E' stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea del 22 dicembre 2023 l'atteso Regolamento sui dati (cd. “Data Act”). Il Regolamento (UE) 2023/2854, dopo il Data Governance Act, è il secondo più rilevante intervento normativo di carattere orizzontale, cioè applicabile a qualsiasi settore, della Strategia UE sui dati promossa dalla Commissione per il triennio 2020/2023. Il Regolamento stabilisce chi è legittimato ad accedere a questi dati generati da prodotti e relativi servizi, a quali condizioni e su quali basi.
Dati generati nel contesto IoT
Il titolo del Data Act è “norme armonizzate sull'accesso equo ai dati e sul loro utilizzo” e indica lo scopo e l'ambito applicativo del Regolamento: quello di facilitare l'accesso e l'uso di dati (personali e non-personali) derivanti dall'interazione dell'utente con dispositivi e servizidel mondo dell'Internet delle cose (“IoT”), nel rispetto delle leggi applicabili e dei valori dell'Unione.
Il legislatore parte dalla considerazione che attualmente i dati generati dall'interazione dell'utente con i prodotti o servizi del contesto IoT sollevano un problema di correttezza ed equità: difatti, allo stato, sono i produttori di prodotti connessi o i fornitori dei relativi servizi a decidere unilateralmente sul destino dei dati generati dagli stessi.
A tal proposito, il Data Act sostiene che analoga prerogativa deve essere riconosciuta all'utente di tali prodotti o servizi in quanto originatore dei dati, sia esso persona fisica o impresa.
Diritto dell'utente all'uso dei dati IoT
Al fine di consentire all'utente di avvalersi liberamente dei dati generati da prodotti o servizi IoT che esso utilizza – come quelli ricavati da sensori o altri tipi di dati generati da apparecchiature - il Data Act interviene su due fronti convergenti:
impone a produttori dei beni e fornitori dei servizi interessati di rilasciare tali dati all'utente che ne faccia richiesta,
sottrae la raccolta strutturata di tali dati (cioè, i database che li contengono) al diritto sui generis previsto dalla direttiva sulla tutela delle banche dati.
Per rendere effettivo il diritto dell'utente, il Data Act impone al fornitore del prodotto IoT o dei servizi correlati l'obbligo:
di rilasciare specifiche informazioni all'utente prima della conclusione del contratto (art. 3 Data Act),
di mettere a disposizione i pertinenti dati in favore degli utenti nonchè di terzi su richiesta degli utenti.
Utilizzo dei dati da parte del titolare
Il Data Act non conferisce alcun diritto al detentore dei dati (“titolare dei dati”) di utilizzare i dati generati in ambito IoT, in particolare quando questi è il produttore o fornitore del servizio.
Nel caso di dati non-personali, la base giuridica per tale utilizzo è un eventuale contratto tra titolare dei dati e utente che, in modo trasparente, specifichi le condizioni e le finalità di tale utilizzo.
Nell'ipotesi di dati personali, invece, il titolare dei dati è anche titolare del trattamento e la base giuridica per il connesso trattamento da parte di quest'ultimo dovrà essere individuata tra quelle elencate all'art. 6 GDPR: generalmente, il consenso o la necessità di eseguire un contratto di cui è parte l'interessato.
Se l'utente è un'impresa, anch'esso si qualifica come titolare del trattamento, titolare dei dati e utente possono essere contitolari ed entrambi dovranno rispettare le prescrizioni previste dal GDPR (art. 26 GDPR).
Obiettivi del Data Act
Il Data Act persegue i seguenti obiettivi:
riconoscere il diritto dell'utente all'accesso e all'uso dei dati generati dall'interazione con prodotti e servizi in ambito IoT (capo II);
riconoscere il diritto degli enti pubblici di richiedere e utilizzare dati detenuti da privati in alcune situazioni eccezionali (capo V);
facilitare la sostituzione di fornitori di servizi cloud e perimetrali (capo VI);
prevedere garanzie riguardo all'eventuale trasferimento di dati oltre l'UE/SEE (capo VII);
incentivare lo sviluppo di standard di interoperabilità per facilitare il riuso di dati tra diversi settori (capo VIII).
Data Act e Data Governance Act
Il DGA, dal suo canto, ha posto l'accento sulla facilitazione della volontaria condivisione per il riutilizzo dei dati detenuti da enti pubblici, con la previsione di nuovi servizi riguardo ai dati:
di intermediazione dei dati (intermediazione tra titolari di dati/interessati, da un lato e utenti di dati, dall'altro, nonché cooperative di dati a supporto degli interessati che ne fanno parte),
altruismo dei dati (per “scopi di interesse generale” e di natura non commerciale).
Rapporti tra Data Act e GDPR o ePrivacy
Quando le informazioni di riferimento sono dati personali o anche dati promiscui oppure riguardano comunicazioni elettroniche, il loro uso è regolato, rispettivamente, dal GDPR e dalle direttive ePrivacy; in caso di conflitto, le norme del GDPR e dell'ePrivacy prevalgono sulle disposizioni del Data Act [Considerando (7) e art. 1(5) Data Act].
Anche all'interno dell'ambito applicativo del Data Act, i principi della minimizzazione dei dati e della protezione dei dati sin dalla progettazione e per impostazione predefinita sono essenziali quando il trattamento comporta rischi significativi per i diritti fondamentali degli individui e che tutte le parti che condividono i dati devono adottare misure tecnico-organizzative volte a proteggere questi diritti (tra cui pseudonimizzazione, crittografia e algoritmi sostitutivi della trasmissione o copia dei dati tra le parti) [Considerando (8), Data Act].
Il Considerando (22) si sofferma sui ruoli soggettivi in caso di trattamento di dati personali: il detentore dei dati (detto “titolare dei dati”) è titolaredel trattamento di dati personali e può incaricare altri operatori per rendere i dati disponibili, in qualità di responsabili del trattamento (nota bene, il riferimento alla pertinente prescrizione del GDPR è erroneamente riportata come “articolo 2”, anziché come “articolo 4”).
D'altro canto, gli utenti, se individui – «quando l'uso di un prodotto connesso o di un servizio correlato può generare dati che si riferiscono» ad essi - sono soggettiinteressati. Se, invece, l'utente è un'impresa, anche se individuale, «l'utente è considerato un titolare del trattamento», ad eccezione dei «casi di uso domestico condiviso del prodotto connesso».
In caso di contitolarità, tra il titolare dei dati e l'utente titolare del trattamento, dovranno essere regolati i reciproci obblighi di fonte GDPR mediante la sottoscrizione di un apposito contratto (art. 26, GDPR) [Considerando (34), Data Act].
Diritto di accesso dell'utente
Fermo restando il diritto di accesso privacy, «l'utente che è una persona fisica ha il diritto a accedere a tutti i dati generati dall'utilizzo del prodotto connesso, personali e non personali». Questo diritto integra e non pregiudica il diritto di accesso di cui all'art. 15 GDPR ma le sue eccezioni non limitano il diritto di accesso del GDPR [Considerando (31), (34) Data Act].
L'utente che è titolare del trattamento necessiterà di una base giuridica per l'accesso ai dati (personali di altri individui, art. 6 GDPR) generati dall'uso dell'apparecchiatura o del collegato servizio, oltre a soddisfare le condizioni dettate per le categorie particolari di dati personali (art. 9 GDPR): la base giuridica potrebbe essere il consenso dell'interessato o l'esecuzione di un contratto di cui l'interessato è parte [Considerando (7), (34) e art. 5(7) Data Act].
L'accesso ai dati archiviati nelle apparecchiature IoT resta regolato dalla direttiva 2002/58 se tali apparecchiature sono collegate a una rete pubblica di comunicazione.
L'interessato dovrà essere preventivamente informato secondo i termini del GDPR incluse le modalità per esercitare i diritti privacy [Considerando (24) Data Act].
Il diritto di accesso dell'utente ai dati generati o derivanti dall'uso di prodotti o servizi IoT, permette a consumatori e aziende utilizzatrici di controllare l'uso di tali dati e di evitare effetti di “lock-in”, non dovendo più dipendere dai soli servizi del fornitore.
Produttori e progettisti devono concepire i prodotti in modo tale che i dati siano facilmente accessibili per impostazione predefinita e devono informare gli utenti su quali dati siano accessibili e con quali modalità (capitolo II).
Anche questo obbligo di informazione, nei riguardi di dati personali, completa e non sostituisce gli obblighi di trasparenza previsti dagli articoli 12-14 GDPR.
Diritto di portabilità del Data Act
Il titolare dei dati (di regola il produttore, purché non sia una micro o PMI, secondo le definizioni della Raccomandazione 2003/361/CE) ha l'obbligo di rendere disponibile i dati a terzi, su richiesta e dietro specifica dell'utente.
Le condizioni di riferimento di questo obbligo sono precisate al capitolo III della proposta, con la precisazione che è ammesso un corrispettivo in misura ragionevole, che non potrà superare l'ammontare dei costi sostenuti se l'utente è una PMI.
In tal modo, il Data Act facilita la portabilità dei dati relativi all'utente verso terze parti, incrementando la concorrenza nei servizi accessori.
Anche il diritto di portabilità del Data Act, complementa e non sostituisce quello analogo del GDPR (art. 20 GDPR) in base al quale gli interessati hanno il diritto di ricevere i dati personali che li riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché di trasmettere tali dati ad un altro titolare del trattamento, qualora il trattamento di tali dati sia effettuato con mezzi automatizzati sulla base del consenso o della necessità di eseguire un contratto tra le parti.
Clausole abusive
Il Capo IV del Data Act affronta i rapporti tra impresee consumatori e protegge contro le clausole abusive in materia di accesso ai dati.
Ferma restando l'applicazione della normativa in materia di consumatori per i rapporti B2C, la prescrizione prevede che le clausole abusive predisposte in via unilaterale nei rapporti tra imprese non sono vincolanti. La norma – come già avviene per la disciplina a tutela del consumatore - aggiunge alla precisazione di cosa debba intendersi per “clausola abusiva”, una lista di clausole ritenute “abusive” di diritto o che si presumono tali (art. 13 Data Act).
Fornitura di dati agli enti pubblici
Il Data Act riconosce il diritto degli enti ed autorità pubbliche di richiedere eottenere dati (in prevalenza non personali) dal settore privato in situazioni eccezionali per provvedere al bene comune (capo V, Data Act).
I casi eccezionali sono distinti in due tipologie:
quelli per cui in casi di pubblica emergenza (situazione eccezionale, limitata nel tempo) vi è un bisogno eccezionale di dati (anche personali) e questi non sono disponibili in modo tempestivo ed efficace; in tale circostanza i dati sono forniti a titolo gratuito;
in altri casi di emergenza pubblica ma solo per dati non personali, in cui i dati non siano disponibili sul mercato e il titolare dei dati ha diritto a un compenso che include il recupero dei costi sostenuti oltre un ragionevole margine.
Per evitare abusi, la norma prescrive che la richiesta di dati da parte dell'ente sia proporzionata, indichi chiaramente la finalità e rispetti gli interessi delle aziende che li rendono disponibili.
La fornitura è incentrata su dati non personali e qualora siano richiesti dati personali, vengono adottate «misure tecniche e organizzative necessarie e proporzionate per attuare i principi di protezione dei dati e le garanzie necessarie, quali la pseudonimizzazione»; nella richiesta va altresì specificato «la possibilità o meno, per il titolare dei dati, di applicare l'anonimizzazione prima di mettere i dati a disposizione» [art. 17(1)(g) Data Act].
Sostituibilità dei fornitori
Nuove regole, contenute al capitolo VI del Data Act, affrontano il problema degli effetti di “lock-in” nel cloud e nei servizi perimetrali (“fornitori di servizi di trattamento di dati”), permettendo ad utenti, persone fisiche o imprese, di poter scegliere liberamente tra i servizi di elaborazione dati, anziché essere vincolati al fornitore originario a causa della indisponibilità dei dati generati in ambito IoT.
A tal fine, la norma richiede che gli utenti che decidano di sostituire il fornitore originario, mantengano un'equivalenza funzionale del servizio anche dopo la sostituzione (i.e. un livello di funzionalità sostanzialmente comparabile).
Trasferimenti illeciti di dati
Ferma restando l'applicazione delle regole data protection sul trasferimento dei dati personali verso paesi terzi (cioè al di fuori dell'UE/SEE), il Data Act impone ai fornitori di adottare ragionevoli misure giuridiche e tecnico-organizzative per prevenire accessi ai dati non-personali che confliggano con l'obbligo di protezione di tali dati in base al diritto dell'Unione, salvo che vengano rispettate precise condizioni (capitolo VII).
Autorità competenti
Le regole introdotte dal Data Act sono fatte rispettare tramite l'istituzione – come previsto per altre norme attuative della Strategia sui dati – di specifiche autorità competenti stabilite in ciascuno Stato membro, sulla base di un meccanismo di conformità e con l'imposizione di sanzioni in caso di violazioni (capitolo IX).
L'istituzione di una o più autorità competenti, così come la scelta di fare affidamento su autorità già esistenti è rimessa a ciascuno Stato membro. In caso di presunta violazione delle prescrizioni del Data Act è riconosciuto il diritto a presentare reclamo all'autorità competente; contro le decisioni dell'autorità competente è ammesso ricorso giurisdizionale (art. 39 Data Act). In presenza di dati personali, le autorità di controllo del GDPR saranno competenti a decidere in merito alle questioni rientranti nell'ambito applicativo della disciplina sui dati personali (art. 37 Data Act).
Sanzioni
Le sanzioni, che devono essere effettive, proporzionate e dissuasive, sono determinate da ciascuno Stato membro, secondo i criteri elencati nel Data Act [art. 40(3) Data Act].
Per le violazioni alle prescrizioni riguardanti la condivisione dei dati (capo II), gli obblighi dei titolari dei dati per la messa a disposizione dei dati verso destinatari (capo III) e alla messa a disposizione dei dati verso gli enti pubblici (capo V) saranno le autorità di controllo del GDPR a poter irrogare le sanzioni previste dall'art. 83(5) del medesimo GDPR [art. 40(4) Data Act].
In conclusione
In conclusione, il Regolamento sui dati è un ulteriore tassello della Strategia UE sui dati che disciplina la messa a disposizione e il riutilizzo dei dati originati dai dispositivi connessi ("IoT") che abbiano sia natura "personale" che non. Allorquando i dati abbiano natura personale o siano promiscui, riguardo ad essi si applicherà la legislazione sulla protezione dei dati così come sussisterà la competenza dell'autorità di controllo prevista dal GDPR. Con le condizioni imposte dalla legislazione a protezione dei dati, il Data Act riconosce il diritto dell'utente a ottenere i dati prodotti dai dispositivi IoT da lui utilizzati, di ottenerne la portabilità verso terzi da lui indicati, di sostituire il proprio fornitore di servizi cloud o perimetrali, evitando effetti di "lock-in". Spetterà al legislatore nazionale decidere a chi assegnare le competenze attribuite all'autorità di riferimento e quali sanzioni applicare in caso di violazioni.
Vuoi leggere tutti i contenuti?
Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter continuare a
leggere questo e tanti altri articoli.
