L’economia digitale dell’Unione Europea si avvia verso una trasformazione radicale con l’adozione del Data Act, un nuovo regolamento (Regolamento UE 2023/2584) volto a disciplinare l’accesso, la condivisione e l’utilizzo dei dati non personali nell’ambito dell’economia europea. Entrato in vigore di recente, il regolamento diventerà pienamente applicabile nel corso del 2025 (salvo alcune previsioni differite al 2026 o al 2027), offrendo alle imprese, alle amministrazioni e agli utenti un intervallo di tempo per adeguarsi alle nuove disposizioni. Il Data Act si rivolge a un’ampia platea di soggetti: aziende private (in particolare quelle coinvolte nella fornitura e utilizzo di prodotti connessi), enti pubblici, fornitori di servizi digitali come il cloud computing, sviluppatori IoT, nonché consumatori e Pmi. L’obiettivo dichiarato è quello di permettere un uso equo e trasparente dei dati, stimolandone la circolazione tra settori e Stati membri.
Sovranità digitale e conflitti giuridici
Sebbene il Data Act miri a costruire un mercato unico dei dati fondato su principi europei di trasparenza ed equità, l’attuazione concreta si confronta con il diverso impianto normativo adottato, ad esempio, dagli Stati Uniti. Un tema particolarmente delicato è il conflitto giuridico sulla sovranità digitale, ovvero la possibilità che governi di Paesi terzi possano accedere a dati conservati da società con sede europea ma controllate da entità extra-UE. Il Data Act introduce una tutela esplicita contro gli accessi illeciti ai dati detenuti nell’UE da parte di autorità estere, richiedendo che qualsiasi richiesta esterna sia “sufficientemente motivata” e sottoposta a meccanismi di controllo conformi al diritto dell’Unione. È un tema che già si era imposto al centro dell’attenzione giuridica con precedenti normative europee sulla protezione dei dati, in particolare nel contenzioso derivante da importanti decisioni della Corte di Giustizia europea (ad es. Schrems II). In questo contesto normativo caratterizzato da pluralità e talvolta conflittualità di standard, le aziende europee sono chiamate ad adottare strategie organizzative e contrattuali capaci di garantire conformità multilivello, in particolare per quanto riguarda il trattamento di dati transfrontalieri. Le aziende multinazionali si trovano invece a dover navigare in un complesso sistema di conformità, dovendo rispettare simultaneamente requisiti normativi talvolta divergenti, con conseguenze significative sui modelli operativi e di business, particolarmente nel settore tecnologico e dei servizi digitali.
A differenza della normativa sulla protezione dei dati personali — che tutela specificamente i diritti delle persone fisiche — il Data Act si applica indipendentemente dalla natura personale dei dati, ricomprendendo altresì dati di tipo industriale, generati ad esempio da sensori IoT, macchinari, veicoli connessi o elettrodomestici intelligenti. La prospettiva, quindi, è economica e tecnologica, centrata sull’equa distribuzione del valore dei dati. Tuttavia, le diverse normative si integrano: il Data Act non prevale sulle norme di protezione dei dati personali, ma le integra occupandosi di aspetti che riguardano la portabilità in tempo reale, nonché l’interoperabilità tra piattaforme e servizi digitali. La normativa chiarisce che in caso di conflitto, prevalgono sempre le regole di protezione dei dati personali, confermando così una gerarchia delle fonti a tutela della privacy.
Il Data Act promuove la competitività dei settori chiave autorizzando l’uso secondario dei dati industriali generati dall’uso dei prodotti connessi. In questo quadro, gli utenti (individuali o aziendali) avranno il diritto di accedere ai propri dati generati dal prodotto, anche attraverso interfacce dedicate e trasferirli a terzi autorizzati, con importanti ricadute su settori come agricoltura, logistica, energia, e mobilità. Inoltre, in situazioni eccezionali (es. calamità naturali), anche le pubbliche amministrazioni potranno richiedere l’accesso a determinati dati detenuti dal settore privato.
Data-sharing e rischi
L’adozione di un modello di data-sharing strutturato non è priva di rischi, soprattutto per quanto concerne la sicurezza informatica e la protezione delle informazioni sensibili. L’obbligo di condividere determinati dati potrebbe aprire a vulnerabilità legate alla cybersicurezza, soprattutto nelle infrastrutture cloud e edge computing, ancora oggi oggetto di preoccupazioni rilevanti tra gli operatori. Anche nel caso in cui i dati condivisi fossero, in via teorica, non personali, lo scenario pratico potrebbe facilmente mutare nel momento in cui informazioni apparentemente neutre (ad es. dati di utilizzo) si combinano per rivelare modelli comportamentali riconducibili a singoli soggetti, determinando una riqualificazione delle informazioni come dati personali o che potrebbero portare alla re-identificazione degli individui. Inoltre, l’asimmetria informativa tra imprese tecnologiche dominanti e Pmi più deboli sul piano contrattuale è un fattore che rischia di amplificare ulteriormente rischi di sfruttamento improprio e perdita del valore competitivo dei dati industriali. Le autorità di protezione dei dati e le altre autorità competenti dovranno collaborare strettamente per garantire un’applicazione coerente delle due normative, come previsto dai meccanismi di cooperazione stabiliti dal Data Act.
Data Act e contrattualistica aziendale
Un aspetto particolarmente pratico e centrale per le imprese riguarda l’impatto del Data Act sulla contrattualistica aziendale. Il regolamento affronta il tema delle clausole contrattuali abusive nei rapporti b2b, tipicamente imposte da soggetti forti in posizione dominante. Si tratta, ad esempio, di condizioni “take-it-or-leave-it” sull’uso dei dati, clausole che il Data Act vuole soppiantare con un quadro negoziale più equo e bilanciato. In questo contesto, la Commissione europea ha annunciato che raccomanderà clausole contrattuali tipo, volte a garantire condizioni eque, ragionevoli e non discriminatorie. Tuttavia, la vera sfida riguarda la diversa semantica attribuita a concetti chiave. È noto che nel Data Act termini come “titolare”, “utente”, o “destinatario dei dati” assumono definizioni non sovrapponibili a quelle delle normative sulla protezione dei dati personali. Ad esempio, il “titolare dei dati” nel Data Act può non coincidere con il titolare del trattamento previsto dalle norme sulla privacy. Queste divergenze impongono quindi una scrupolosa attenzione nella redazione e negoziazione dei contratti, soprattutto dove coesistono obblighi europei legati alla protezione dei dati personali e regole di accesso e condivisione dei dati industriali.
Altro tema delicato e controverso è quello della monetizzazione dei dati personali: sebbene il Data Act non introduca una liberalizzazione diretta, la possibilità di trasferire dati nonché la previsione di una compensazione economica per i titolari dei dati che condividono informazioni apre interrogativi ancora irrisolti sulla linea di confine con la protezione dei dati personali. Gli organi di vigilanza europei hanno espresso concrete perplessità sul rischio di eludere il principio di finalità del trattamento attraverso usi secondari impropri, che potrebbero violare la volontà dell’interessato.
Il Data Act si configura come uno strumento regolatorio complesso ma forse necessario, che modifica radicalmente il modo in cui le imprese dovranno gestire, proteggere e valorizzare i dati nell’Unione Europea. In un’economia sempre più dipendente dalla generazione e analisi di dati, il Regolamento offre nuove opportunità di crescita, innovazione e competitività, ma comporta al tempo stesso oneri organizzativi e giuridici che non possono essere trascurati. È quindi essenziale, per ogni impresa comprendere appieno le implicazioni operative e contrattuali della nuova disciplina, in modo da predisporre fin da ora solide basi di conformità e prevenzione dei rischi.
—
*Valerio Vertua è avvocato cassazionista e sviluppa, da anni, la propria attività professionale nei settori del diritto tributario, del diritto societario e del diritto dell’informatica e delle nuove tecnologie. Collabora con la Cattedra di Informatica Giuridica ed Informatica Giuridica Avanzata della Facoltà di Giurisprudenza presso l’Università degli Studi di Milano ed è studioso affiliato al Centro di Ricerca Coordinato in Information Society Law (Islc) della stessa università.
© RIPRODUZIONE RISERVATA
