni dati (art. 14 par. 1 Data Act – Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali);
- obbligo del titolare di soddisfare le richieste di dati:il titolare di datiè obbligato a mettere a disposizioni i dati nei confronti dell’ente pubblico, della Commissione, della Banca Centrale europea, dell’Organismo dell’Unione richiedenti senza indebito ritardo e tenendo conto delle misure tecniche, giuridiche, organizzative necessarie (art. 18 par. 1 Data Act, Soddisfacimento delle richieste di dati).
Le FAQ della Commissione europea
Allo scopo di sciogliere i dubbi interpretativi derivanti dallo studio delle norme del Data Act, il 6 settembre scorso, la Commissione europea ha pubblicato delle FAQ sulla legge sui dati.
In primo luogo, le FAQ chiariscono i rapporti intercorrenti tra il GDPR e il Data Act affermando che in alcuni casi, il Data Act integra e completa il GDPR (ad esempio, la portabilità in tempo reale dei dati provenienti dall’Internet-of-Things). In altri casi, il Data Act limita il riutilizzo dei dati da parte di terzi (articolo 6 Data Act). In caso di conflitto tra GDPR e Data Act, prevalgono le norme del GDPR sulla protezione dei dati personali.
Inoltre, vengono date maggiori informazioni sulla definizione di prodotto connesso e di servizio correlato. I prodotti connessi sono oggetti che possono generare, ottenere o raccogliere dati sull’uso, le prestazioni o l’ambiente in cui vengono utilizzati e che possono comunicare questi dati tramite connessione wireless o basata su cavo.
I prodotti connessi si trovano in tutti i settori dell’economia e della società. Comprendono gli elettrodomestici di consumo, i macchinari industriali, i dispositivi multimediali, gli smartphone e i sistemi televisivi (cfr. considerando 14); invece un servizio correlato è un servizio digitale che può essere collegato al funzionamento di un prodotto connesso e che contribuisce alla funzionalità di tale prodotto connesso trasmettendogli dati o comandi (ad esempio, un’app per regolare la luminosità delle luci o la temperatura di un frigorifero).
Due condizioni fondamentali devono essere soddisfatte affinché un servizio digitale possa essere considerato un servizio connesso:
- deve esserci uno scambio di dati bidirezionale/bidirezionale tra il prodotto collegato e il fornitore di servizi e
- il servizio deve riguardare le funzioni, il comportamento o il funzionamento del prodotto collegato.
Le FAQ forniscono un’utile sezione sugli utenti dei dati, i quali vengono definiti come persone fisiche o giuridiche che possiedono un prodotto connesso o a cui sono stati trasferiti temporaneamente i diritti di utilizzo di tale prodotto connesso o che riceve un servizio connesso.
Ciò implica che l’utente abbia un diritto stabile sul prodotto connesso (ad esempio, la proprietà o un diritto derivante da un contratto di affitto o di locazione). Tale sezione fornisce, tra le altre cose, chiarimenti sull’ambito di applicazione del Data Act, sulle modalità di accesso degli utenti ai propri dati. Vi sono, inoltre, apposite sezioni per i titolari di dati e per i terzi.
Molto importante ricordare il tema della tutela delle piccole e medie imprese (PMI) da parte del Data Act. In tal senso, le FAQs specificano che il Capitolo IV del Data Act non si rivolge in modo specifico alle PMI, ma si osserva che dato che le PMI hanno spesso un potere di mercato limitato e posizioni negoziali più deboli, il capitolo IV fornirà un sostegno particolare alle stesse.
Ad esempio, se una PMI ha bisogno di presentare una denuncia o di sollevare una preoccupazione, può rivolgersi al coordinatore dei dati nel proprio Stato membro.
La Commissione europea raccomanda l’adozione di modelli di condizioni contrattuali per la condivisione dei dati che siano destinati ad aiutare le PMI a negoziare meglio.
La Commissione li adotterà nel momento in cui la Data Act inizierà ad essere applicabile (dal 2025).
Conclusioni
Il Data Act rappresenta una importantissima novità per facilitare l’accesso ai dati, garantendo così maggiore equità e più controllo sui dati generati, con la creazione e l’estensione di alcuni diritti già ben delineati in altri contesti (si pensi al diritto alla portabilità “rafforzato”).
Dunque, il Data Act stabilisce norme importanti che necessitano, come sempre, di un contemperamento con le altre disposizioni normative e che, una volta applicabili (dal 12 settembre 2025) genereranno senza dubbio il passo avanti definitivo verso gli obiettivi della strategia digitale europea.
[1] Commissione europea, Una strategia europea per i dati, disponibile al seguente link
[2] Prodotto connesso: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’utente.
[3] Servizio correlato: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto connesso.
[4] Commissione europea, Data Act spiegato, disponibile al seguente link
[5] Ibidem
[6] titolare dei dati: una persona fisica o giuridica che ha il diritto o l’obbligo (conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione) di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato.
[7] Art. 20 GDPR, diritto alla portabilità dei dati: l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, qualora il trattamento sia effettuato in base al consenso o a un contratto e tramite mezzi automatizzati.