Il Data Act: la creazione del futuro digitale nell’Unione Europea

L’iter normativo

Il percorso che ha portato alla recente pubblicazione del Data Act è iniziato nel giugno 2021, quando la Commissione Europea ha pubblicato la consultazione pubblica, conclusasi nel settembre dello stesso anno, con l’intenzione di raccogliere le opinioni delle parti interessate al fine di dare forma alla proposta di regolamento sui dati. Sulla scorta dei risultati della consultazione, la Commissione, il 23 febbraio 2022, ha pubblicato la prima proposta di Data Act, esaminata e approvata dal Parlamento Europeo il 14 marzo 2023.

Il 28 giugno 2023, a due anni dalla consultazione, Parlamento Europeo e Consiglio hanno raggiunto l’accordo politico sulla bozza di regolamento, il cui testo finale è stato approvato dal Parlamento il 9 novembre 2023.

Il Data Act, entrato in vigore l’11 gennaio 2024, diverrà pienamente applicabile il 12 settembre 2025.

Il regolamento mira essenzialmente a porre le basi per uno sfruttamento equo della “ricchezza sommersa” rappresentata, oggi, dai dati (personali e non personali) derivanti dall'interazione dell'utente con dispositivi e servizi del mondo dell'Internet delle cose (IoT): le misure in esso contenute conferiranno agli individui e alle imprese il diritto di accedere ai dati prodotti attraverso l’utilizzo di oggetti, macchine e dispositivi intelligenti.

La consultazione pubblica: tra dato e soggetto

Gli impatti del nuovo comparto normativo su imprese private, organizzazioni pubbliche e cittadini, per la loro rilevanza particolare, sono stati tenuti in considerazione ancora prima della creazione della prima bozza di regolamento: la Commissione Europea, nell’estate del 2021, ha pubblicato una specifica consultazione pubblica con l’obiettivo di utilizzare le informazioni raccolte per formalizzare la proposta di Data Act.

I soggetti interessati dalla consultazione sono stati autorità pubbliche competenti degli Stati membri, istituti accademici e di ricerca, associazioni imprenditoriali, cluster industriali, aziende/imprese, organizzazioni dei consumatori, ONG, sindacati e cittadini.

L’analisi dei risultati è particolarmente interessante, in quanto permette di individuare quelle che sino ad oggi sono state le maggiori difficoltà nella creazione di una cultura del dato aperto e interoperabile: le informazioni raccolte hanno permesso alla Commissione di procedere a ritroso, partendo da ciò che non ha funzionato fino ad ora, per individuare strumenti e misure utili a garantire l’equità nell’allocazione del valore dei dati tra gli attori coinvolti.

Il campione intervistato – che vede una purtroppo scarsa rappresentatività italiana, solo 19 soggetti, ovverosia il 4%, hanno risposto – ha permesso di valutare come di fatto, a livello europeo, esistesse già una primordiale cultura del dato aperto: aziende e pubbliche amministrazioni (quest’ultime soprattutto sulla scorta della Direttiva Open Data 2019/1024) effettuano già operazioni di accesso e scambio di dati, sia su base volontaria che obbligatoria, senza però difficolta specifiche.

Gli intervistati, in particolare, hanno descritto una serie di ostacoli: di natura tecnica (formati dei dati, mancanza di standard) (69%), di natura giuridica (rifiuto di concedere l’accesso non legato a problemi di concorrenza) (55%), la mancanza di una base giuridica per il titolare dei dati nel dare accesso ai dati (48%), abuso dello squilibrio contrattuale (44%) e prezzi irragionevoli (42%).

È proprio a partire da questi ostacoli che la Commissione ha provveduto ad inserire nella proposta di regolamento una serie di misure specifiche atte a contrastare le difficoltà individuate dagli attori dell’economia del dato, e in particolare:

• La previsione di clausole contrattuali tipo, per agevolare la condivisione dei dati e diminuire il rischio di abuso di posizioni contrattuali dominanti;
• Gli smart contract, considerati quali strumenti efficaci per implementare tecnicamente l'accesso e l'utilizzo dei dati nel contesto della cogenerazione dati IoT, e la portabilità degli stessi;
• Il rafforzamento del diritto di accesso ai dati, prevedendo l’adozione di standard nella metadatazione, nonché sistemi automatizzati per l’accesso stesso;
• Il rafforzamento del diritto di portabilità dei dati, anche nell’ambito dei servizi cloud;
• specifiche tutele contro le clausole abusive in materia di accesso ai dati, sia tra imprese e consumatori sia nel rapporto B2B, a protezione dal rischio di abuso di posizioni contrattuali dominanti;
• la previsione, per le pubbliche autorità, di richiedere e ricevere dati dal settore privato, in casi eccezionali (emergenze pubbliche) e per il bene della collettività.

Ad ulteriore attestazione dell’importanza fondamentale degli attori dell’economia del dato, e degli impatti di cui questi gioveranno (e non solo subiranno) una volta divenuto pienamente applicabile il regolamento, preme sottolineare anche come le misure descritte fossero state prospettate al campione intervistato durante la stessa consultazione pubblica, ed ognuna di queste abbia trovato un appoggio sostanziale dalla maggioranza dei soggetti coinvolti.

Il testo oggi divenuto definitivo, nonostante gli emendamenti e le successive modifiche, sintetizza le istanze recepite dagli attori dell’economia del dato, evidenziando il ruolo fondamentale svolto dall’Unione Europea nel modellare il futuro tecnologico di cittadini, imprese e pubbliche amministrazioni: il Data Act riesce a mettere al centro, contemporaneamente, i dati ed i soggetti, la tecnologia e lo sviluppo economico-sociale, la crescita e l’equità.

Data Act e AI Act

I dati prodotti dall’utilizzo di IoT rappresentano la digitalizzazione delle azioni e degli eventi riconducibili agli utenti, e quindi sono potenzialmente preziosi per supportare l’innovazione e lo sviluppo di servizi digitali e di altro tipo.

Questa intuizione fondamentale sta alla base del Data Act, e ci permette di leggere in modo ancora più attento i riscontri alla richiamata consultazione; in particolare, la fotografia scattata nel 2021 ha rilevato come il 44% degli intervistati utilizzasse i dati condivisi per progettare prodotti e servizi innovativi, il 31% per ottimizzare la supply chain, il 29% per l'addestramento di algoritmi per l'Intelligenza Artificiale, e 26% per la manutenzione predittiva. Il potenziale del dato è qui spiegato: il suo sfruttamento equo, sostenibile e sicuro costituisce le fondamenta dello sviluppo digitale ed economico nell’Unione Europea nel prossimo futuro.

Ed è esattamente in questo contesto che il Data Act si intreccia con un’altra delle regolamentazioni europee prossime alla nascita, ovverosia l’AI Act. Il regolamento europeo che si propone di stabilire regole armonizzate sull'Intelligenza Artificiale e che vedrà a breve la luce, benché non si inserisca formalmente nel contesto della strategia europea per la digitalizzazione, segna un altro tassello fondamentale nella creazione del mercato unico dei dati, ed è già intimamente connesso non solo con il GDPR, ma anche e proprio con il Data Act.

Le misure del Data Act rendono possibile, infatti, l’estrazione di dati che potranno fungere da carburante per la creazione di tecnologie algoritmiche (come già dimostrato da quel 29% degli intervistati nella consultazione). L’equa condivisione dei dati provenienti dagli IoT permetterà il loro riuso nella creazione di sistemi di Intelligenza artificiale, secondo una progettazione che dovrà seguire le regole previste dall’AI Act.

La lettura unitaria delle informazioni provenienti dai due contesti – quello dei dati IoT e quello dell’intelligenza artificiale – ci permette già oggi di immaginare quelli che saranno i possibili impatti a livello economico e sociale una volta che entrambe le regolamentazioni entreranno pienamente in vigore: basti pensare ai dati relativi all’adozione di sistemi di intelligenza artificiale da parte delle aziende a livello mondiale, che, come confermato anche dall’ultimo AI Index dell’Università di Stanford, hanno visto un aumento del 100% tra il 2017 e il 2022, e come le aziende in questione confermino di aver osservato un sostanziale aumento dei ricavi ed una contemporanea diminuzione dei costi all’atto della tecnologizzazione dei loro processi.

Il data Act nel futuro digitale

La centralità del Reg. (UE) 2854/2023 non si esaurisce solo nella stretta relazione tra questo e gli altri regolamenti europei rilevanti che hanno ad oggetto dati e informazioni (ad es. GDPR e AI Act) e nelle opportunità di sviluppo che questo porterà agli attori dell’economia del dato: esso ha anche una funzione catalizzatrice nel contesto europeo e mondiale.

Il Data Act deve essere inteso infatti come regolamentazione orizzontale e costituisce il contesto logico, tecnico e giuridico per tutta una serie di future normative verticali, utili alla completa realizzazione della strategia europea per i dati, che ha proposto la creazione di spazi di dati europei comuni, specifici per dominio, al fine di soddisfare le esigenze settoriali.

Un esempio è quello dello Spazio Europeo dei Dati Sanitari (EHDS), che affronterà le sfide specifiche della sanità relative all’accesso e alla condivisione dei dati sanitari elettronici. Numerosi altri spazi di dati verranno realizzati poi in settori quali mobilità, manifattura, agricoltura, finanza, energia, appalti pubblici, ecc.

Il Data Act si inserisce in questo contesto, e fa quindi da apripista nella regolamentazione specifica per la condivisione e l’accesso ai dati.

Un altro ruolo fondamentale ricoperto dal regolamento comunitario è quello relativo al potenziamento del flusso di dati della supply chain: la legge sui dati permetterà di adoperarsi, ad esempio, anche per ottenere conformità alla Direttiva Corporate Sustainability Due Diligence (CSDDD, la cui proposta verrà probabilmente adottata nel 2024), che richiede alle aziende di gestire attentamente gli impatti sociali e ambientali lungo l'intera supply chain, compresi i fornitori diretti e indiretti, le proprie operazioni, prodotti e servizi.

Il Data Act elimina poi numerosi ostacoli all’applicazione delle norme antitrust nei mercati secondari incentrati sui dati: dando agli utenti dei prodotti IoT la possibilità di accedere ai dati generati e limitando la libertà contrattuale del produttore, promuovendo la portabilità dei dati a terzi, esso favorisce la creazione di prodotti e servizi competitivi; chiarendo che la Direttiva sui Database non si applica ai dati generati o ottenuti utilizzando prodotti o servizi correlati, poi, determina la possibilità accedere e utilizzare i database contenenti i dati dei prodotti IoT.

Il comparto normativo permette poi di accelerare il passo in materia di data governance, generando un sistema virtuoso, e contribuisce al raggiungimento degli Obiettivi di Sviluppo Sostenibile dell’Agenda ONU 2030.

Il rispetto del Data Act promuove infatti, in modo implicito, il perseguimento degli SDG 2030 basati sulla condivisione dei dati, ad esempio:

• Il crowdsourcing o il monitoraggio dei prezzi dei prodotti alimentari possono aiutare a monitorare la sicurezza alimentare quasi in tempo reale;
• I dati derivanti da dispositivi GPS possono essere utilizzati per il controllo del traffico e per migliorare il trasporto pubblico;
• I sensori collegati a pompe dell'acqua possono tracciare l’accesso all’acqua pulita;
• Il monitoraggio dei social media può fornire la posizione in tempo reale delle vittime nella gestione dei disastri.

In conclusione

Il Data Act segna un cambiamento radicale nell’ecosistema europeo della produzione, dell’accesso e del riutilizzo del dato, gettando le fondamenta per la creazione di un’economia dei dati equa, capace di garantire migliore controllo e condizioni per la condivisione dei dati per cittadini, imprese e pubbliche amministrazioni.

L’intreccio di tale regolamentazione con le altre fondamentali norme quali il GDPR e l’AI Act, e con altri comparti normativi di rilevanza anche transnazionale, contribuiscono a identificare la legge sui dati come fondamentale promotrice della strategia sui dati, non solo nel contesto europeo ma anche a livello mondiale.