Il Data Act vuole segnare un’inversione di tendenza nell’economia dei dati attualmente in mano all’oligopolio delle Big Tech garantendo agli utenti di riappropriarsi della ricchezza prodotta dall’utilizzo degli oggetti smart o dei servizi a questi correlati. Ma chi sono i fabbricanti degli oggetti, i fornitori dei servizi e delle infrastrutture in cui circolano i nostri dati? Sempre le Big Tech. Il Data Act mediante lo strumento del contratto cerca di strappare alle piattaforme i dati europei. Tuttavia finchè non entrerà a pieno regime l’infrastruttura tutta europea di GAIA X la strategia UE della data economy sarà sempre un po’ zoppa.
Il Data Act Il Data Act o Regolamento europeo sull'equo accesso ai dati e al relativo utilizzo è stato approvato il 9 novembre 2023 con la “Risoluzione legislativa del Parlamento europeo del 9.11.23 sulla proposta di regolamento del Parlamento europeo e del Consiglio riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo normativa sui dati COM 2022 0068 – C9- 0051/2022 – 2022/0047 COD ”. Dopo questa adozione del Parlamento, il testo passerà al Consiglio per l'approvazione definitiva e quindi verrà pubblicato in Gazzetta UE. Trascorsi 20 mesi dalla pubblicazione entrerà in vigore e quindi dobbiamo aspettarci di applicarlo verso la fine 2025/inizio 2026. I protagonisti di questa normativa sono essenzialmente tre l'utente generatore dei dati , il titolare dei dati fabbricante o fornitore , il terzo. I prodotti connessi sono presenti in tutti gli aspetti dell'economia e della società, tra cui infrastrutture private, civili o commerciali, veicoli, attrezzature sanitarie e legate allo stile di vita, navi, aeromobili, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari o macchine agricole e industriali. Attualmente i dati sprigionati dall'utilizzo di tali prodotti e dei servizi correlati restano unicamente nella disponibilità dei fabbricanti o dei fornitori senza possibilità di accesso da parte degli utenti. Il Data Act assegna - in forza di legge - all'utente il diritto di accedere a questi dati concludendo un contratto con il fabbricante o il fornitore a condizioni eque, ragionevoli e non discriminatorie. Non solo, l'utente può anche richiedere al titolare di consentire l'accesso a un terzo ben specificato. Una volta in vigore il Data Act, prima di concludere il contratto si dovranno regolare anche le condizioni di accesso e di utilizzo dei dati generati. Ad esempio il fabbricante fornirà informazioni sugli output accessibili e quindi descriverà in modo chiaro e comprensibile i tipi di dati sprigionati dall'utilizzo, il loro formato e il volume ipotizzabile. Il Considerando 24 specifica puntualmente che «tra queste [informazioni] potrebbero rientrare informazioni sulle strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, ove disponibili, nonché informazioni chiare e sufficienti pertinenti per l'esercizio dei diritti dell'utente sulle modalità di archiviazione e reperimento dei dati o di accesso agli stessi, comprese le condizioni di utilizzo e la qualità del servizio delle interfacce di programmazione delle applicazioni oppure, se del caso, la fornitura di kit di sviluppo software. Tale obbligo garantisce la trasparenza dei dati del prodotto generati e migliora la facilità di accesso per l'utente. L'obbligo di informazione potrebbe essere soddisfatto, ad esempio, mantenendo un identificatore uniforme di risorse URL stabile sul web, distribuibile come link web o codice QR, che conduce alle informazioni pertinenti e che il venditore, il locatore o il noleggiante, che può essere il fabbricante, potrebbe fornire all'utente prima della conclusione del contratto di acquisto, locazione o noleggio di un prodotto connesso. In ogni caso, è necessario che l'utente possa archiviare le informazioni in modo che siano accessibili per consultazione futura e in modo da consentire la riproduzione inalterata delle informazioni conservate». Il Data Act si applica nei rapporti B2C e nei rapporti B2B Pensiamo ai dati sprigionati dall'utilizzo di uno smart watch qui il contratto avviene nell'ambito B2C tra l'utente e il fabbricante. Pensiamo invece ai dati sprigionati da un macchinario intelligente di una società agricola qui il contratto avviene nell'ambito B2B tra l'impresa-utente e il fabbricante. La dinamica della disciplina sull'accesso e sull'utilizzo dei dati sprigionati può comprendere anche un secondo contratto tra l'utente e il terzo disposto a corrispondere un compenso per analizzare e raccogliere questi dati per il proprio business. Addirittura esiste anche una terza opzione ovvero il contratto tra l'utente e il fabbricante che vuole analizzare e raccogliere questi dati per migliorare il proprio prodotto o servizio. Il Considerando 25 precisa bene questo punto «è opportuno non considerare il presente regolamento come un atto che conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati del prodotto o di un servizio correlato. Se il fabbricante di un prodotto connesso è un titolare dei dati, la base per l'utilizzo di dati non personali da parte del fabbricante dovrebbe essere un contratto tra il fabbricante e l'utente». Clausole abusive Il titolare dei dati non deve imporre unilateralmente all'utente clausole contrattuali abusive volte a ridurre il più possibile le facoltà di accesso oppure ad accaparrarsi condizioni negoziali oltremodo favorevoli quando si stipula il “secondo contratto” di uso dei dati sprigionati. La disciplina in oggetto stabilisce - in ossequio al principio di equità - la nullità assoluta di dette clausole e dunque, ove presenti, devono considerarsi come mai apposte e non vincolanti per l'utente-soggetto debole. La disciplina sulla condivisione dei dati dev'essere equa e quindi viene previsto un test atto a stabilire l'abusività o meno della clausola nonché un elenco di clausole presuntivamente abusive. Concorrenza sleale L'apertura sui dati in possesso dei fabbricanti o dei fornitori implica il problema di eventuali accessi finalizzati ad attività illecite come ad esempio la concorrenza sleale. Si pensi a un terzo autorizzato dall'utente ad accedere ai dati che, una volta dentro il sistema del titolare, cerca di carpirne i segreti commerciali o industriali per immettere sul mercato un prodotto o un servizio concorrente. Il caso degli assistenti virtuali Il legislatore europeo si sofferma nei Considerando sul caso particolarmente esemplificativo degli assistenti virtuali. Gli assistenti virtuali svolgono un ruolo centrale nella datificazione dell'ambiente dei consumatori e/o delle professioni. Osserva il legislatore Ue considerando 23 che «gli assistenti virtuali possono fungere da punto di accesso unico, ad esempio, in un ambiente domestico intelligente e registrare quantità significative di dati pertinenti sul modo in cui gli utenti interagiscono con i prodotti connessi a internet, compresi quelli fabbricati da altre parti possono inoltre sostituire l'uso di interfacce fornite dal fabbricante quali schermi tattili o applicazioni per smartphone. L'utente potrebbe voler mettere tali dati a disposizione di fabbricanti terzi e consentire così la realizzazione di nuovi servizi intelligenti». Posto che i dati prodotti dall'assistente virtuale non correlati all'uso di un prodotto connesso o di un servizio correlato non rientrano nell'ambito di applicazione del Data Act, dovrebbero essere certamente ricompresi nella disciplina in oggetto «i dati generati quando un utente interagisce con un prodotto connesso tramite un assistente virtuale fornito da un'entità diversa dal fabbricante del prodotto connesso». La ridistribuzione della ricchezza data driven ha bisogno di GAIA X Il Data Act mediante lo strumento del contratto cerca di strappare alle piattaforme i dati europei. Tuttavia finchè non entrerà a pieno regime l'infrastruttura tutta europea di GAIA X la strategia UE della data economy sarà sempre un po' zoppa. GAIA X mira a creare un'infrastruttura per lo scambio di dati comune e interoperabile, basata su standard aperti e trasparenti. Nonostante infatti gli sforzi normativi del Data Act, allo stato attuale, lo scambio dei dati è limitato dalle tecnologie proprietarie dei grandi cloud provider, non trasparenti e non interoperabili. GAIA X è la risposta europea allo strapotere delle piattaforme americane e cinesi sebbene vi sia qualche critica sull'effettiva potenza di fuoco e sul fatto che alcuni giganti esteri facciano parte del consorzio Non dobbiamo immaginarci un cloud bensì il cloud dei cloud ovvero un'architettura digitale sotto forma di consorzio che detterà standard uniformi per tutti i provider che vi aderiranno al fine di mostrare i muscoli della strategia dei dati europea a Occidente e a Oriente. GAIA X è un'associazione senza fini di lucro che certifica i provider in regola con gli standard UE. Pertanto la piccola o media impresa che vuole risolvere una volta per tutte i problemi di sicurezza e di responsabilità nella condivisione dei dati può acquistare i servizi di un provider che appartiene al consorzio di GAIA X.