Con l’obiettivo di rafforzare l’economia dei dati, ridurre il divario digitale e assistere le competenze europee nel settore tecnologico, il Data Act, che integra il Regolamento sulla Governance dei dati (Regolamento UE 2022/868), vuole agevolare le imprese, in particolare alle PMI e alle start-up, garantendo neutralità dell’accesso ai dati, portabilità e interoperabilità dei dati ed evitando effetti di dipendenza nei confronti di imprese molto grandi con un notevole potere economico nell’economia digitale (“Gatekeeper”, come disciplinati nel Regolamento (UE) 2022/1925, c.d. Digital Market Act).
Il Data Act individua gli strumenti che possono raccogliere e generare dati (personali e non):
- i prodotti connessi, intesi come beni che ottengono, generano o raccolgono dati accessibili durante l’utilizzo, in grado di comunicare dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso da dispositivo e la cui funzione primaria non è la conservazione, il trattamento o la trasmissione di dati per conto terzi;
- i servizi correlati, intesi come servizi digitali, anche software (esclusi i servizi di comunicazione elettronica), strettamente interconnessi con un prodotto, in modo tale che l’assenza impedirebbe al prodotto di svolgere una o più delle proprie funzioni, e che comporta l’accesso ai dati dal prodotto connesso da parte del fornitore o del servizio.
Obiettivo del Data Act è rendere sempre disponibili gratuitamente all’utente i propri dati (personali e non) che sono stati raccolti, generati, utilizzati e conservati dai prodotti e servizi.
Con la medesima logica dei diritti di accesso e di portabilità dei dati personali, come disciplinati dal Regolamento (UE) 2016/679, i dati dell’utente dovranno essere accessibili in un formato completo e di uso comune, tramite sistemi di semplice e sicuro utilizzo e che siano fruibili, con gli adeguamenti minimi necessari, ad essere esportati per l’utilizzo di terzi soggetti, ricomprendendo i relativi metadati necessari per interpretare e utilizzare tali dati.
È da considerare con particolare attenzione, il caso di un prodotto connesso oppure di un servizio correlato, che genera dati riferibili a una persona fisica identificata o identificabile (interessato) e per cui il relativo trattamento deve essere soggetto alle norme stabilite ai sensi del GDPR, anche quando non sia possibile distinguere tra i dati personali e non. In quest’ottica, i prodotti connessi e i servizi correlati devono essere progettati, fabbricati e forniti, affinché vi sia il minor impatto possibile sulla privacy (intesa in senso generale) degli interessati, offrendo la possibilità di esercitare direttamente i diritti di cui godono gli interessati (articoli 15-22 GDPR), ove tecnicamente possibile.
In linea con questo principio di tutela degli utenti e in maniera similare a quanto disciplinato dall’articolo 12 del GDPR, il Data Act vorrebbe prevedere che siano fornite all’utente le informazioni minime necessarie, prima della conclusione di un accordo con un fornitore di servizi correlati, nel caso lo stesso possa avere accesso ai dati raccolti e generati durante la fornitura di tali servizi. Infatti, l’articolo 3 del Data Act attualmente prevede che tali informazioni siano somministrate in maniera semplice e in un formato chiaro e comprensibile, tra cui, in particolare:
- la natura, il volume, la frequenza di raccolta e il formato dei dati, nonché le modalità di accesso e recupero dei dati da parte dell’utente, compreso il periodo di conservazione;
- la natura e il volume stimato dei dati generati durante la fornitura del servizio correlato, nonché le modalità di accesso e recupero dei dati da parte dell’utente;
- le opzioni di consenso dettagliate e significative per il trattamento dei dati;
- se il fornitore di servizi che fornisce il servizio correlato, in qualità di titolare dei dati, intende utilizzare i dati consultati dal prodotto connesso stesso o consentire a uno o più terzi di utilizzare i dati per finalità concordate con l’utente;
- i dati identificativi del fornitore del servizio correlato e, ove applicabile, di altre parti incaricate del trattamento dei dati;
- i mezzi di comunicazione che consentono all’utente di contattare rapidamente il fornitore e di comunicare efficacemente con il suo personale;
- le modalità con cui l’utente può richiedere che i dati siano condivisi con un destinatario dei dati e, se del caso, revocare il consenso alla condivisione dei dati;
- le modalità con cui l’utente è in grado di gestire le autorizzazioni per consentire l’utilizzo dei dati, ove possibile con opzioni di autorizzazione dettagliate e comprendenti la possibilità di revocare tali autorizzazioni a un titolare dei dati o ai terzi nominati dal titolare dei dati, o di escludere gli indirizzi geografici;
- la durata dell’accordo tra l’utente e il fornitore del servizio correlato, nonché le modalità per risolvere l’accordo anticipatamente.
Infine, ai sensi dell’articolo 6 del Data Act, i destinatari che ricevono i dati su richiesta dell’utente devono trattare tali dati solo per le finalità e alle condizioni concordate con l’utente, rispettando i requisiti posti dalla normativa sulla protezione dei dati personali e non devono, in particolare:
- rendere indebitamente difficile l’esercizio dei diritti o delle scelte degli utenti;
- utilizzare i dati che riceve per la profilazione di persone fisiche, se non in conformità delle disposizioni del GDPR;
- comunicare a terzi i dati senza informare l’utente in modo chiaro e facilmente accessibile e senza chiedere l’esplicita autorizzazione contrattuale dell’utente;
- mettere i dati che riceve a disposizione di un’impresa che fornisce servizi di piattaforma di base per i quali uno o più di tali servizi sono stati designati come Gatekeeper;
- utilizzare i dati che riceve per sviluppare un prodotto in concorrenza con il prodotto da cui provengono i dati consultati né condividere i dati con un altro terzo a tal fine.
Fonti
https://www.europarl.europa.eu/doceo/document/TA-9-2023-0069_IT.html
