L’Unione europea vive ormai da alcuni anni un periodo florido di produzione normativa al servizio della creazione di un mercato unico basato sulla libera circolazione dei dati (personali e non). Infatti, dal 2020, anno di avvio della Strategia europea in materia di dati (European Data Strategy) e della Stratega per la finanza digitale (Digital Finance Strategy), si sono susseguiti senza sosta i lavori per la definizione di norme di regolazione della raccolta, gestione e circolazione dei dati.
Il 28 giugno 2023 è stato raggiunto un altro importante traguardo, infatti, è stato finalizzato un accordo politico tra Parlamento europeo e Consiglio dell’UE in merito al Data Act ed è stata pubblicata la proposta di un regolamento dedicato alla creazione di un framework per l’accesso ai dati finanziari (Financial Data Access – FIDA).
Data act: c’è l’accordo tra Parlamento e Consiglio UE, ma non mancano le voci critiche
Indice degli argomenti
Il Data Act e le condizioni per creare valore grazie ai dati
La strategia europea in materia di dati è costituita, nella sostanza, dal Data Governance Act (DGA) e dal Data Act. Mentre il DGA, in vigore da giugno 2022, crea i processi e le strutture per facilitare la condivisione dei dati da parte di aziende, individui e settore pubblico, il Data Act chiarisce chi può creare valore dai dati e a quali condizioni.
L’accordo politico raggiunto il 28 giugno 2023 proprio in merito al Data Act sarà soggetto all’approvazione formale dei co-legislatori e una volta adottato, il regolamento entrerà in vigore il 20° giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’UE, diventando applicabile 20 mesi dopo l’entrata in vigore.
L’obiettivo del regolamento
L’obiettivo del Data Act è rimuovere gli ostacoli all’accesso ai dati sia per i soggetti privati che pubblici, sbloccando il valore dei dati generati dagli oggetti connessi all’Internet of Things, i quali rappresentano una delle aree di innovazione chiave nei prossimi decenni.
Quindi, sono state definite misure che consentono agli utenti di dispositivi connessi di accedere ai dati generati da tali dispositivi (anche quando sono incorporati in un bene immobile) e dai servizi ad essi collegati. Gli utenti potranno condividere i dati con terzi, dando un impulso all’innovazione e allo stesso tempo i produttori saranno incentivati a investire nella generazione di dati di alta qualità.
Un ulteriore elemento di rilevanza riguarda le misure per garantire agli utenti un maggiore controllo sui loro dati, nello specifico incentivando una maggiore interoperabilità tra i servizi di trattamento dei dati (es. i servizi cloud) e garantendo agli utenti un diritto alla portabilità rafforzato.
PMI da proteggere
Il regolamento presenta anche diverse misure di protezione per le PMI, per favorire negoziati equi tra le piccole e medie imprese e le controparti con maggiore potere contrattuale. A tal fine la Commissione europea svilupperà e raccomanderà clausole contrattuali standard non vincolanti, che aiuteranno le imprese a negoziare contratti di condivisione dei dati equi ed equilibrati.
In merito agli enti pubblici, invece, sono disposte misure per l’accesso ai dati del settore privato per l’utilizzo in caso di situazioni eccezionali, come le emergenze pubbliche (si pensi ad una pandemia) o se la mancanza di dati disponibili impedisce all’ente pubblico o all’istituzione, all’agenzia o all’organismo dell’Unione di svolgere un compito specifico di interesse pubblico esplicitamente previsto dalla legge.
Infine, la norma dedica un intero Capo alle garanzie per i dati non personali in contesti internazionali, le quali mirano ad evitare i trasferimenti di dati illeciti così come anche l’accesso governativo a dati non personali detenuti nell’Unione (questa disposizione è un evidente eco alle vicissitudini relative ai trasferimenti extra UE di dati personali, nate dalla Sentenza Schrems II).
Data Governance Act, via libera dal Consiglio UE alla nuova legge sul riutilizzo dei dati
La nuova proposta di un framework per l’accesso ai dati finanziari
Il Financial Data Access contribuisce all’impegno stabilito nella Strategia per la finanza digitale del 2020 di creare uno spazio europeo dei dati finanziari. Nel complesso, questa iniziativa dedicata al settore finanziario si inserisce nella più ampia Strategia europea sui dati e si basa sui principi chiave per l’accesso e il trattamento dei dati stabiliti nelle relative iniziative legislative, come il Data Governance Act, il Digital Markets Act e il Data Act.
L’obiettivo dichiarato è favorire la fornitura di prodotti e servizi finanziari più innovativi in modo da stimolare la concorrenza nel settore finanziario. A tal fine la proposta di regolamento stabilisce un quadro di riferimento per l’accesso ai dati (personali e non) dei clienti individuali e commerciali con riferimento ad un’ampia gamma di servizi finanziari. Viene definito un approccio incentrato sul cliente, garantendo che tutti i consumatori e le imprese dispongano di strumenti efficaci per controllare l’uso dei loro dati finanziari.
I dati in questione
Le categorie di dati oggetto della proposta riguardano dati che gli istituti finanziari tipicamente raccolgono, conservano ed elaborano nell’ambito della loro normale interazione con i clienti. Pertanto, si tratta di dati personali relativi a persone fisiche identificate o identificabili ma anche di dati non personali relativi a entità commerciali o a caratteristiche di prodotti finanziari.
In termini di tipologie specifiche di dati dei clienti, il regolamento include mutui, prestiti e conti correnti, risparmi, investimenti in strumenti finanziari, prodotti di investimento basati su assicurazioni, crypto asset, pensioni, prodotti assicurativi “non vita” eccetera.
La proposta non riguarda alcuni dati relativi ai clienti per i quali un’analisi complessiva costi-benefici ha rilevato che i rischi di esclusione finanziaria possono superare i potenziali benefici. Ciò riguarda in particolare le valutazioni del merito creditizio delle persone fisiche, le assicurazioni sulla vita, sulla malattia e sulla salute.
Per i clienti vi sarà la possibilità, ma non l’obbligo, di condividere i propri dati con gli utenti dei dati (ad esempio, istituti finanziari o società fintech) in un formato sicuro e machine-readable per ricevere nuovi prodotti e servizi finanziari e informativi più economici e migliori basati sui dati (ad esempio, strumenti di comparazione dei prodotti finanziari, consulenza personalizzata online). Quindi, processi onerosi come il confronto dei servizi o il passaggio a un nuovo prodotto si auspica possano diventare più agevoli e meno costosi.
Riconoscimento facciale: l’EDPB detta i limiti al trattamento dati da parte delle forze dell’ordine
Per quanto non sarà obbligatorio per i clienti la messa a disposizione dei dati, i titolari di tali dati (ad esempio, gli istituti finanziari) avranno invece l’obbligo di mettere questi dati a disposizione degli utenti (ad esempio, altri istituti finanziari o imprese fintech) previa autorizzazione del cliente, predisponendo l’infrastruttura tecnica necessaria.
I titolari dovranno anche garantire ai clienti il pieno controllo su chi accede ai loro dati e per quale scopo, per aumentare la fiducia nella condivisione dei dati, anche attraverso dei cruscotti di autorizzazione dedicati (permission dashboard) attraverso cui i clienti potranno gestire le autorizzazioni fornite agli utenti dei dati.
L’evoluzione del panorama normativo sui dati
Il panorama normativo relativo ai dati (personali e non) sta vivendo una considerevole evoluzione, la quale è iniziata nel 2016 con l’entrata in vigore del GDPR (Regolamento UE 2016/679) e proseguita nel 2018 con il regolamento sulla libera circolazione dei dati non personali (Regolamento UE 2018/1807).
L’ormai imminente pubblicazione del Data Act (che deve ancora essere adottato dai co-legislatori) e la nuova proposta relativa al framework per l’accesso ai dati finanziari conferma la tendenza, che continuerà ad evolvere, di disciplinare settori e mercati sempre più specifici, sulla base di regole ferree di riferimento (es. GDPR).
È auspicabile che queste normative possano creare un framework di regole virtuose che possano essere considerate come riferimento anche da paesi extra europei, così come è accaduto con il GDPR. In questo modo si rafforzerebbe il ruolo dell’Unione europea di trend setter, consolidando allo stesso tempo i presidi per favorire ed accogliere l’innovazione.
