La strategia dell’Unione Europea per i dati mira alla creazione di un mercato unico che favorisca la libera circolazione dei dati in tutti i settori a vantaggio delle imprese, dei ricercatori e delle pubbliche amministrazioni, garantendo al contempo che le aziende e gli individui che generano dati ne mantengano il controllo.
Nell’ambito di questa strategia, sono stati approvati il Regolamento europeo sulla governance dei dati, c.d. European Data Governance Act (EDGA), entrato in vigore a settembre 2023, e il Regolamento europeo sui dati c.d. European Data Act[1] (EDA), entrato in vigore a gennaio 2024, sulla condivisione dei dati generati dall’uso di prodotti connessi o di servizi correlati tra imprese e utenti.
L ‘EDA e l’EDGA si pongono l’ambizioso proposito di rendere economicamente vantaggioso l’utilizzo dei dati, anche non personali, nel mercato economico europeo, mediante la rimozione di barriere all’accesso dei consumatori e delle imprese a tali dati, creando quindi nuove opportunità, nuovi obblighi e conseguenti rischi di non ottemperanza.
Le principali novità introdotte dal Data Governance Act
Tra le novità dell’EDGA si segnalano:
Quadro di condivisione dei dati: l’EDGA stabilisce le condizioni per il riutilizzo, all’interno dell’UE, di determinate categorie di dati detenuti da enti pubblici, ponendo il divieto di stipulazione di accordi di esclusiva relativi al riutilizzo di tali dati; definisce, inoltre, regole che gli enti pubblici devono seguire nel porre le condizioni al riutilizzo dei dati; introduce per gli enti pubblici l’obbligo di istituire uno sportello unico dedicato e l’adozione di una procedura per la gestione delle richieste di riutilizzo dei dati (artt. 1-9).
Requisiti applicabili ai servizi di intermediazione dei dati: l’EDGA disciplina la fornitura di servizi di intermediazione dei dati, l’obbligo di notifica di tali fornitori all’autorità competente, le condizioni (anche commerciali) che tali fornitori di servizi devono rispettare, l’istituzione di autorità competenti per i servizi di intermediazione dei dati, i compiti di monitoraggio sulla conformità di tali autorità, e deroghe per gli enti senza scopo di lucro (artt. 10-16).
Altruismo dei dati: l’EDGA stabilisce il principio dell’altruismo dei dati, inteso come condivisione dei propri dati per il bene comune garantendo tuttavia una protezione adeguata contro gli abusi; vengono quindi disciplinate dettagliatamente le organizzazioni per l’altruismo dei dati riconosciute (artt. 17-25).
Autorità competenti e disposizioni procedurali: l’EDGA prevede i requisiti delle autorità competenti per i servizi di intermediazione dei dati e per la registrazione delle organizzazioni per l’altruismo dei dati, il diritto delle persone fisiche e giuridiche a presentare un reclamo a tali autorità e il diritto ad un ricorso giurisdizionale effettivo (artt. 26-28).
Comitato europeo per l’innovazione in materia di dati: vieneistituito dalla Commissione un comitato europeo per l’innovazione in materia di dati sotto forma di un gruppo di esperti, costituito da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati e delle autorità competenti per la registrazione delle organizzazioni per l’altruismo dei dati di tutti gli Stati membri, del comitato europeo per la protezione dei dati, del garante europeo della protezione dei dati, dell’ENISA, della Commissione, dal rappresentante dell’UE per le PMI e da altri rappresentanti nominati.
Le principali novità introdotte dal Data Act
Tra le novità dell’EDA si segnalano:
Diritto di accesso e utilizzo dei dati per gli utenti: l’EDA obbliga le imprese che producono e/o forniscono prodotti connessi (eccezion fatta per le piccole e microimprese) a garantire l’accesso e la portabilità dei dati generati dall’utilizzo del prodotto e/o dall’eventuale servizio correlato al prodotto (artt. 1-7).
Equità nella distribuzione del valore dei dati: l’EDA introduce una serie di disposizioni volte a equilibrare il potere contrattuale delle grandi imprese e quello delle piccole e medie imprese, imponendo eque condizioni per la condivisione dei dati (artt. 8-13).
Disponibilità dei dati per gli enti del settore pubblico in casi di necessità e urgenza: l’EDA prevede che, a fronte di particolari circostanze di necessità e urgenza (ad esempio emergenze pubbliche), gli enti del settore pubblico, comprese istituzioni, organi e agenzie dell’Unione Europea, possono richiedere che i dati trattati da soggetti privati vengano messi a disposizione per affrontare o prevenire o contribuire al ripristino di un’emergenza pubblica; a seconda dei casi, la trasmissione dei dati richiesti deve avvenire gratuitamente, ovvero a fronte di un compenso ragionevole (artt. 14-22).
Servizi cloud e edge: l’EDA persegue il miglioramento delle condizioni di utilizzo, per imprese e consumatori, dei servizi cloud (ovvero quei servizi dove il carico di lavoro è svolto in un data center centralizzato) e servizi edge (ovvero quei servizi dove il carico di lavoro è svolto vicino al dispositivo che richiede il servizio, ai margini della rete), rendendo obbligatoria la possibilità di spostamento di dati e applicazioni da un fornitore all’altro senza sostenere alcun costo (artt. 23-26).
I principali aspetti di interesse in capo agli operatori economici
- La possibilità di fare richiesta di accesso ai dati di enti pubblici, diversamente protetti per motivi di riservatezza.
- La necessità di prevedere adeguate garanzie in materia di cybersecurity, in relazione ai prodotti connessi e/o ai servizi correlati forniti, dove siano trattati significative quantità di dati, anche non personali.
- L’adozione di sistemi di protezione con riferimento alle informazioni costituenti segreti commerciali per poter legittimamente esercitare il diritto di opposizione alle richieste di accesso e portabilità dei dati.
- La verifica della conformità dei contratti per la fornitura di prodotti o servizi connessi alle nuove previsioni in materia di clausole abusive.
- Per i fornitori di servizi cloud o altri data processing services, la revisione dei processi tecnici, commerciali e organizzativi, inclusi i propri standard contrattuali, al fine di non ostacolare la portabilità dei dati degli utenti ad un nuovo fornitore di servizi.
- Il controllo che eventuali strategie di c.d. monetizzazione dei dati rispettino le nuove norme.
Per ulteriori orientamenti e assistenza sulla conformità riguardo all’EDGA e all’EDA incoraggiamo le imprese e le organizzazioni a cercare consulenza legale e a rimanere informati sugli sviluppi in corso nella regolamentazione dei dati all’interno dell’UE.
[1] Regulation of the European Parliament and of the Council on harmonized rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act).
