Un altro passo verso l’adozione del Data Act, un regolamento europeo che consentirà la totale interoperabilità dei sistemi e una maggiore portabilità dei dati, favorendo la concorrenza in tutti i settori economici.
Lo scorso 5 maggio l’EDPB (Comitato Europeo per la Protezione dei dati Personali) e l’EDPS (Garante europeo della protezione dei dati) hanno fornito parere favorevole(1) alla bozza del “Data Act Regulation”(2), avanzata dalla Commissione europea lo scorso 23 febbraio.
Il Data Act è un complesso di norme si propone di far adottare un nuovo approccio relativamente all’uso e l’accesso ai dati generati nell’UE in tutti i settori economici, in linea con la strategia europea per la data economy per il raggiungimento degli obiettivi europei per il 2030(3).
In particolare, l’obiettivo che la Commissione si pone con questo Regolamento è quello di stimolare la concorrenza nel mercato dei dati personali, un settore in cui le posizioni dominanti delle big tech sono fin troppo evidenti. La Commissione Europea ha infatti osservato che mentre il volume dei dati generati dagli esseri umani e dai macchinari/dispositivi da questi utilizzati è aumentato esponenzialmente negli ultimi anni, la maggior parte dei dati sono inutilizzati o sono concentrati nelle mani di poche grandi aziende, leader del mercato. Troppi ostacoli tecnologici e scarsi incentivi ad inserirsi nel business pongono delle barriere all’ingresso di questo mercato impedendo la creazione di concorrenza effettiva, condizione necessaria per sviluppare un vero contesto innovativo. Per queste ragioni la Commissione si pone l’obiettivo di ridurre il divario digitale in modo che tutti possano beneficiare di queste opportunità.
La proposta di Regolamento pertanto prevede:
- una serie di misure volte a consentire ai consumatori e ad altre imprese di accedere ai dati generati dai prodotti o dai servizi che possiedono, affittano o noleggiano. Il regolamento imporrebbe ai produttori di progettare i prodotti in modo da rendere i dati facilmente accessibili e favorire una comunicazione trasparente circa le modalità di accesso. Il tutto ovviamente senza pregiudicare la possibilità per i produttori di accedere e utilizzare i dati dei prodotti o dei servizi che offrono; a patto che questo sia concordato con l’utente. Gli utenti avranno il diritto di autorizzare il titolare dei dati a dare accesso ai dati a terzi fornitori di servizi, come i fornitori di servizi post-vendita. Il progetto di Regolamento, eliminando alcuni degli ostacoli alla concreta fruibilità del diritto alla portabilità dei dati, offre la possibilità di sviluppare una offerta di prodotti alternativi o servizi correlati, aumentando la competitività e favorendo l’innovazione (attraverso lo sviluppo di prodotti o servizi collegati a quelli inizialmente acquistati o sottoscritti dall’utente). È facile presumere che in questa maniera, un po’ come è avvenuto per le società nel settore dei servizi di telefonia fissa e mobile, si otterrà una maggiore concorrenza tra i player e una apertura ai servizi post vendita offerti da terzi. Infatti, viene in questo modo demolito l’effetto lock-in creato dal controllo esclusivo dei dati generati dall’uso di un prodotto o servizio. Come conseguenza ulteriore i consumatori potranno beneficiare di una scelta più ampia nei servizi post-vendita, come la riparazione e la manutenzione ad opera di terzi, senza dipendere dai servizi del produttore.
- Delle disposizioni atte a bilanciare l’iniquità delle clausole contrattuali nei contratti di condivisione dei dati tra Big Tech e PMI. In particolare, la proposta prevede delle misure atte a vietare le clausole contrattuali imposte unilateralmente da una parte contrattuale. La libertà contrattuale rimane in gran parte inalterata poiché solo le clausole eccessive e abusive saranno considerate invalide.
- Alcune previsioni finalizzate a porre un obbligo, in situazioni eccezionali, di rendere disponibili agli enti pubblici dati in possesso del settore privato. L’obbligo si applicherebbe solo in caso di emergenze pubbliche o in situazioni in cui gli enti pubblici hanno una necessità eccezionale di utilizzare determinati dati, ma tali dati non possono essere ottenuti sul mercato in modo tempestivo attraverso l’emanazione di una nuova normativa o attraverso gli obblighi di comunicazione esistenti. La finalità di queste norme è quella di aumentare la capacità delle autorità pubbliche di rispondere tempestivamente a un’emergenza pubblica, come le emergenze sanitarie o gravi disastri naturali o causati dall’uomo. Per evitare abusi da parte del settore pubblico le richieste di dati dovranno essere proporzionate, indicare chiaramente lo scopo da raggiungere e rispettare gli interessi dell’impresa che li mette a disposizione.
- Nuove regole che consentano ai clienti di passare efficacemente tra diversi fornitori di cloud. Si tratta di un’ulteriore accelerata al concreto utilizzo del diritto alla portabilità dei dati attraverso la richiesta di una maggiore interoperabilità: infatti ai fornitori di servizi cloud si impone di introdurre dei requisiti minimi di natura commerciale e tecnica per consentire che i clienti mantengano l’equivalenza funzionale del servizio anche dopo essere passati ad un altro provider. Sono previste eccezioni per l’impraticabilità tecnica, che dovrà però essere adeguatamente documentata e comprovata. La proposta non impone standard tecnici specifici o interfacce, ma richiede che i servizi siano compatibili con specifiche tecniche di interoperabilità aperte, se esistenti. Contestualmente vengono imposti a questi stessi operatori degli obblighi di mettere in atto misure contro il trasferimento illegale di dati (ad. esempio verso paesi terzi senza le garanzie del GDPR).
Le suindicate misure, ove implementate, certamente avranno un effetto molto importante per tutte le aziende data driven. Da un lato avremmo aziende che avranno una grande occasione per offrire servizi migliori (come, ad esempio, le aziende che offrono servizi di maintenance o che offrono servizi complementari). Dall’altro, quelle aziende che hanno basato il proprio business su modelli “chiusi” si troveranno con nuove questioni da affrontare: dovranno accettare che la monopolizzazione dei dati o la non interoperabilità dei sistemi non è più un’opzione.
Vale la pena ricordare che il Data Act è, allo stato, una proposta.
La bozza deve essere infatti ancora approvata e probabilmente, al termine dell’iter normativo, il testo potrebbe risultare profondamente modificato rispetto alla bozza che oggi commentiamo. Tuttavia, il tenore della proposta dimostra che la Commissione Europea è seriamente motivata a creare un’economia europea dei dati equa e competitiva e a prendere misure anche molto forti per promuovere questo approccio, costringendo le aziende ad implementare nuovi modelli di business in grado di risultare vincenti anche a fronte della cessione a terzi di uno dei principali asset strategici: i dati.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(3) Si pensi che, secondo la Commissione, questo nuovo set normativo dovrebbe creare entro il 2028 ben 270 miliardi di euro di PIL