L’accesso ai dati: il Data Act e il superamento del concetto di proprietà dei dati

Premessa sugli scopi dello studio

Lo studio in parola è stato redatto dal ricercatore Hans Graux (dell’Università di Tilburg) nell’ambito di data.europa.eu, “il portale ufficiale dei dati europei” di iniziativa e gestione della Commissione europea. La necessità si è imposta per una ricognizione delle normative europee sul concetto di “proprietà dei dati”, se e per quanto applicabili attualmente agli scenari di sfruttamento dei dati in linea con la strategia europea (composta altresì dal Data Governance Act, oltre che dall’AI Act, per menzionare i componenti chiave). L’obiettivo è quello di un’esplorazione dell’attuale disciplina applicabile ai dati, attraverso il prisma di svariati ambiti di regolazione, verificando se rispondenti a una effettiva concezione proprietaria, esclusiva dei dati, e che sovente si sente richiamare in merito. Concezione che - comunque sia - non pare più consona alle attuali esigenze dell’economia digitale europea. In Europa, oltretutto, non esiste un concetto univoco di “proprietà” dei dati, né è chiaro come i vari modelli di proprietà esistenti debbano interagire.

Dopodiché si offre una panoramica della diversa concezione dei dati sposata dal Regolamento UE 2023/2854, il c.d. “Data Act”, sull’accesso equo ai dati e sul loro utilizzo. Secondo lo studio, si tratta di una visione più adatta alle predette esigenze, puntando a migliorare la data economy, in particolare rendendo i dati industriali più facilmente accessibili e utilizzabili. Rispondendo alla considerazione che i dati sono al massimo del loro valore quando non sono di proprietà esclusiva di una singola parte, fornendo una migliore comprensione della scelta legislativa del Data Act e degli impatti sugli ecosistemi dei c.d. open data (dati resi liberamente accessibili e utilizzabili da chiunque, senza restrizioni di privative IP o simili). Si tratta dunque di un documento complementare a supporto della normativa Data Act che l’Unione auspica possa divenire il nuovo pilatro dell’economia dei dati.

Le concezioni pregresse sulla “proprieta’” dei dati

Venendo all’esame dello scenario regolatorio pregresso, lo studio distingue i tre ambiti principali di riflessione sulla concezione più “ingenua” di proprietà dei dati, ovvero di un diritto esclusivo di utilizzare e controllare l’uso di determinati dati.

I) Il diritto civile e la proprietà dei dati

Lo studio esamina il concetto di proprietà dei dati alla luce del diritto civile europeo, evidenziando le difficoltà nell’applicare questo modello tradizionale a un bene immateriale come i dati. Si sottolinea che la proprietà, nel diritto civile, implica un grado di esclusione: il proprietario esercita un potere di fatto sulla cosa posseduta che non può essere condiviso senza compromettere i suoi diritti. I dati digitali, tuttavia, mancano di questa qualità: l’accesso ai dati è sufficiente per permettere a chiunque di utilizzarli senza intaccare in alcun modo il potere di fatto del detentore originale. Questa caratteristica di “non rivalità”, non esclusività e inesauribilità dei dati rende problematica l’applicazione dell’istituto della proprietà, come definito dalla normativa civilistica.

II) Il diritto di proprietà intellettuale sui dati

Si analizza la possibilità di applicare il diritto di proprietà intellettuale ai dati come forma indiretta di proprietà. Si evidenzia che i diritti di proprietà intellettuale, come il diritto d’autore e i diritti sulle banche dati, possono essere oggetto di proprietà, commercio e licenza.

Però il diritto d’autore si applica generalmente alle opere “originali”, intese come creative e di espressione individuale dell’autore: i dati non creativi - come i dati misurati, osservati, i metadati e altri tipi di dati fattuali che catturano una realtà oggettiva - non presentano segni di originalità e pertanto il diritto d’autore non si applica nella maggior parte dei casi.

I diritti esclusivi sui generis applicabili alle banche dati, introdotti dalla normativa IP (precisamente, dalla Direttiva 96/9/CE), d’altro canto, offrono una protezione più ampia, in quanto si applicano a qualsiasi banca dati che abbia richiesto un investimento sostanziale per la sua creazione, indipendentemente dalla sua originalità. Anche qui vi è un caveat decisivo: la Corte di Giustizia ha stabilito (sent. del 9 novembre 2004, causa C-203/02, The British Horseracing Board) che i diritti sui generis sulle banche dati non si applicano ai dati che sono il semplice “sottoprodotto” dell’attività principale di un’organizzazione. Poiché la raccolta dei dati avverrebbe come parte integrante dell'attività principale, non comportando un investimento aggiuntivo significativo per la creazione della banca dati stessa. Pertanto, i dati generati automaticamente o raccolti come parte dell’operatività aziendale o di un ente pubblico non sarebbero protetti sotto questo cappello, generalmente.

III) La normativa sulla protezione dei dati personali

L’Unione Europea ha sviluppato un sistema legislativo avanzato per la protezione dei dati personali, considerata un diritto fondamentale nella Carta dei diritti fondamentali dell’UE (art. 8). Il GDPR, in tal senso, riconosce diritti inalienabili degli interessati sui propri dati, artt. 15-22 - come il diritto di essere informati, di ottenere una copia dei propri dati e di richiederne la cancellazione o rettifica. Nondimeno tali diritti non sono assoluti: esistono eccezioni e limiti, ad esempio quando i dati di un altro interessato sono coinvolti o quando ci sono obblighi legali di conservazione.

Contrariamente alla percezione comune, il diritto alla protezione dei dati non equivale a un diritto di proprietà sui dati personali, né da parte dell’interessato né da parte di altri soggetti (titolari, ecc.). Le autorità europee (EDPB in primis) ribadiscono che, concernendo un diritto fondamentale, i dati personali non possono essere trattati come una “merce negoziabile”. Anche con il consenso al trattamento gli interessati non possono rinunciare ai loro diritti fondamentali. In sintesi, pur garantendo agli individui un controllo significativo sui propri dati, il GDPR non va interpretato come concedere una forma di “proprietà” o “possesso” dei dati in capo a un soggetto. La radice di fondo della disciplina, ancorata al rispetto della dignità umana dell’interessato, non lo permetterebbe.

In conclusione, secondo lo studio nessuna delle precedenti interpretazioni dei dati si sposerebbe funzionalmente con gli attributi specifici degli stessi, ovvero: illimitati, accessibili a tutti e utilizzabili senza esclusività. I vari ambiti sopra illustrati tuttora permangono ma si devono confrontare e convivere con una nuova ondata normativa.

Una nuova visione dei dati: il data act

Le precedenti analisi hanno esplorato l'idea più retriva e semplicistica di un controllo esclusivo sui dati, mentre la normativa europea più recente adotta un approccio più sofisticato. Focalizzandosi sul diritto di accesso e uso dei dati per scopi specifici, senza stabilire diritti di proprietà/possesso dei dati. Esempi di questa logica includono per es. la Direttiva 2015/2366 “PSD2” sui servizi di pagamento (che permette a terzi di accedere ai dati bancari con il consenso del titolare), oppure il Regolamento (UE) 536/2014 sulle sperimentazioni cliniche (che richiede l'archiviazione centrale dei dati per la ricerca medica).

Il contributo più significativo è rappresentato da una normativa orizzontale come il Data Act, che mira a stimolare l'economia dei dati (personali o meno che siano) e promuovere un mercato competitivo, concentrandosi sull'accesso e la condivisione dei dati per supportare la concorrenza e l'innovazione nel mercato europeo. Gli aspetti chiave del Data Act, in tal senso, includono:

1. condivisione dei dati tra utenti e titolari IoT (Internet of Things): gli utenti di dispositivi IoT possono accedere e trasferire i dati generati dall'uso di un prodotto IoT; il titolare dei dati (“data holder” ai sensi del Data Act, ovvero il soggetto che generalmente realizza il prodotto connesso o che fornisce un servizio correlato, il quale a sua volta genera i dati) è onerato di questa condivisione, senza che possa opporre diritti esclusivi sui dati;
2. condivisione obbligatoria tra imprese (B2B): quando richiesto dalla normativa, i titolari dei dati devono condividere i dati con altre aziende, seguendo requisiti standard, inclusi i meccanismi di tariffazione per i costi di accesso e archiviazione;
3. clausole contrattuali abusive B2B: gli accordi di condivisione tra aziende devono rispettare criteri di equità e buona fede; le clausole eventualmente abusive sono considerate non vincolanti e sono ben definite;
4. condivisione con enti pubblici, in situazioni di necessità (B2G): in casi eccezionali (per es. pandemie), le pubbliche amministrazioni possono richiedere l'accesso ai dati detenuti da privati, con specifiche protezioni e requisiti di trasparenza;
5. portabilità dei dati tra fornitori di servizi: i fornitori di cloud e edge computing devono facilitare il passaggio dei dati riferiti ai propri clienti a terzi eventuali concorrenti, garantendo l'interoperabilità e rimuovendo eventuali ostacoli.

Il plesso normativo mira a evitare che i titolari dei dati ostacolino irragionevolmente l'accesso e l'uso dei dati, penalizzando gli interessi dei clienti o del pubblico. Poiché spesso manca una vera concorrenza, a fronte di monopoli o oligopoli dei dati, gli utenti possono trovarsi “bloccati” (locked-in) con un fornitore. La strategia perseguita dal Data Act, secondo lo studio, sarebbe potenzialmente più efficace di un approccio basato sulla proprietà, poiché pare risolvere direttamente il problema (attualissimo) delle pratiche di mercato sleali anziché regolamentare (con difficoltà e incertezza) i diritti di proprietà sui dati. A conferma, basti leggere il considerando 25 del Data Act, per cui “il presente regolamento non dovrebbe essere inteso nel senso di conferire ai titolari dei dati alcun nuovo diritto di utilizzare i dati dei prodotti o i dati dei servizi correlati”. 

Data act e open data

Va precisato che il Data Act non fa riferimento ai dati aperti o all'informazione del settore pubblico, con una piccola eccezione: il considerando 70 afferma che quando un ente del settore pubblico applica il suo diritto (di cui al Capo V) di rivendicare dati del settore privato in situazioni di necessità eccezionale, tali dati non dovrebbero poi essere considerati “open data” disponibili per il riutilizzo da parte di terzi (se non per la creazione di statistiche ufficiali). In altre parole: quando un governo richiede a un'azienda privata di consegnare determinati dati al fine di attenuare una crisi, non si può più richiedere che tali dati siano successivamente resi disponibili per il riutilizzo pubblico, ai sensi della Direttiva (UE) 2019/1024 sugli open data (ambito in cui, per definizione, è necessario rendere disponibili i dati con il minor numero possibile di vincoli). 

Lo studio sottolinea che, poiché la definizione di titolare dei dati nel Data Act è così ampia, un ente del settore pubblico che detiene determinati dati nell'ambito di applicazione della Direttiva open data deve essere considerato anche un titolare dei dati, e quindi rientrare parimenti nell'ambito di applicazione del Data Act. D'altronde se tale ente sceglie di rendere disponibili tali dati come dati aperti, non incorrerà in nuovi obblighi o oneri ai sensi del Data Act, poiché in tal caso non esiste un titolare dei dati che “involontariamente” dovrebbe essere costretto a consegnare i propri dati a un utente. In sostanza, la politica degli open data soddisfa – intrinsecamente - gli obiettivi e gli obblighi del Data Act.

La comunità degli open data ha da tempo riconosciuto che la creazione di valore ottimale dai dati può essere creata garantendo la disponibilità e il riutilizzo gratuiti, senza tentare di risolvere alcuna controversia sulla proprietà dei dati. 

In conclusione

La proprietà dei dati è un concetto giuridicamente complesso e privo di una definizione univoca nell’architettura normativa UE (soprattutto a causa dei connotati di non esclusiva e inesauribilità senza perdita di valore). Il Data Act, a tal fine, si concentra sui diritti di accesso e utilizzo, conferiti ai titolari dei dati per promuovere la disponibilità e il riutilizzo, come già sostenuto da tempo nella comunità degli open data. Questo approccio mira a limitare il potere e le pratiche sleali di alcuni titolari, fornendo una regolamentazione coerente su scala europea, auspicando di ottenere finalmente un mercato comune europeo dei dati digitali, oltre a poter meglio sostenere la “fame di dati” delle nuove frontiere tecnologiche come l’intelligenza artificiale. Oltre a dover sostenere gli ambiziosi progetti di spazi comuni europei di dati.

L’efficacia di questa novella, applicabile dal 12 settembre 2025 in tutta l’Unione, dipenderà dalla sua capacità di rendere i dati più accessibili senza attribuire diritti di proprietà o uso esclusivi, in maniera omogenea e coerente in tutta Europa.

Al netto dello studio, rimangono interrogativi su quanto questa spinta all’apertura dei dati possa effettivamente tradursi in un riequilibrio concreto tra grandi aziende tecnologiche e altri operatori di mercato, dato che molte di queste realtà detengono già risorse e infrastrutture capaci di raccogliere, elaborare e sfruttare enormi quantità di dati. Il rischio è che il nuovo Regolamento possa finire per agevolare principalmente coloro che hanno la capacità di capitalizzare sulla maggiore disponibilità di dati, mantenendo diseguaglianze di potere nel mercato e limitando l’effettiva democratizzazione dell’accesso e dell’uso dei dati.

Va altresì meditato uno scenario ulteriore: mentre l’approccio adottato dal Data Act riduce il rischio di monopolizzazione, lascia una zona grigia rispetto alla titolarità dei dati stessi, creando incertezza su chi possa rivendicare un controllo effettivo e duraturo sugli asset digitali. Questa ambiguità potrebbe limitare gli investimenti in settori innovativi, in cui gli attori economici sono riluttanti a investire pesantemente senza garanzie di esclusività o un chiaro titolo proprietario sui dati generati. Inoltre, senza un concetto di proprietà definito, il rischio è nuovamente che le grandi piattaforme e operatori tecnologici possano ancora prevalere, avendo già consolidato risorse e tecnologie per estrarre il massimo valore dai dati, relegando i nuovi entranti a un ruolo marginale.

In definitiva, pur volendo promuovere un accesso più aperto e democratico ai dati, la mancata adozione e promozione di un attributo di proprietà/esclusiva (perlomeno quanto ai dati non personali) potrebbe palesare alcuni risvolti negativi - rischiando di rallentare l’emergere di un ecosistema realmente competitivo e limitare il potenziale innovativo delle piccole e medie imprese, le quali potrebbero non avere le risorse necessarie per competere efficacemente in un contesto dominato da chi già detiene un vantaggio tecnologico.