Il Data Act codifica il diritto di consumatori e utenti all’accesso e alla portabilità dei dati generati dagli apparecchi e dai dispositivi elettronici “connessi” in loro possesso. La normativa europea disciplina espressamente diritti e obblighi connessi alla titolarità, disponibilità, alienabilità e, comunque, al flusso delle informazioni personali e non personali. Una volta a regime il patrimonio di dati registrati dai dispositivi elettronici sarà accessibile e portabile by default. Peraltro, l’accesso e l’utilizzo dei dati, che porterà benefici a consumatori e utenti, non potrà pregiudicare segreti industriali e informazioni commerciali riservate, né determinare squilibri della concorrenza. Ma sono previsti limiti alla condivisione dei dati anche per tutelare le imprese.

I dati (personali e non personali) sono al centro della regolamentazione introdotta dal Data Act (regolamento (UE) 2023/2854), che riguarda le norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, con notevoli impatti pratici. In particolare, i benefici appannaggio del consumatore, grazie al Data Act, sono descritti, dalla Commissione Ue, che ne suoi documenti di illustrazione del regolamento in esame, svolge un esame comparativo tra ciò che capita oggi e ciò che capiterà all’indomani della efficacia piena del Data Act. Cosa cambia per i consumatori nell’acquisto di prodotti connessi che generano dati Quando si acquista un prodotto “tradizionale”, spiega la Commissione Ue, si comprano tutte le parti e gli accessori di tale prodotto. Quando invece si acquista un prodotto connesso (ad esempio un elettrodomestico o una macchina industriale intelligenti) che genera dati, spesso non è chiaro chi possa fare cosa con i dati, oppure il contratto può prevedere che tutti i dati generati siano raccolti e utilizzati unicamente dal fabbricante. Con il Data Act le cose cambieranno, perché la novella Ue dà agli utenti, tra cui si comprendono i consumatori, un maggiore controllo sui loro dati attraverso un diritto rafforzato di portabilità dei dati, che permette di copiare o trasferire facilmente tra diversi servizi i dati generati grazie a oggetti, macchine e dispositivi intelligenti. Proseguendo nella analisi degli effetti del Data Act per i consumatori e ispirandosi alle Faq della Commissione Europea, si riportano qui si seguito alcuni possibili esempi dei possibili benefici ritraibili dall’attuazione delle disposizioni del Data Act citato. Esempi dell’impatto del Data Act sui consumatori Una esemplificazione riguarda un dispositivo indossabile e, in dettaglio, uno smartwatch. A questo proposito gli organismi Ue stimano, quale derivata del Data Act, la possibilità per il consumatore di avvantaggiarsi della diminuzione dei prezzi per i servizi post-vendita e di riparazione di dispositivi intelligenti. La Commissione Ue sottolinea che nel quadro attuale, in caso di guasto dello smartwatch, si è vincolati a rivolgersi al fabbricante, che è l’unico abilitato ad accedere all’orologio intelligente. Al contrario, una volta operativo il Data Act, il consumatore potrà chiedere l'accesso allo smartwatch e ai relativi dati e metterli a disposizione di un operatore che offre il servizio di riparazione a un costo più basso di quello del fabbricante dell'orologio. Altro esempio pratico è teso a sottolineare la possibilità per il consumatore di fruire di nuove opportunità di utilizzo di servizi basati sull'accesso ai dati. Mettiamo il caso che il consumatore possieda apparecchi di fabbricanti diversi, per effetto del Data Act potrà ricevere una consulenza personalizzata da un'impresa che raccoglierà dati dai vari macchinari, mentre nello scenario vigente i dati di ciascun macchinario sono bloccati dal fabbricante. Altro caso, descritto sempre dalla Commissione Ue, è quello del proprietario di un veicolo o di una macchina, il quale potrebbe decidere di condividere i dati generati attraverso il loro uso con la propria compagnia di assicurazioni e ottenere, ad esempio, sconti personalizzati sul premio delle polizze. Queste possibili vicende future sono la traduzione in concreto dell’impianto normativo, eretto dal Data Act, che parte dalla definizione di “utente”, nel quale è compresa la persona fisica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato. Inoltre, per “servizio correlato” si intende un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto in modo tale che la sua assenza impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni. Quali sono i diritti conferiti al consumatore dal Data Act Al consumatore, che usa un prodotto connesso e che fruisce dei relativi servizi correlati, il Data Act attribuisce diritti di trasparenza, di accesso ai dati e di portabilità. Quanto al profilo della trasparenza, il principio enunciato dall’articolo 3 del Data Act delinea l’obiettivo della conoscenza by default dei dati del prodotto e dei servizi correlati: i prodotti connessi, recita la disposizione, sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti metadati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto. Al consumatore deve essere data notizia, contestualmente alla fornitura, sui seguenti profili: se, come e quali dati saranno generati dai prodotti e servizi, dove saranno conservati e come si potranno acquisire le informazioni. Per i dati generati dai servizi correlati, il consumatore deve essere informato su chi e come potrà utilizzarli e anche il modo in cui l’utente può chiedere che i dati siano condivisi con terzi oppure, all’opposto, come fare in modo che i dati non siano condivisi. Quanto ai profili dell’accesso alle informazioni, come illustra la circolare Assonime n. 9 dell’11 aprile 2024, i dati generati da prodotti connessi e servizi correlati devono, se tecnicamente possibile, essere accessibili al consumatore in modo diretto dal prodotto/servizio (ad esempio da un archivio dati sul dispositivo o da un server remoto al quale i dati sono comunicati). Peraltro, se non ciò non è possibile, i dati devono essere messi a disposizione dell’utente, se tecnicamente fattibile, mediante un meccanismo che consenta l’esecuzione automatica della richiesta di accesso, ad esempio attraverso l’account utente o l’app mobile complementare fornita con il prodotto connesso o il servizio correlato. Inoltre, sempre se tecnicamente fattibile, l’accesso ai dati deve essere consentito in modo continuativo e in tempo reale. Oltre all’accesso ai dati, il Data Act garantisce al consumatore un nuovo fascio di prerogative inquadrabili sotto l’etichetta della portabilità: si tratta del diritto di condividere con terzi i dati che ha già ottenuto (attraverso l’accesso diretto o mediante una richiesta di accesso al titolare dei dati) e ciò direttamente o tramite un servizio di intermediazione dei dati; prerogativa connessa è quella consistente nel diritto di richiedere che i dati siano messi a disposizione di terzi.

I diritti di accesso e condivisione dei dati incontrano alcuni limiti al fine di preservare la sicurezza dei prodotti, la tutela dei dati personali e la tutela della proprietà intellettuale, dei segreti commerciali e delle informazioni commerciali riservate.

Quanto alla protezione dei dati personali, l’accesso è garantito e all’utente/interessato (soggetto cui si riferiscono i dati personali): tale profilo discende pianamente dagli articoli 5, 12 e 15 del Regolamento Ue 2016/679 (Gdpr). Nel caso l’utente, che intende accedere ai dati generati dai prodotti e dai servizi correlati, non sia l’interessato ma, ad esempio un operatore economico, l’accesso potrà realizzarsi solo in presenza di almeno una delle condizioni di liceità del trattamento previste dal Gdpr. Inoltre, l’utente non potrà chiedere al titolare dei dati la condivisione dei dati con terzi nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato (salvo che l’utilizzo da parte di terzi sia stato autorizzato contrattualmente). Quali limiti alla condivisione dei dati tutelano le aziende Altri limiti alla condivisione di dati tutelano interessi direttamente delle imprese e, in dettaglio, quello alla segretezza e alla riservatezza di informazioni commerciali e quello alla lealtà nella concorrenza tra competitor commerciali. In particolare, a riguarda dei segreti commerciali il Data Act prevede che il detentore del segreto commerciale individuerà i dati protetti quali segreti commerciali, anche nei pertinenti metadati, e concorderà con l’utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati. A proposito della concorrenza leale, si consideri che, per espressa disposizione del regolamento in esame, l’utente non potrà utilizzare i dati per sviluppare un prodotto connesso in concorrenza con il prodotto connesso da cui provengono i dati, non potrà condividerli con un terzo con tale intenzione e non potrà nemmeno utilizzare tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.

Il Data Act, peraltro, non vieta il reverse engineering ai fini della riparazione o del prolungamento della durata di vita di un prodotto connesso o della fornitura di servizi post-vendita per prodotti connessi (circolare Assonime 9/2024).

L’utente o il terzo non dovrà, poi, utilizzare i dati ottenuti per ottenere informazioni sensibili sulla situazione economica, le risorse e i metodi di produzione del fabbricante o del titolare dei dati. Quali sono i vincoli all’utilizzo dei dati a tutela dell’utente Infine, a tutela dell’utente il Data Act prevede specifici vincoli all’utilizzo dei dati. I dati potranno, infatti, essere usati solo sulla base del contratto stipulato con l’utente e non si potranno o mettere i dati a disposizione di terzi per finalità diverse dall’esecuzione del contratto con l’utente, se del caso vietando contrattualmente ai terzi l’ulteriore condivisione dei dati. Infine, il terzo può trattare (compresa la condivisione con ulteriori terzi) i dati messi a sua disposizione su richiesta dell’utente solo per le finalità e alle condizioni concordate con l’utente ed è tenuto a cancellarli quando non siano più necessari per tali finalità. Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/quotidiano/2024/05/28/data-act-cambia-regolamento-ue-tutela-imprese