Dal 15 settembre 2025, diventerà applicabile il Data Act. Il Regolamento (UE) 2023/2854, in vigore dall’11 gennaio 2024, contenente norme armonizzate sull’accesso equo ai dati e sul loro utilizzo mira a tutelare tanto i consumatori, quanto le imprese (specie le PMI).
Qui ci concentreremo sulle possibili applicazioni del Data Act alle imprese che – puntando all’interconnessione e all’automazione dei processi di produzione industriale – scelgono prodotti connessi a Internet (“prodotti connessi”) e servizi correlati.
Data Act: obiettivi e nuovi diritti per le imprese
I prodotti connessi fanno parte della rete dell’Internet of Things (IoT). Le tecnologie IoT sono estremamente utili all’industria. Infatti, permettono di prevedere le necessità di manutenzione di macchinari, di monitorare in tempo reale i processi produttivi e i consumi energetici, di tracciare la posizione e le condizioni di prodotti, di assicurare una maggiore trasparenza in merito all’origine dei prodotti, alla provenienza dei componenti o dei materiali utilizzati e ai metodi di produzione adottati, ecc.
L’Unione Europea ha ritenuto maturi i tempi per trasformare i dati raccolti nell’IoT in qualcosa di utile a chi li genera e per aiutare gli utenti dei prodotti connessi e dei servizi ad essi correlati ad accedere ai “propri” dati, mediante un quadro armonizzato volto a specificare «chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base» (considerando 4 del Data Act).
Il Data Act si propone – fra l’altro – di introdurre diritti per le imprese che usano tecnologie IoT per: a) controllare i dati che generano b) utilizzarli a proprio vantaggio per i più svariati obiettivi (risolvere problemi, abbattere i costi, effettuare controlli sui macchinari per preservare incentivi fiscali, fare marketing, ecc.).
Immaginiamo un’impresa che si avvale di macchinari intelligenti, volti a sostituire il lavoro umano, connessi e programmati per usi ripetitivi, che voglia fare manutenzione predittiva per evitare fermi macchina non pianificati. Il Data Act riconosce all’impresa il diritto di estrarre o di chiedere al fabbricante (o, a seconda dei modelli di distribuzione) al rivenditore dei macchinari o al fornitore di servizi correlati i dati generati dai macchinari ed esaminarli, o affidarli a suoi consulenti per capire quando intervenire con la manutenzione.
Il Data Act nel contesto della Transizione 5.0
Il Data Act cade in un contesto storico in cui l’Unione Europea e, per quel che ci riguarda, l’Italia, incentivano significativamente la digitalizzazione mediante la leva fiscale, incoraggiando le imprese a investire in tecnologie come l’IoT, la robotica avanzata, l’intelligenza artificiale, la stampa 3D e il cloud computing.
Già dal 2017 (con la cd. “Industria 4.0”), l’Italia offre il credito d’imposta fino al 20 % delle spese per l’acquisto di beni strumentali volti a innovare e a trasformare i processi. Con il Decreto-Legge del 2 marzo 2024, n. 19 (c.d. Decreto PNRR quater) convertito con modificazioni dalla L. 29 aprile 2024, n. 56, l’Italia ha dato il via al Piano Transizione 5.0, che mira a far procedere di pari passo la digitalizzazione e la sostenibilità ambientale. Infatti, non solo le tecnologie innovative migliorano i processi industriali, ma ne riducono l’impatto ambientale. Con la Transizione 5.0, il credito d’imposta per i progetti di innovazione (avviati dal 1° gennaio 2024 e completati entro il 31 dicembre 2025) mirati alla riduzione dei consumi energetici e che puntano a rendere i processi produttivi sempre più efficienti e sostenibili, è stato aumentato fino al 45%.
Per quel che riguarda l’Italia, l’entrata in vigore e l’operatività del Data Act cadono in un biennio (il 2024-2025) in cui un rilevante numero di imprese, stimolato dal Piano Transizione 5.0, sceglie o sceglierà di investire in quel tipo di beni strumentali per i quali i diritti introdotti dal Data Act possono rivelarsi assai utili.
La necessità di alfabetizzazione sui dati e il ruolo dei giuristi d’impresa
Per fare in modo che le imprese capiscano l’importanza dei dati e imparino a ricavarne valore, il Data Act affida – all’art. 37.5, lett. a) – agli Stati membri la promozione dell’alfabetizzazione in materia di dati, intesa come l’insieme delle competenze, delle conoscenze e della comprensione che consentono agli utenti (incluse le imprese, in particolare le PMI) di acquisire consapevolezza in merito al valore potenziale dei dati da essi generati, prodotti e condivisi (considerando 19). Quest’opera di sensibilizzazione sarà utile. Tuttavia, per fare in modo che il Data Act sia sfruttato dalle imprese che hanno investito nelle tecnologie avanzate, bisognerà che ci siano legali capaci da un lato di rivedere (tenendo conto della progettazione e di aspetti tecnici) le condizioni di servizio di coloro che creano, vendono e manutengono soluzioni IoT, dall’altro di assistere le imprese utenti di soluzioni IoT nella valutazione dei contratti loro proposti e nell’accesso ai dati.
I soggetti Data Act: utente, titolare dei dati, eventuale destinatario dei dati
L’art. 1 del Data Act indica come oggetto del Regolamento 2023/2854, tra l’altro, «la messa a disposizione dei dati del prodotto connesso e di un servizio correlato all’utente del prodotto connesso o del servizio correlato» e «la messa a disposizione di dati da parte dei titolari dei dati ai destinatari dei dati».
L’art. 2 del Data Act definisce l’utente come «una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato». È utente, dunque, anche l’impresa dell’esempio fatto sopra. È titolare dei dati «una persona fisica o giuridica che ha il diritto o l’obbligo […] di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato». Nel nostro esempio, il titolare dei dati è il produttore del macchinario automatizzato intelligente. Infine, il destinatario dei dati è «una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’utente di un prodotto connesso o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’utente al titolare dei dati o conformemente a un obbligo giuridico […]». Nel nostro esempio, un consulente di fiducia dell’utente/impresa.
Ambito territoriale di applicazione del Data Act
Il Data Act introduce doveri a carico dei fabbricanti di prodotti connessi immessi sul mercato dell’Unione Europea e ai fornitori di servizi correlati, nonché dei titolari dei dati, indipendentemente dal loro luogo di stabilimento (art. 1.3). Dunque, sul fronte degli obblighi, il Data Act vale per chiunque operi sul mercato europeo, sia esso stabilito nell’Unione o meno. Viceversa, il medesimo articolo prevede diritti solo per gli utenti nell’Unione, e autorizza la messa a disposizione dei dati solo nei confronti di destinatari nell’Unione. Se ne deduce che il Data Act è pensato per agevolare utenti europei, eventualmente supportati da destinatari europei, nei confronti di titolari dei dati sia europei che non europei. Anzi, è una normativa che sceglie di usare due pesi e due misure: un’impresa europea ha il diritto di chiedere dati a un’impresa non europea i cui prodotti connessi sono immessi nel nostro mercato; viceversa, un’impresa europea operante su altri mercati (ad esempio, USA) non è tenuta a fare altrettanto verso utenti di altri mercati (es. statunitensi).
Correttezza nell’uso dei dati dei prodotti connessi e dei servizi correlati
Il Data Act è attento a impedire usi distorti dei dati da parte dei vari soggetti. L’utente che chiede i dati non può, dopo averli ottenuti, usarli «per sviluppare un prodotto connesso in concorrenza con il prodotto connesso da cui provengono i dati», né tantomeno può condividerli con un terzo con tale intenzione; inoltre, non può utilizzare tali dati «per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati» (art. 4.10). Infine, l’utente non deve mai utilizzare mezzi coercitivi né abusare di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi (art. 4.11). A sua volta, «un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’utente è attivo» (art. 4.13), mentre «i titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti» (art. 4.14).
Dati personali e dati non personali
I dati ottenuti, generati o acquisiti dai prodotti connessi possono essere sia dati personali sia dati diversi da quelli personali. Il Data Act contiene vari rinvii al GDPR. Ai sensi dell’art. 37.3, le autorità di controllo incaricate di sorvegliare l’applicazione del GDPR sono incaricate di sorvegliare l’applicazione del Data Act per quanto riguarda la protezione dei dati personali. Tuttavia, nella casistica che qui ci interessa (Transizione 5.0) quelli che vengono in rilievo sono – in misura largamente prevalente – dati non personali. Possibili esempi: temperatura, umidità e integrità dell’imballaggio (nella gestione automatizzata del magazzino), origine dei prodotti, provenienza dei loro componenti e dei materiali utilizzati per la loro produzione (nel track and trace); dati relativi all’uso e alle condizioni dei mezzi di trasporto (nel fleet management), e così via.
L’obbligo di rendere i dati accessibili su richiesta e, in prospettiva, di default
Il Capo II del Data Act prevede una serie di obblighi di messa a disposizione dei dati, validi anche per i rapporti B2B (fra impresa e impresa), ma non applicabili quando i prodotti connessi sono fabbricati o progettati (o i servizi correlati sono erogati): A) da una PMI (sempre che non si tratti di PMI collegata a imprese che non sono PMI); 2) da un’impresa qualificata come “media” da meno di un anno; 3) da una media impresa (anche se tale da più di un anno) per un anno dopo aver immesso sul mercato i prodotti connessi.
Secondo l’art. 3.1, i prodotti connessi andranno progettati e fabbricati (e i servizi correlati andranno progettati e forniti) «in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti metadati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto». In base all’art. 50, questo obbligo varrà per i prodotti connessi e i servizi correlati immessi sul mercato dopo il 12 settembre 2026.
Viceversa, già dal 12 settembre 2025, prima di concludere un contratto di acquisto, locazione o noleggio di un prodotto connesso, il venditore, il locatore o il noleggiante (che può essere il fabbricante), deve indicare all’utente:
- tipo, il formato e il volume stimato di dati;
- se il prodotto è in grado di generare dati in modo continuo e in tempo reale;
- se il prodotto è in grado di archiviare dati sul dispositivo o su un server remoto; il modo in cui l’utente può accedere a tali dati, reperirli o cancellarli;
- la natura, il volume stimato e la frequenza di raccolta dei dati del prodotto;
- la natura e il volume stimato dei dati di un servizio correlato;
- se il potenziale titolare dei dati prevede di utilizzare esso stesso i dati prontamente disponibili e per quali finalità;
- l’identità del potenziale titolare dei dati;
- come contattare rapidamente il potenziale titolare dei dati;
- il modo in cui l’utente può chiedere che i dati siano condivisi con terzi;
- il diritto dell’utente di presentare un reclamo all’autorità competente;
- se un potenziale titolare dei dati è il detentore di segreti commerciali;
- la durata del contratto tra l’utente e il potenziale titolare dei dati, nonché le modalità per risolvere tale contratto.
Quando il prodotto non ha una funzionalità che permetta all’utente di accedere ai dati direttamente, il titolare (eventualmente, tramite il fabbricante del prodotto connesso a Internet o il fornitore del servizio correlato) deve mettere i dati a disposizione dell’utente i dati quando questi glieli chiede. Ciò va fatto prontamente, aggiungendo i pertinenti metadati necessari per interpretare e utilizzare tali dati, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove possibile, in modo continuo e in tempo reale.
Sulla falsariga del GDPR, l’art. 4 del Data Act prevede l’iter di richiesta, gli accorgimenti che il titolare può usare per essere certo di rilasciare i dati a chi ne ha titolo, i rimedi in caso di inadempienza del titolare.
L’utente può decidere di condividere i dati con terzi. Nell’esempio che facevamo, l’impresa potrebbe scegliere, dopo aver chiesto e ottenuto i dati di un prodotto connesso, di condividerli con un consulente di sua fiducia che possa aiutarla a leggerli e interpretarli.
In alternativa, l’utente può chiedere al titolare dei dati di mettere i dati direttamente a disposizione di terzi. Eventualmente, può essere il terzo stesso, autorizzato dall’utente, a presentare la richiesta.
Ai sensi dell’art. 5.3, fra i terzi non possono esserci le Big Tech qualificate dalla Commissione UE come gatekeeper ai sensi del Regolamento (UE) 2022/1925 (“Data Markets Act” o “DMA”): attualmente, Amazon, Apple, Google, Meta, Microsoft e Tik Tok. Ciò, per evitare che una normativa (il Data Act) volta a rafforzare l’indipendenza tecnologica crei ulteriori dipendenze verso i gatekeeper (contrastate dal DMA).
Viceversa, il terzo può essere un intermediario dei dati iscritto all’apposito registro europeo istituito ai sensi del DGA. Al momento, sono ancora pochi i player che hanno portato a termine la registrazione, e fra essi nessun italiano. Tuttavia, il loro numero è destinato a crescere, e la loro voce potrà farsi sentire anche grazie a organizzazioni come il Data Intermediaries Alliance (“DIA”), centro studi europeo non-profit che approfondisce le dinamiche di intermediazione e valorizzazione secondaria dei dati per scopi di innovazione, ricerca scientifica, sviluppo, bene comune, altruismo dei dati. Tra gli obiettivi del DIA, l’analisi dei modelli di valorizzazione dei dati, personali e non personali, in armonia con le differenti normative.
L’intermediario dei dati non può usare i dati; può conservarli o convertirli, solo su richiesta del titolare; deve garantire un accesso equo, trasparente e non discriminatorio, oltre che interoperabilità e adeguata sicurezza per informazioni che, ove finissero nelle mani della concorrenza, potrebbero danneggiare il titolare o l’utente.
Il terzo (eventuale destinatario) può trattare i dati messi a sua disposizione soltanto per le finalità e alle condizioni concordate con l’utente, ed ha una serie di divieti (ad esempio, non può mettere i dati a disposizione di altri terzi né tantomeno di gatekeeper ai sensi del DMA, non può utilizzare i dati che riceve in modo tale da avere un impatto negativo sulla sicurezza del prodotto connesso o del servizio correlato, ecc.).
Qualsiasi clausola contrattuale che, a danno dell’utente, escluda l’applicazione dei diritti dell’utente sopra indicati, deroghi agli stessi o ne modifichi gli effetti non è vincolante per l’utente.
Cosa succede se i dati costituiscono segreto commerciale del titolare o di un terzo
Le norme sull’accesso ai dati prevedono limitazioni: per ragioni di sicurezza dei prodotti connessi, di tutela dei prototipi, di protezione dei dati personali. La più significativa è che il titolare dei dati abbia un segreto commerciale da tutelare. Ai sensi della direttiva (UE) 2016/943, è “segreto commerciale” qualunque informazione segreta, che ha valore economico in quanto segreta e che è protetta con misure di sicurezza.
I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, se diverso, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti metadati, e concorda con l’utente le misure proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.
In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure di cui sopra, questo titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici. Un grave danno economico implica perdite economiche gravi e irreparabili. La dimostrazione che c’è il rischio di perdite simili deve essere debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto connesso, e va fornita per iscritto all’utente senza indebito ritardo. Se il titolare dei dati per proteggere il suo segreto commerciale rifiuta di rilasciare i dati, deve notificarlo all’autorità competente per l’applicazione del Data Act.
Come deve avvenire la messa a disposizione dei dati
Quando la messa a disposizione dei dati è direttamente verso l’utente, deve essere gratuita, anche se l’utente è un’impresa. Viceversa, nel quadro di relazioni tra imprese, il titolare dei dati che mette i dati a disposizione di un destinatario dei dati scelto dall’utente deve concordare con quest’ultimo le modalità della messa a disposizione dei dati e deve farlo a condizioni eque, ragionevoli e non discriminatorie e in modo trasparente.
Sempre nei rapporti fra imprese, il titolare dei dati può concordare con il destinatario dei dati (diverso dall’utente) un compenso per la messa a disposizione dei dati, purché sia ragionevole e non discriminatorio. Il compenso può includere un margine, ma non quando il destinatario dei dati è una PMI. La Commissione UE adotterà orientamenti sul calcolo del compenso ragionevole. In ogni caso, accordi a lungo termine tra i titolari dei dati e i destinatari dei dati, ad esempio mediante un modello di abbonamento o l’uso di contratti intelligenti, possono ridurre i costi in operazioni regolari o ripetitive nell’ambito di una relazione commerciale.
Utenti, titolari dei dati e destinatari dei dati avranno accesso a organismi certificati di risoluzione delle controversie, imparziali e indipendenti, provvisti delle competenze necessarie, contattabili per via elettronica e in grado di adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi.
Nel mettere a disposizione i dati, il titolare dei dati potrà applicare adeguate misure tecniche di protezione, compresi i contratti intelligenti e la cifratura.
Le clausole contrattuali sull’accesso ai dati e sul relativo utilizzo tra imprese
Il Data Act punta ad evitare che la parte in una posizione negoziale più forte sfrutti questo vantaggio a scapito dell’altra parte nel negoziare l’accesso ai dati, rendendolo commercialmente meno redditizio o proibitivo. Infatti, gli squilibri contrattuali danneggiano tutte le imprese che non hanno una capacità significativa di negoziare le condizioni di accesso ai dati e che potrebbero non avere altra scelta se non quella di accettare clausole contrattuali «prendere o lasciare». Proprio per impedire questo fenomeno, in linea con altre norme del diritto privato europeo, il Data Act contrasta – nei rapporti fra imprese – clausole contrattuali riguardanti l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che: 1) violino le norme che esso stesso detta, 2) siano imposte unilateralmente.
L’art. 13 del Data Act individua – fra le clausole contrattuali – quelle sicuramente abusive.
Sono tali le clausole che
- escludono o limitano la responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave;
- escludono i mezzi di ricorso a disposizione della parte alla quale la clausola è stata imposta unilateralmente in caso di inadempimento degli obblighi contrattuali o la responsabilità della parte che ha imposto unilateralmente la clausola in caso di violazione di tali obblighi;
- conferiscono alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di determinare se i dati forniti sono conformi al contratto o di interpretare una qualsiasi clausola del contratto.
Al paragrafo 5, l’art. 13 indica una serie di casi in cui vige una presunzione di abusività delle clausole contrattuali riguardanti l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati. Per brevità, non ne riportiamo l’elenco. Come sempre di fronte a una presunzione, esiste la possibilità della prova contraria, presentabile dalla parte che vuole confutare tale presunzione.
In ogni caso, il Data Act precisa che se la clausola contrattuale abusiva è scindibile dalle altre clausole contrattuali, le clausole rimanenti mantengono il loro carattere vincolante.
Le imprese che ritengono che ci siano clausole abusive in contratti che devono sottoscrivere o che hanno sottoscritto, oltre a contestarle in eventuale sede di contenzioso, possono presentare un reclamo all’autorità.
Aspetti tecnici della messa a disposizione dei dati
Come l’istituto della portabilità dei dati personali previsto dal GDPR (pochissimo usato dagli interessati), anche la messa a disposizione dei dati prevista dal Data Act richiede indirizzi omogenei sul formato dei dati, sulle soluzioni di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati. La Commissione UE è lavoro su soluzioni di standardizzazione. I fatti ci diranno se sarà il Data Act a offrire la spinta necessaria a far funzionare finalmente la portabilità a tutti i livelli (compresa la portabilità dei dati personali voluta dal GDPR), oppure se le difficoltà tecniche avute finora per il GDPR ostacoleranno anche il Data Act.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Informativa sui diritti di autore
La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni: la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.
Vuoi richiedere la rimozione dell’articolo?
Clicca qui
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Informativa sui diritti di autore
La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni: la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.
Vuoi richiedere la rimozione dell’articolo?
Clicca qui