Il nuovo Regolamento UE 2023/2854 (“Data Act”) mira a regolamentare la condivisione dei dati generati dai prodotti connessi e dai servizi ad essi correlati, a fornire un quadro normativo chiaro intorno al binomio, spesso contornato da non poca opacità, dati (personali e non) e l’universo dell’Internet of Things (IoT).
Pubblicato in Gazzetta Ufficiale dell’Unione Europea il 22 dicembre dello scorso anno, il Data Act troverà piena applicazione a partire dal 12 settembre 2025.
Altrettanto importante sarà aver compreso come valorizzare i Data Spaces, cioè gli spazi europei dei dati, grazie al Data Act e schiudere così l’economia digitale europea (se data-driven). Il tutto rientra nel piano di Strategic Autonomy Doctrine sposato dall’Unione per la propria sovranità rispetto alla dipendenza da player esteri, incidendo sensibilmente sugli assetti di mercato e approvvigionamento delle risorse.
Giova segnalare che il Data Act si innesta a complemento dell’analogo Data Governance Act (Reg. 2022/868), ove si prevedevano nuove regole per il ri-utilizzo di dati, nuovi soggetti come gli intermediari dei dati e nuovi ambiti come il cosiddetto “altruismo dei dati”.
Nei prossimi paragrafi analizzeremo in breve le principali disposizioni del Data Act, le vaste possibilità di business cui dà accesso e come si interseca proprio col tema dei Data Spaces, pur tra molti interrogativi rilevanti da affrontare, come quelli in ambito di protezione dei dati personali.
Indice degli argomenti
Data Act: ambito applicativo e principali definizioni
Innanzitutto, è importante sottolineare che il Data Act si applica ad una serie di categorie di soggetti indipendentemente dal loro luogo di stabilimento, tra cui:
- i “fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati”;
- i “titolari dei dati che mettono dati a disposizione dei destinatari dei dati nell’Unione”;
- i “fornitori di servizi di trattamento dei dati che forniscono tali servizi a clienti nell’Unione”;
- “i partecipanti agli spazi di dati, i venditori di applicazioni che utilizzano contratti intelligenti e le persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo”.
Se presenti nell’Unione, invece, si applica anche agli “utenti di prodotti connessi e servizi correlati” e ai “destinatari di dati a disposizione dei quali sono messi i dati”.
Di conseguenza risulta cruciale comprendere meglio cosa si intende per una serie di definizioni e categorie in parte nuove al panorama normativo europeo e non solo.
Per “prodotto connesso” si intende “un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente”, “in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo” e “la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’utente”, si pensi, ad esempio, a un dispositivo medico o ai vari prodotti “smart” presenti nelle case di molti di noi.
I “servizi correlati”, invece, sono quei servizi digitali “diversi da un servizio di comunicazione elettronica”, “connessi con il prodotto al momento dell’acquisto” per svolgere determinate funzioni o successivamente per “ampliare, aggiornare o adattare le funzioni del prodotto medesimo” (es. software integrati).
Quanto ai soggetti protagonisti del Data Act, invece, troviamo:
- il titolare dei dati – definizione simile al “titolare del trattamento” di casa al GDPR e che può dare adito a non poche confusioni – il quale è la persona fisica o giuridica, che “ha il diritto o l’obbligo, conformemente al presente regolamento […] di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato”;
- l’utente, ossia la persona fisica o giuridica che possiede un prodotto connesso o che riceve un servizio correlato;
- il destinatario dei dati, ovverosia la persona fisica o giuridica, diversa dall’utente, che agisce per fini connessi alla sua attività, a cui sono messi a disposizione i dati da parte del titolare dei dati (il quale può anche essere un terzo a seguito di una richiesta da parte dell’utente).
Inoltre, è bene precisare che nel Data Act quando si parla di dati si intende “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva”, siano essi dati personali o non personali.
Data Act: principali disposizioni
Il Data Act ha il suo cuore pulsante nei primissimi articoli ed è proprio qui che vogliamo soffermarci.
Infatti, il suo art. 3 impone che i prodotti connessi e i servizi correlati siano progettati e fabbricati in modo tale che i loro dati siano, by design, accessibili all’utente in modo facile, sicuro e gratuito, fatte salve alcune eccezioni a tutela dei titolari dei dati.
Nascono, inoltre, obblighi informativi che andranno a integrarsi o sommarsi a quelli che, in tema di dati personali, debbono già essere rispettati ai sensi degli artt. 13 e 14 GDPR. Infatti, solo a scopo esemplificativo, prima di concludere un contratto di un prodotto connesso, il venditore – che può essere il fabbricante – fornisce all’utente una serie di informazioni, tra cui il tipo, il formato e il volume stimato di dati del prodotto che il prodotto può generare e se tali dati sono archiviati e, in caso positivo, per quanto.
Si badi, se tali dati sono dati personali, gli obblighi del GDPR sono più che mai applicabili e, pertanto, occorre tenere in considerazione i suoi principi, quali la minimizzazione e la limitazione della conservazione e della finalità.
Un altro importante intreccio col GDPR – al quale, si badi, il Data Act cede espressamente il passo in caso di conflitto in quanto è il GDPR la lex specialis – risulta essere lo scenario in cui i dati generati dal prodotto connesso richiesti dall’utente che possiede tale prodotto siano, in tutto o in parte, dati personali di un altro soggetto; in altri termini, se l’utente non è l’interessato (ai sensi del GDPR) i cui dati personali sono richiesti.
Ebbene, in tal caso, i dati personali generati dall’uso di un prodotto connesso o servizio correlato sono messi a disposizione dell’utente dal titolare solo se esiste una valida base giuridica del trattamento ai sensi dell’art. 6 GDPR o se è prevista apposita eccezione ai sensi dell’art. 9 del medesimo GDPR.
Insomma, un bel grattacapo per titolari del trattamento/titolari dei dati che potrebbero trovarsi a navigare con ben poche certezze e con il timore di sanzioni da un lato (GDPR) e dall’altro (Data Act).
La vera forza del Data Act, però, consiste nell’impianto normativo e contrattuale costruito – e che si costruirà – intorno alla condivisione dei dati dei prodotti IoT con i terzi, diversi, quindi, dagli utenti.
Il Regolamento, in questo caso, impone accordi contrattuali tra titolari dei dati e destinatari dei dati tracciando, altresì, confini alquanto precisi in tema di clausole cd. abusive (art. 13) al loro interno e un compenso (art. 20) per la messa a disposizione dei dati nei rapporti tra imprese.
Proprio su questi accordi e su quali saranno le prassi che, inevitabilmente, si formeranno nel mercato si giocherà il successo o meno del Data Act.
Sul punto, infatti, il Regolamento prevede che la Commissione, entro la data di piena applicabilità del Regolamento, formulerà e metterà a disposizione di tutti gli attori coinvolti clausole contrattuali tipo da poter utilizzare all’uopo.
Data Act e i dubbi EDPB-EDPS sui dati personali
Le aree di “pericolo” per i dati (personali) non mancano negli scenari di applicazione del Data Act, come già accennate sopra: ricordiamo che EDPS ed EDPB avevano, peraltro, rilasciato tempo fa il parere congiunto 2/2022 sulla proposta Data Act e risvolti privacy.
In breve, si possono ricordare qui alcuni dei punti già sollevati, ancor più se contestualizzati con l’uso dei dati nei Data Spaces:
- Il Data Act copre una vasta gamma di prodotti e servizi, inclusi quelli dell’IoT, dispositivi medici e assistenti virtuali: vi era preoccupazione per la potenziale condivisione e uso di dati personali particolari ex art. 9 GDPR, come dati sulla salute o biometrici, che potrebbero rientrare nell’ambito di applicazione della proposta senza restrizioni esplicite, ancora più pensando al fatto che anche dati apparentemente non particolari potrebbero – una volta arricchiti e combinati con altri dataset, come accade nei Data Spaces – far inferire dati particolari, senza che siano state adottare le cautele prescritte in merito dalla normativa privacy.
- EDPB e EDPS evidenziavano la necessità di ulteriori misure per assicurare che il Data Act non sottovalutasse la protezione dei dati personali, in particolare che i diritti di accesso, uso e condivisione dei dati non compromettessero la protezione dei dati personali – il testo finale è ora piuttosto denso di richiami e rinvii alla disciplina dei dati personali, però i dubbi si potranno sciogliere solo alla luce della concreta applicazione e sarà tanto più complesso appurarlo negli ecosistemi multi-soggettivi dei Data Spaces.
- EDPB e EDPS esprimevano preoccupazioni riguardo alla legittimità, necessità e proporzionalità dell’obbligo di mettere i dati a disposizione di enti pubblici, in casi eccezionali (potendo così alimentare, tra l’altro, Data Spaces di interesse pubblico), chiedendo definizioni più rigorose delle circostanze che giustificano tale accesso – il che non è del tutto avvenuto, stante un perimetro ancora generico dell’eccezionalità (ai sensi del Considerando 63 “circostanze imprevedibili e limitate nel tempo, a differenza di altre circostanze che potrebbero essere pianificate, programmate, periodiche o frequenti”); un argine pare argomentato dal Considerando 65 ove si rassicura che “una necessità eccezionale può anche derivare da situazioni non di emergenza […] L’ente pubblico dovrebbe dimostrare che i dati sono necessari per l’esecuzione di un compito specifico svolto nell’interesse pubblico esplicitamente previsto dalla legge”; inoltre che (Considerando 72) “in caso di necessità eccezionale connessa a una risposta a un’emergenza pubblica, gli enti pubblici dovrebbero utilizzare, ove possibile, dati non personali. In caso di richieste fondate su una necessità eccezionale non connessa a un’emergenza pubblica, non è possibile richiedere dati personali”; questo si dovrà coordinare, sempre e comunque, all’impiego di corrette basi giuridiche e degli adempimenti ai sensi del GDPR.
- Il Data Act può portare a un controllo frammentato e incoerente dei dati, creando confusione e divergenze negli approcci normativi e il rispetto delle prescrizioni; ciò sarà certamente possibile, in una sovrapposizione di competenze e ambiti sia sanzionatori che di indirizzo che di indagine; in tal senso, le autorità si raccomandavano di designare le autorità di controllo della protezione dei dati come le autorità competenti per monitorare l’applicazione del Data Act e assicurare la conformità con le normative esistenti in materia di protezione dei dati, il che è avvenuto ma in maniera parziale e ambigua – v. art. 37 per cui “Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti. […] Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali” – ergo non è detto che le autorità di controllo privacy siano le uniche a sorvegliare il Data Act, anzi, con quanto ne seguirà quanto a difficoltà di coordinamento e sovrapposizioni; pensiamo un ambito come quello dei Data Spaces che potrebbe dunque trovarsi sorvegliato, indagato e sanzionato da plurime autorità, peraltro diverse Stato per Stato; ricordiamo che quanto a sanzioni il Data Act rimanda alla determinazione degli Stati membri, comunque per determinati capi del testo che coinvolgono i dati personali le autorità applicheranno le note sanzioni pecuniarie, determinate solo nel massimo, dell’art. 83 GDPR.
Altri esperti hanno paventato potenziali usi “paradossali”, inattesi e strumentali di quanto prescritto dal Data Act, e che qui possiamo solo accennare.
Un esempio per tutti: il Data Act (art. 5.3) proibisce espressamente ai gatekeepers (i big players disciplinati dal regolamento Digital Markets Act) di poter essere beneficiari dell’accesso ai dati promosso dal Data Act, anche tramite terze parti.
Ciononostante, l’esclusione dei gatekeeper non impedisce loro di ottenere dati attraverso altri mezzi legali, potendo far leva sul diritto alla portabilità garantito dal GDPR per aggirare l’esclusione. Che il Data Act rischi di avere un impatto limitato sullo strapotere degli attuali giganti dell’economia dei dati? Frustrando così le leve per la creazione di Data Spaces da parte di soggetti diversi dai gatekeepers?
Data Spaces e Data Act: integrazione e sfide
I Data Spaces europei rappresentano una rivoluzione nell’ambito della gestione e della condivisione dei dati all’interno dell’Unione Europea (UE). I Data Spaces sono ecosistemi giuridici e tecnico-organizzativi che permettono il flusso e la condivisione di dati sia personali che non personali. E sono concepiti per sostenere la visione del Digital Single Market UE, da tempo auspicato, entro il 2030, garantendo che il controllo sui dati rimanga nelle mani di chi li genera e li fornisce, oltre che maggiormente condivisi più facilmente con altri soggetti per fini comuni e anche pubblici.
Un esempio di Data Space europeo è quello dedicato alla sanità (v. la proposta di regolamento European Health Data Space in discussione), dove i dati dei pazienti sono condivisi in modo sicuro e protetto tra ospedali, ricercatori e assicurazioni sanitarie per migliorare i trattamenti e accelerare la ricerca medica. Facilitando la circolazione sicura ed efficiente di informazioni tra aziende, individui e organizzazioni.
Per dare il polso del fenomeno, si consideri che è ora in lavorazione un apposito standard ISO/IEC 20151 proprio sui Data Spaces. I tempi sono maturi.
Data Act: regole armonizzate su accesso ai dati e loro utilizzo
Parallelamente, il Data Act emerge come una normativa chiave che stabilisce regole armonizzate sull’accesso ai dati e il loro utilizzo (dunque coprendo tutto il ciclo di vita), al loro equo (ri)utilizzo, enfatizzando in particolare quelli generati da dispositivi IoT. Per eliminare gli ostacoli alla condivisione dei dati, creando un ambiente più equo e favorevole per le PMI. Un caso pratico potrebbe essere quello di un’azienda che utilizza dati generati da sensori IoT per ottimizzare la catena di fornitura, migliorando così l’efficienza operativa.
Da un lato, il Data Act fornisce ora un quadro legislativo necessario, pur se generico, per facilitare la condivisione dei dati all’interno dei Data Spaces, promuovendo standard armonizzati e una maggiore trasparenza, come visto sopra. Tuttavia, emergono sfide già citate come la necessità di garantire la sicurezza dei dati, rispettare la normativa privacy, e gestire efficacemente la governance dei dati in ambienti così diversificati e complessi, anche per via dei tanti soggetti coinvolti.
Una delle sfide principali è proprio la governance all’interno dei Data Spaces, strutturata per assicurare un accesso equo, trasparente e non discriminatorio ai dati da parte dei soggetti coinvolti. Questo include stabilire chiaramente doveri, standard e responsabilità, oltre a garantire la protezione dei dati in conformità con le leggi europee. Il Data Act funge da complemento, fornendo linee guida e norme per la gestione dei dati e la loro condivisione.
Data Spaces e Data Act: due facce della stessa medaglia
I Data Spaces e il Data Act rappresentano sostanzialmente due facce della stessa medaglia: attraverso la collaborazione e l’innovazione, l’UE può finalmente costruire i bacini significativi di dati per poterne estrarre, in proprio, valore e utilità. D’altro canto, i Data Spaces sono perlopiù un fenomeno negoziale: sussistono dubbi riguardo al modo in cui il Regolamento potrebbe interferire con i contratti esistenti e sull’impatto sulla libertà contrattuale e d’impresa. È vero che l’art. 1.6 del Data Act recita che non si applica ad accordi volontari (specie di condivisione) per lo scambio di dati tra soggetti pubblici e privati, né li pregiudica – ma la portata e l’interpretazione applicativa di tale disposizione sono tutte da chiarire.
Così come sarà da appurare quanto determinate possibilità del Data Act possano inficiare la formazione dei Data Spaces – per es. l’art. 4.14 ove si prescrive che i titolari dei dati non personali non li mettono a disposizione di terzi se non per scopi contrattuali, persino potendo vincolare contrattualmente i terzi a non condividere ulteriormente i dati stessi.
Inoltre, il Data Act sconta il fatto di essere un modello di governance che si posiziona tra un modello guidato esclusivamente dal mercato e un approccio completamente regolamentato.
Questo modello combina elementi tipici del diritto privato (per es. diritti di proprietà, contratti) con elementi del diritto pubblico (per es., autorità regolatorie, limitazioni della libertà contrattuale), un ibrido che segue la recente ondata normativa europea, vedi il simile approccio adottato per es. nel Digital Services Act.
Ciò può portare a una transizione dal paradigma basato sulla proprietà a quello basato sulla governance nella strategia dei dati dell’UE, con un necessario coordinamento tra le due anime che potrà riservare dubbi e sorprese inediti.
Oltre alla verifica nel tempo dell’effettivo supporto che il Data Act potrà recare nell’affrontare adeguatamente alcune criticità rilevanti dei Data Spaces, come l’asimmetria informativa tra i partecipanti agli Spaces e alla distribuzione del potere tra i player coinvolti.
Interessante è altresì l’art. 36 del Regolamento sui requisiti (da certificare) degli smart contracts eventualmente utilizzati per l’esecuzione degli accordi di condivisione dati, e dunque pertinenti proprio al tema dei Data Spaces.
Tipologie di dati: una limitazione importante sull’ambito applicativo del Data Act
Una limitazione importante e da conoscere sull’ambito applicativo del Data Act è quella sulle tipologie di dati: oggetto paiono essere solo i dati forniti dagli utenti e quelli “osservati” dal suo comportamento.
Non già, invece, quelli “inferiti”, desunti dall’analisi delle precedenti tipologie ed esclusi forse proprio perché frutto di un’attività propria e specifica del data holder – trattasi però di una tipologia di dati tra le più importanti proprio per abilitare l’innovazione e le attività maggiormente data-driven.
Da ultimo, poniamo mente alla tutela della proprietà intellettuale, alle norme sui database (come quelli impiegati o costituiti nei Data Spaces dalla raccolta di dati, personali o meno): il Data Act ci informa al Considerando 112 che “al fine di eliminare il rischio che i titolari di dati contenuti in banche di dati ottenuti o generati mediante componenti fisiche, quali sensori, di un prodotto connesso e di un servizio correlato o di altri dati generati automaticamente rivendichino il diritto «sui generis» di cui all’articolo 7 della direttiva 96/9/CE , ostacolando in tal modo in particolare l’effettivo esercizio del diritto degli utenti di accedere ai dati e di utilizzarli e del diritto di condividere i dati con terzi a norma del presente regolamento, si dovrebbe chiarire che il diritto «sui generis» non si applica a tali banche di dati”.
L’art. 43 del Data Act difatti lo recepisce e attesta che non si possa mai invocare la tutela “sui generis” (cioè il diritto di esclusiva riconosciuto ai costitutori di banche dati che abbiano investito per tale operazione) quando i dati sono ottenuti o generati da un prodotto connesso o un servizio correlato che rientra nell’ambito di applicazione del Data Act.
Si consideri, però, che il Considerando chiude affermando che “ciò non pregiudica l’eventuale applicazione del diritto «sui generis» di cui all’articolo 7 della direttiva 96/9/CE alle banche di dati contenenti dati che non rientrano nell’ambito di applicazione del presente regolamento, purché siano soddisfatti i requisiti di tutela a norma”.
Conclusioni
Il Data Act può rappresentare un crocevia fondamentale nella moderna economia dei dati e Data Spaces. Il timore principale è quello della costruzione fin troppo elaborata e da incastrare nel quadro preesistente con dovizia per poter donare la certezza e gli incentivi per mutare il quadro generale di gestione europea dei dati.
Le interazioni tra il Data Act e i Data Spaces sollevano questioni complesse e delicate, soprattutto in termini di privacy e trattamento dei dati.
Ma è necessario scommettere su questa sfida e affrontare ogni rilievo: la posta in gioco di fatto è l’economia digitale prossima ventura, tanto più se basata sull’intelligenza artificiale e la necessità di oceanici flussi di dati e di elaborazione come quelli raccolti in Data Spaces.
In Europa solo la condivisione pare rappresentare la strada per scommettere su questo scenario, servirà tempo e impegno, dunque, per capire come il Data Act possa aver davvero contribuito a questo orizzonte.
In definitiva, mentre il Data Act e i Data Spaces avanzano verso un futuro digitale più connesso e aperto, rimane vitale per gli attori dell’UE – legislatori, aziende, P.A., autorità di controllo – navigare in queste acque con una visione chiara e una consapevolezza delle potenziali debolezze e minacce (per i diritti delle persone ma anche per imprese e P.A.) che potrebbero emergere sui vari fronti a cui, senza pretesa di esaustività alcuna, abbiamo accennato in queste prime annotazioni.
La rotta è tracciata, richiederà una navigazione attenta e consapevole.