È attualmente in fase di prima diffusione il nuovo testo di compromesso del Data Act europeo, raggiunto sotto la presidenza ceca del Consiglio dell’Unione Europea. Secondo quanto riportato da Euractiv, tuttavia, la presidenza ceca non è riuscita, nell’arco del suo mandato, a “mediare una posizione comune” nell’ultima riunione ministeriale tenuta.
Ciononostante, nel nuovo testo di compromesso sono state affrontate una serie di “questioni in sospeso”, tra cui i requisiti richiesti per garantire l’interoperabilità tra “fornitori di servizi cloud di servizi in-parallel”, le tariffe di recesso dal servizio degli utenti e le tipologie di dati che questi ultimi possono richiedere ai fornitori di servizi in cloud che memorizzano dati generati da dispositivi del c.d. Internet of Things.
Nel seguito, una breve disamina dei principali punti caldi del testo di compromesso, che sarà discusso il 13 dicembre 2022.
Armonizzare le regole UE per una cibersicurezza fondata sulla privacy
Indice degli argomenti
Data Act: gli obiettivi del regolamento
In premessa, appare opportuno rammentare come il Data Act, ulteriore tassello della Strategia Digitale Europea, mira a rimuovere gli ostacoli all’accesso ai dati – non solo personali – attualmente esistenti sia per i consumatori che per le imprese, all’interno di un contesto, come quello attuale, in cui il volume di dati generati dagli esseri umani e dalle macchine sono in costante ascesa e i dispositivi connessi alla rete sono diffusi anche in ambito industriale, oltre che all’interno delle abitazioni private.
A tal fine, il disegno di legge stabilisce una serie di regole comuni volte a disciplinare la condivisione dei dati generati dall’utilizzo di prodotti o servizi connessi alla rete (es: Internet of Things, macchine industriali interconnesse) al fine di garantire la correttezza dei contratti di condivisione dei dati e consentire agli enti pubblici di utilizzare i dati detenuti dalle imprese nel caso in cui si verifichino delle ipotesi di eccezionale necessità (come un’emergenza pubblica di natura sanitaria).
Il Data Act si pone anche l’obiettivo di determinare degli standard di interoperabilità che consentano di riutilizzare i dati in diversi settori.
Al contempo, il Data Act introduce delle norme volte a facilitare il passaggio, per gli utenti, tra diversi servizi cloud o di elaborazione dati, anche mettendo in atto delle misure di salvaguardia contro il trasferimento internazionale illegale di dati da parte dei medesimi fornitori di servizi cloud.
I destinatari del regolamento sono dunque individuati fra:
- i fabbricanti di prodotti e i fornitori di servizi connessi immessi nel mercato interno dell’UE, nonché gli utenti di tali prodotti o servizi;
- i titolari dei dati (c.d. data holders), che mettono gli stessi a disposizione dei c.d. data recipients nell’UE;
- i c.d. data recipients siti nell’UE a cui i dati sono resi disponibili;
- gli enti pubblici e le istituzioni, le agenzie o gli organismi dell’UE che chiedono ai titolari di rendere disponibili i dati in caso di eccezionale necessità;
- i fornitori di servizi di elaborazione dati (ad es. cloud) che li offrono a clienti nell’UE.
La presidenza ceca, subentrata alla presidenza francese nel maggio 2022, ha presentato altri testi di compromesso nel settembre e nell’ottobre 2022, incentrate su questioni quali la portata della proposta di legge, le condizioni in base alle quali i dati dovrebbero essere forniti agli enti pubblici nell’ipotesi di evento di natura eccezionale, le esenzioni previste per le PMI.
Le principali tematiche inerenti al cloud
Nell’ultimo testo di compromesso, come anticipato in premessa, la presidenza ceca affronta alcune questioni particolarmente delicate, che dovranno essere oggi discusse, condivise da Euractiv.
In primo luogo, si affronta la tematica delle architetture multi-cloud: i servizi digitali, infatti, fanno spesso parte di dette architetture (un servizio di posta elettronica, ad esempio, potrebbe essere ospitato da un provider cloud mentre, al contempo, integra un calendario ospitato all’interno di un servizio cloud concorrente).
In relazione a detta ipotesi, è stato molto complicato per i legislatori riuscire ad adattare le norme relative al passaggio tra diversi sistemi cloud, a causa della complessità tecnica dell’ambiente cloud. Per tali ragioni, si è prevista l’aggiunta di una norma che impone che le disposizioni sull’interoperabilità fra i cloud, che impongono ai fornitori di detti servizi di consentire ai propri clienti di passare a servizi concorrenti, si applichino anche ai fornitori dei servizi cloud c.d. in-parallel.
L’idea, riporta Euractiv, “è quella di consentire ai clienti di spostarsi liberamente dal miglior servizio cloud all’altro. Pertanto, anche i fornitori di servizi cloud non direttamente coinvolti nella risoluzione del contratto non dovrebbero ostacolare il passaggio” tra i diversi servizi cloud.
Concetto altrettanto dibattuto è quello della c.d. “tassa di uscita”, che i fornitori di servizi cloud richiedono nel momento in cui i clienti desiderano recuperare i propri dati dal servizio. Detta ipotesi non era stata originariamente prevista nel testo iniziale, in quanto la bozza della Commissione si focalizzava esclusivamente sulle spese richieste per la portabilità dei dati (che si prevede debbano essere completamente abolite decorso il termine massimo di 3 anni dall’entrata in vigore del Data Act: è stato dunque previsto che anche per le c.d. tasse di uscita si applichi il medesimo termine massimo di applicabilità.
Uno dei punti principali del Data act è, poi, l’interoperabilità dei servizi cloud: i requisiti per l’interoperabilità sono stati riformulati in questo ultimo testo di compromesso, al fine di allineare il testo normativo a quanto emerso nel processo di definizione degli standard per l’interoperabilità previsti anche dalle altre normative vigenti: occorre ricordare, infatti, che il Data Act è una normativa di tipo orizzontale, che necessita di coordinamento con le normative ad essa connesse.
Sempre sul punto, si conferisce alla Commissione Europea il potere di adottare atti delegati diretti ad istituire un archivio europeo con specifiche di interoperabilità aperte e norme europee per l’interoperabilità dei servizi cloud. Inoltre, riporta Euractiv, “è stata aggiunta la possibilità per l’esecutivo dell’UE di includere nel repository standard non europei purché soddisfino criteri specifici”.
I diritti garantiti dal Data Act
Come anticipato, uno degli obiettivi principali perseguiti dal Data Act è quello di incrementare le tutele per gli utenti che generano dati tramite i prodotti connessi alla rete. Il testo normativo, dunque, consente innanzitutto all’utente di un prodotto appartenente alla categoria dell’Internet of Things di ottenere i dati generati dal dispositivo: tuttavia, è stato oggetto di intense discussioni per quali tipologie di dati potrebbe consentirsi il diritto di accesso.
Si è dunque giunti, nell’ultimo compromesso, alla definizione dei “dati generati” ricevibili dall’utente come quei “dati registrati intenzionalmente dall’utente o come sottoprodotto dell’azione dell’utente, nonché dati generati o registrati durante il periodo di uso legittimo, tra gli altri in modalità standby o mentre il prodotto è spento”. Non rientrano nella definizione e, dunque, nell’ambito di applicabilità di dette norme tutti i dati che non derivano dall’utilizzo del prodotto in sé ma che derivano, invece, da elaborazioni volte a trarre degli insight, come applicazioni c.d. embedded o di diagnostica, che modificano significativamente la forma iniziale dei dati generati dall’utente.
Come anticipato, il Data Act consente inoltre agli enti pubblici, in circostanze di natura eccezionale e a determinate condizioni, di accedere ai dati posseduti dalle aziende private. Nel testo precedente all’ultimo compromesso, si prevedeva che gli enti dovessero cancellare i dati ricevuti una volta terminata la situazione di necessità connessa allo scopo indicato nella richiesta di accesso; nella versione attuale, si prevede un’eccezione a detta norma ove l’archiviazione dei dati è richiesta per rispettare i requisiti di trasparenza previsti dalla legislazione nazionale applicabile.
L’ente pubblico, inoltre, potrebbe decidere di condividere i dati acquisiti con istituti statici nazionali, Eurostat, soggetti e organizzazioni che svolgono attività di ricerca scientifica. “Questi soggetti”, riporta Euractiv, “possono conservare i dati per ulteriori sei mesi dopo che l’ente pubblico li ha cancellati”.
Particolare attenzione viene posta, da ultimo, ai dati che potrebbero rivelare segreti commerciali, meritevoli di tutela. Una disposizione del Data Act, infatti, molto contestata, consentirebbe alle terze parti che hanno ottenuto dati condivisi dagli utenti, di condividerli ulteriormente con altre organizzazioni. A tal riguardo, il testo di compromesso presentato dalla presidenza ceca prevede che detto ulteriore trasferimento di dati possa avvenire solo se “l’entità ricevente mette in atto le stesse misure concordate nella transazione iniziale per preservare la riservatezza dei segreti commerciali”.
Dette tutele, tuttavia, sarebbero ancora insufficienti a proteggere i segreti commerciali, in quanto l’organizzazione interessata non avrebbe modo, secondo quanto riferito ad Euractiv, di far rispettare l’accordo o di controllare i soggetti che ricevono i dati.
Entrata in vigore e revisioni
L’entrata in vigore del regolamento si prevede entro 18 mesi dalla sua pubblicazione e definitiva adozione.
Entro due anni dall’entrata in vigore del Data Act, inoltre, la Commissione sarà chiamata ad effettuare una valutazione per effettuare successive revisioni del testo. Dovrà essere valutato anche l’impatto sui segreti commerciali e l’efficacia del regime di applicazione del regolamento.
