L’11 gennaio 2024 è entrato in vigore il Data Act, il nuovo regolamento europeo sui dati riguardante “norme armonizzate sull’accesso equo ai dati e sul loro utilizzo”, il quale rientra nella più ampia strategia europea di creazione di un mercato digitale unico e di acquisizione da parte dell’Unione di una leadership nel settore dei dati e che consentirà una maggiore circolazione di dati a beneficio di imprese, cittadini e pubbliche amministrazioni.
Il Data Act rappresenta la seconda iniziativa europea più importante in materia di dati; di fatto esso, insieme al Data Governance Act (Regolamento 2022/868), rientra nella più ampia strategia europea di creazione di un mercato digitale unico e di acquisizione da parte dell’UE di una leadership nel settore dei dati, già annunciata dalla Commissione europea nel febbraio 2020. Lo scopo di tale strategia è quello di creare un mercato unico europeo in cui i dati possano circolare, essere condivisi ed utilizzati liberamente sia da parte di soggetti pubblici che privati nell’ambito della ricerca e dell’innovazione nell’Unione europea, ad esempio a beneficio della modernizzazione dei servizi pubblici, della produzione di farmaci personalizzati, della realizzazione di una mobilità più efficiente e di una migliore definizione delle politiche.
L’obiettivo del Data Act è quello di creare un’economia dei dati più equa e innovativa introducendo norme armonizzate volte a garantire un’equa ripartizione del valore dei dati tra gli operatori della data economy. Più nel dettaglio, il Data Act regola l’accesso e l’utilizzo di dati di un “prodotto” o di un servizio correlato, ossia di un bene che “ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente, e che è in grado di comunicare dati tramite un servizio di comunicazione elettronica accessibile al pubblico”, ne sono un esempio i veicoli connessi, i macchinari industriali e quelli adoperati nel settore sanitario. Ciò significa che tutti i prodotti connessi immessi sul mercato europeo, nel cosiddetto settore dell’Internet of Things (IoT), dovranno essere progettati e fabbricati in modo da consentire agli utenti di accedere, utilizzare e condividere facilmente ed in modo sicuro i dati da essi generati.
Nello specifico, le imprese che producono e forniscono tali prodotti connessi in ambito IoT, ad eccezione delle piccole o microimprese, devono garantire agli utenti l’accesso e la portabilità dei dati generati dal prodotto, nonché dei relativi metadati necessari ad interpretare tali dati, rendendoli disponibili in formato completo, strutturato, comunemente utilizzato e leggibile da una macchina. Inoltre, tra le misure volte a regolare una efficiente circolazione dei dati, sono previste:
i) La monetizzazione dei dati, ossia il pagamento di un prezzo, purché ragionevole e non discriminatorio, corrispondente agli investimenti sostenuti per la produzione e la raccolta dei dati, nonché al costo da sostenere per la loro messa a disposizione;
ii) La tutela dei segreti commerciali, ossia misure di sicurezza volte a proteggere informazioni la cui circolazione lederebbe gli interessi e i diritti proprietari delle imprese;
iii) L’interoperabilità dei servizi cloud, ossia misure che consentono agli utenti di passare efficacemente fra fornitori di servizi di data processing differenti per sbloccare il mercato cloud dell’Unione.
Il Data Act prevede, inoltre, misure volte a contrastare l’abuso di squilibri contrattuali che impediscono un’equa condivisione dei dati a tutela delle piccole e medie imprese contro clausole contrattuali abusive imposte da imprese che godono di una posizione di mercato significativamente più forte. A tal proposito, il Data Act arriva a indicare un elenco di clausole contrattuali inefficaci, distinguendo:
a) le clausole sicuramente abusive (es. clausola che prevede l’esclusione o la limitazione della responsabilità della parte che ha imposto la clausola per atti intenzionali o colpa grave, clausola che prevede l’esclusione di rimedi contro inadempimenti della parte che ha più potere contrattuale);
b) clausole che si presumono abusive (es. clausola che permette di accedere ai dati dell’altro contraente e di utilizzarli contro gli stessi interessi di quest’ultimo, clausola che impedisce al contraente debole la facoltà di risolvere unilateralmente il contratto entro un periodo ragionevole).
Inoltre, è prevista la possibilità – da parte di autorità pubbliche, quali la Commissione europea, la Banca centrale europea e altri organismi dell’Unione – di richiedere l’accesso ai dati raccolti da imprese e utenti privati in particolari circostanze di necessità e urgenza, dietro ragionevole compenso.
Pur essendo il Regolamento 2023/2854 già vigente, Il Data Act dovrà essere applicato a partire da settembre 2025 sia per ciò che attiene i dati personali che i dati non personali, integrando e non pregiudicando quanto già previsto dal GDPR in materia di protezione dei dati personali.
La mancata osservanza dei diritti di accesso previsti dal Data Act è soggetta alle sanzioni previste dal GDPR (sanzione corrispondente fino al 4% del fatturato mondiale annuo o 20 milioni di euro a seconda di quale sia il valore più alto).
L’entrata in vigore del Data Act pone le aziende di molti settori di fronte ad un epocale cambiamento sin dalla progettazione dei proprio prodotti o servizi, cambiamento che dovrà essere affrontato nel modo corretto e rispettando il nuovo regolamento, al fine di non incorrere in sanzioni e rimanere competitivi sul mercato.
DISCLAIMER: Questo articolo fornisce solo informazioni generali e non costituisce consulenza legale di alcun tipo da parte di Macchi di Cellere Gangemi che non si assume alcuna responsabilità per il contenuto e la correttezza della newsletter. L’autore o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.