I dati hanno valore economico, sono un patrimonio per chi li detiene, un bene prezioso per chi li usa. Ma non è giusto che siano monopolizzati da chi li genera: devono diventare una risorsa condivisa, i dati devono essere utilizzabili per essere impiegati anche da chi non li ha prodotti, devono diventare oggetto di un diritto che permette il loro sfruttamento, con valorizzazione economica annessa.

Per disciplinare questo nuovo mercato dei dati l’Unione Europea ha appena varato un regolamento, il Data Act, che costruisce un quadro giuridico in cui i diversi soggetti si possono muovere e apre uno spazio economico basato sul valore che si può estrarre da beni immateriali come sono i dati.

Giuseppe Proietti (nella foto), avvocato dello Studio Lener & Partners e grande esperto della materia, in questa intervista spiega regole, opportunità e sfide che il Data Act pone.

 Avvocato Proietti, con quali obiettivi principali è nato il Data Act?

Con il Regolamento europeo n. 2854 del 2023 si è chiuso il cerchio sulla strategia europea in materia di dati, che intende favorire l’accesso e la circolazione dei dati soprattutto per quanto riguarda il settore dell’Internet of things. Questa normativa è innovativa sotto vari profili, al pari di come lo è stato il Data Governance Act e un’altra serie di recenti novità che ormai compongono una complessa intelaiatura di norme nel mercato europeo.

Lei fa riferimento al mondo dell’IoT: può fare qualche esempio di macchine che producono dati a cui si rivolge il regolamento?

Il regolamento fa riferimento a “prodotto connesso” o “servizio correlato”. Si tratta nel primo caso di qualsiasi bene che riesce a ottenere, generare o raccogliere dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati attraverso un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo. Per semplificare, ci si può riferire a tutti quei dispositivi rientranti nel campo della domotica, ad esempio i termostati intelligenti, fino ad arrivare alle macchine di tipo industriale e agricolo, ai veicoli connessi, ossia all’auto a guida autonoma, così come ai dispositivi indossabili e ai dispositivi medici. Sostanzialmente, i dati che vengono generati da questi dispositivi possono essere usati dall’utente o da un terzo, al quale l’utente chiede la condivisione per il tramite del titolare. Il Data Act vuole principalmente disciplinare questo meccanismo di condivisione.

Quali sono le novità strutturali introdotte con il Data Act?

Una prima novità proviene già dal lessico delle definizioni. È in realtà un vero e proprio cambio di paradigma. Si parla di titolarità dei dati e non di titolare del trattamento, come avviene nel GDPR. È un cambio strutturale che può sembrare di poco conto, ma si riflette sul concetto di titolarità del dato da parte di un soggetto, circostanza che in precedenza veniva mal vista, mentre ora sembra essere sempre più accettata.

In particolare, con “titolare di dati” si intende colui che ha il diritto o l’obbligo di utilizzare e mettere a disposizione i dati, inclusi quei dati del prodotto o di un servizio correlato, se previsto contrattualmente. L’utente, invece, viene identificato con quel soggetto in possesso di un prodotto connesso o una persona a cui, temporaneamente, sono stati concessi i diritti di utilizzo in relazione al prodotto.

Chi sarebbero invece i destinatari dei dati?

Il destinatario può essere un terzo indicato dall’utente con cui vengono condivisi i dati attraverso un preciso accordo. Il regolamento stabilisce che destinatario dei dati è quel soggetto che agisce per finalità connesse alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’utente di un prodotto connesso o di un servizio correlato, a disposizione del quale il titolare mette i dati generati.

Quali ambiti economici verranno coinvolti dal Data Act?

Senza dubbio con il Data Act si intende favorire la circolazione dei dati nel settore digitale, consentendo ai proprietari dei dispositivi connessi l’accesso ai dati che generano, autorizzandone poi la condivisione con terze parti nella fornitura di servizi post-vendita. Questa è la parte di cui si è parlato sinora.  

Un’altra parte del regolamento prevede invece nuove prerogative di accesso ai dati da parte degli enti pubblici in presenza di “necessità eccezionali”.

Con quest’ultimo strumento, consistente nella possibilità, per alcune istituzioni, di utilizzare certi dati per proprie funzioni nel quadro dell’interesse pubblico, il rischio è di porre le premesse per una sorta di “trasferimento coattivo” dei dati per una finalità di pubblico interesse, andandosi a inquadrare come uno strumento espropriativo nel mondo digitale. Si può trattare di necessità eccezionali come emergenze sanitarie, sicurezza pubblica o calamità naturali.

Viene poi disciplinato il diritto di accesso ai dati generati dal prodotto connesso o dal servizio correlato da parte dell’utente. Viene regolato il diritto dell’utente sulla condivisione dei dati con terzi, prontamente messi a loro disposizione dal titolare dei dati, oltre ai relativi metadati necessari a interpretare e utilizzare i dati in questione.

Se l’utente intende condividere, sempre per i tramite del titolare, dati con terzi, qualora essi riguardino dati personali anche di altri soggetti, diversi dall’utente, possono essere messi a disposizione del terzo solo in presenza di un’idonea base giuridica prevista dal GDPR.

Qual è il margine di operatività dell’utente e qual è quello del titolare?

È previsto un ampio margine di azione per l’utente del dispositivo connesso, il quale dovrebbe essere libero di utilizzare i dati per qualsiasi finalità legittima, inclusa la fornitura dei dati che ha ricevuto nell’esercizio dei suoi diritti a un terzo che offre un servizio post-vendita e che può essere in concorrenza con un servizio fornito da un titolare dei dati.

I titolari, dall’altra parte, sono tenuti a garantire che i dati messi a disposizione del terzo siano tanto accurati, completi, affidabili, pertinenti e aggiornati quanto i dati ai quali il titolare stesso può essere in grado, o avere il diritto, di accedere in virtù dell’uso del prodotto connesso o del servizio correlato.

Il Data Act coinvolge anche l’utilizzo dei dati al di fuori dei confini europei?

Sì, il regolamento riguarda anche quel delicato tema dell’accesso e del trasferimento dei dati al di fuori dello spazio economico europeo. È previsto che i fornitori di servizi di trattamento dei dati devono adottare tutte quelle misure tecniche, organizzative e giuridiche volte a impedire l’accesso di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui il trasferimento o l’accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato. È chiaramente una disciplina che deve raccordarsi, e quindi coordinarsi, con il GDPR per quanto riguarda il trasferimento transfrontaliero dei dati personali (n.d.r. artt. 44 – 50 GDPR). Questo è un ambito molto delicato perché si lega sempre a dinamiche geopolitiche.

Nel Data Act è poi prescritto che le decisioni o le sentenze di un organo giurisdizionale di un paese terzo e le decisioni di un’autorità amministrativa di un paese terzo, che obbligano un fornitore di servizi di trattamento dei dati a trasferire dati detenuti nell’UE rientranti nel perimetro di applicazione del regolamento, o a concedervi l’accesso, sono riconosciute, o assumono carattere esecutivo, solo se basate su un accordo internazionale in vigore tra il paese terzo e l’UE. In mancanza di un accordo, il trasferimento dei dati o l’accesso può avvenire solo in determinate e peculiari situazioni.

Come si concilia il Data Act con la tutela della privacy?

La tutela della privacy rimarrebbe illesa, nel senso che, ove in un caso concreto la condivisione dei dati comprenda anche dati personali, rimane ferma la disciplina dei regolamenti UE  2016/679 e (UE) 2018/1725, oltre alla direttiva 2002/58/CE. Nessuna disposizione del Data Act dev’essere applicata o interpretata in modo da ridurre o limitare il diritto alla protezione dei dati personali o il diritto alla vita privata e alla riservatezza delle comunicazioni.

Chi saranno i maggiori beneficiari della nuova normativa?

I primi beneficiari del regolamento sono sicuramente quelle imprese che con la disponibilità di una serie di dati potranno ottimizzare i loro processi operativi e creare nuovi modelli di business. Ma se la normativa verrà correttamente attuata potrà avere come beneficiario l’intero mercato europeo, il quale riuscirebbe a dare valore all’insieme di dati generati e raccolti tramite dispositivi IoT.

Come si inserisce questa normativa nel più ampio contesto della strategia europea per la sovranità digitale? Quali sono gli obiettivi strategici a lungo termine che l’UE intende raggiungere attraverso questa regolamentazione?

In sostanza il Data Act costituisce un ulteriore tassello del dedalo normativo che compone i mercati digitali di oggi. Senz’altro testimonia l’importanza di valorizzare il dato, il quale costituisce ormai un vero e proprio asset strategico che circola inevitabilmente nei diversi mercati creando ricchezza. Perciò, uno dei modi per tutelare l’interessato e, quindi, l’individuo, potrebbe essere quello di disciplinare la circolazione dei suoi dati, non focalizzandosi esclusivamente in un’ottica personalistica.

Purtroppo, però, queste regole si inseriscono in una intelaiatura legislativa europea che compone un vero e proprio dedalo il quale, da un lato, impegna il giurista in un’opera di coordinamento, ma dall’altra può rischiare di confondere l’impresa e l’utente. Un ordine sistematico e organico dell’intera normativa digitale è già diventata una esigenza.

Ad esempio, qual è una normativa che necessiterebbe un coordinamento con il Data Act?

Un esempio può essere senz’altro quello del recente regolamento che istituisce uno spazio europeo per la condivisione dei dati sanitari (European Health Data Space, EHDS), il quale prevede, tra l’altro, la possibilità di un uso secondario dei dati sanitari. Il riutilizzo di questi dati, raccolti in relazione a uno specifico soggetto, può riguardare finalità diverse come l’innovazione, la ricerca, la sanità pubblica e le politiche sanitarie. Si tratta di un settore estremamente promettente che, come si può intuire facilmente, necessita però di un coordinamento sinergico con il Data Act in tutti quei casi in cui i dati sanitari vengono raccolti o generati da dispositivi connessi.