Data Act: cosa prevede e cosa cambia per PA e imprese

L’articolo, pubblicato il 5 Aprile 2022, è stato aggiornato dagli autori

L’Europa si è sempre mostrata estremamente consapevole dell’enorme valore strategico dei dati e della necessità di agire per fornire un quadro di riferimento comune, sia tecnologico che normativo, per creare un mercato unico dei dati a livello europeo. Con la “European Data Strategy”, prima, e con la “Data Act”- COM(2022)68 final, adottata il 23 Febbraio 2022, per la prima volta la Commissione Europea ha offrtoe un’ampia e ambiziosa visione di questo progetto con l’introduzione di “norme armonizzate per l’accesso equo ai dati e sul loro utilizzo”. A seguito dell’accordo politico tra Parlamento Europeo e Consiglio e dell’approvazione da parte del Consiglio lo scorso 27 novembre, il Regolamento 2023/2854, adottato il successivo 13 dicembre e pubblicato sulla GUUE il 22 dicembre, è entrato in vigore il ventesimo giorno successivo alla pubblicazione stessa – quindi l’11 gennaio 2024.

Come molto spesso previsto dalla regolamentazione europea, la disciplina si applica a partire dal 12 settembre 2025, con differimenti ulteriori al 2026 o 2027 per sezioni o disposizioni specifiche.

Su questo aspetto, probabilmente bisognerà tornare nei prossimi anni, dal momento che, soprattutto nel contesto tecnologico, un differimento a così lungo termine rischia di rendere applicabili norme ormai desuete.

Vediamo, allora, più in dettaglio il contenuto del corposo Regolamento (119 Considerando e 50 articoli), soprattutto per il rilevante impatto che la nuova disciplina ha sull’accesso, condivisione, archiviazione ed elaborazione dei dati industriali, sulla generazione di valore per il sistema economico, i consumatori, i servizi pubblici e la società in generale (a tale proposito, è espressamente previsto che i diritti di cui al capo II del Regolamento integrano i diritti di accesso da parte degli interessati e i diritti alla portabilità dei dati di cui agli articoli 15 e 20 del regolamento (UE) 2016/679, con prevalenza di quest’ultimo in caso di conflitto). Punti rilevanti restano gli obblighi di rendere accessibili all’utente i dati del prodotto e dei servizi correlati (art. 3 e ss.) e di fornire dati specifici in particolari situazioni e a condizioni prefissate, e gratuitamente se correlati a una pubblica emergenza (art. 14 e ss.)

Il contesto: la centralità dei dati nel settore pubblico e privato

Sappiamo tutti molto bene quanto i dati siano ormai diventati fondamentali in tutti i processi di innovazione digitale. I dati sono con ogni probabilità l’elemento con il più alto potenziale di innovazione di cui possiamo disporre al momento. Siamo, infatti, completamente e costantemente immersi nel digitale, dove il nostro agire e operare quotidiano, dalle attività più semplici alle più significative, genera continuamente grandi quantità di dati, di qualunque tipo; dati che possiamo produrre noi stessi, in modo più o meno consapevole, ma che, sempre più spesso, vengono generati per lo più automaticamente dai tanti processi digitali per la produzione di beni e servizi. La trasformazione digitale su cui si è investito negli ultimi anni ha avuto, infatti, l’effetto di rendere digitali (digitalizzando e reingegnerizzando) processi un tempo analogici, gettando le basi per crearne di completamente nuovi, questa volta nativamente digitali. L’effetto è stato quello di accrescere in modo significativo la quantità di dati e di flussi di dati che vengono quotidianamente prodotti, sia dal settore pubblico, che da quello privato.

Come sfruttare la potenzialità dei dati superando le “barriere”

Questi dati sono essenzialmente quelli necessari al funzionamento dei processi da cui vengono generati, e possono essere facilmente utilizzati e sfruttati, in primo luogo, nello stesso contesto in cui vengono prodotti. Ad esempio, per monitorare il funzionamento dei processi sovrastanti al fine di ottimizzarne la gestione e fornire un supporto “data driven” alle decisioni; o per consentire la progettazione e la realizzazione di servizi a valore aggiunto. Ma sfruttare veramente le potenzialità dei dati vuol dire andare oltre un utilizzo strettamente confinato all’interno dell’organizzazione o del settore dove questi vengono prodotti: il valore reale dei dati risiede, infatti, nel riuscire a combinarli e a metterli insieme ad altri, eliminando sia le barriere “fisiche”, spesso precostruite, sia quelle “mentali”.

Interoperabilità: la parola chiave per i dati nella PA

Ed è proprio da qui che bisogna partire per comprendere come il passo successivo debba necessariamente essere l’interoperabilità di questi dati tra amministrazioni, enti e organizzazioni diverse. Lo abbiamo visto, innanzitutto, nel settore pubblico, dove si è sostenuto, politicamente e amministrativamente, un percorso di condivisione tra PA finalizzato allo scambio e alla integrazione di dati in modo da fornire, così, servizi a cittadini, imprese e altre Amministrazioni. In altre parole, si è avviato un processo per cui il dato prodotto da un ente pubblico può diventare fruibile anche da un altro ente, con la PA che comincia, piano piano, a diventare una grande PA interconnessa attraverso i dati.

Ovviamente, è possibile estendere questo concetto anche a livello europeo. Non solo, quindi, dati che consentono di generare servizi integrati a valore aggiunto tra PA diverse, ma anche “servizi transfrontalieri” da costruire rendendo interoperabili i dati necessari tra Paesi membri.

Data Act: ecco perché serve una “legge europea sui dati”

Un pezzo fondamentale della “European Data Strategy” è, appunto, la “Data Act”- Regolamento (UE) 2023/2854 del 13 dicembre 2023, la legge sui dati, che va ad integrare la “Data Governance Act”, anch’essa adottata come Regolamento (UE) 2022/868 del 30 maggio 2022, entrato in vigore il 23 giugno 2022, e applicabile dal 23 settembre 2023.

Ma torniamo al Regolamento “Data Act”: come avevamo sottolineato, già leggendo la relazione accompagnatoria era emersa, sin da subito, la chiarezza nella raggiunta consapevolezza del valore dei dati,  oltre ai ben noti problemi di monopolio/oligopolio degli stessi, che generano sfiducia e pongono ostacoli tecnologici che “impediscono di concretizzare appieno le potenzialità offerte dall’innovazione basata sui dati”;  dati che, invece, vanno sfruttati fornendo opportunità di riutilizzo “e rimuovendo gli ostacoli allo sviluppo dell’economia dei dati europea, nel pieno rispetto delle norme e dei valori europei, e in linea con l’impegno di ridurre il divario digitale in modo che tutti possano beneficiare di tali opportunità”. Una visione, quindi, che, tramite un maggiore equilibrio nella distribuzione del valore dei dati prodotti e dell’obiettivo di miglioramento dell’equità sociale, è suscettibile di produrre enormi ricadute positive sull’economia europea.

Va da sé che il solco nel quale l’UE si muove deve riuscire ad “equilibrare il flusso e l’ampio uso dei dati tutelando al contempo alti livelli di privacy, sicurezza, protezione e norme etiche”, come evidenziato dalla Presidente della Commissione, Ursula von der Leyen, negli obiettivi programmatici del luglio 2019. Aspetto etico ulteriormente importante, considerata l’attenzione posta, negli ultimi mesi, a sistemi e strumenti di interlligenza artificiale, che rendono necessaria e indifferibile una tale riflessione.

Gli obiettivi del Data Act

Il Regolamento si pone gli obiettivi di:

• facilitare l’accesso ai dati e il relativo utilizzo da parte di consumatori e imprese, preservando gli incentivi a investire;
• prevedere che i Soggetti pubblici possano utilizzare i dati delle imprese in determinate situazioni in cui vi sia una necessità “eccezionale” di dati – cfr. artt. 14 e ss.;
• facilitare il passaggio tra diversi servizi competitivi e interoperabili (in questo caso, con pre-condizione abilitante un “alto livello di fiducia” e abolizione graduale delle tariffe di passaggio) – cfr. artt. 23 e ss. e art. 29;
• adottare garanzie contro qualsiasi trasferimento illecito di dati, senza notifica, da parte dei fornitori di servizi cloud, inserendosi, in tal senso, nella direzione indicata dal Regolamento sulla libera circolazione dei dati non personali (anche per evitare l’accesso illecito ai dati da parte di amministrazioni pubbliche di paesi terzi o comunque esterni allo Spazio Economico Europeo ─ tema questo, ahinoi, sempre vivo ed attuale) ─ cfr. art. 28 e 32;
• prevedere l’elaborazione di norme di interoperabilità per il riutilizzo dei dati tra i vari settori, nel tentativo di eliminare tutti gli ostacoli alla condivisione dei dati tra spazi comuni europei di dati specifici per settore (con prescrizioni di interoperabilità settoriali già previste), e tra altri dati che non rientrano nell’ambito di uno spazio comune europeo dei dati specifico; ─ cfr. artt. 33 e ss.

Su quest’ultimo punto specifico, il Regolamento prevede anche la definizione di norme per gli “smart contract” (art. 36), che potrebbero agevolmente fornire a titolari e destinatari dei dati garanzie necessarie e predeterminate sul rispetto delle condizioni per la condivisione dei dati.

Data Act: quali sono i principi cardine

Scorrendo l’articolato ritroviamo, ancora una volta, alcuni principi cardine di tanta parte dell’attuale disciplina europea del settore, divenuti ormai familiari ai più, come il principio di accessibilità dei dati (“ove possibile diretta”) previsto dell’art. 3 e gli obblighi informativi “in un formato chiaro e comprensibile” (sempre art. 3); ma troviamo, anche, il “diritto di accedere ai dati” e il “diritto di condividere i dati con terzi” (inseriti agli artt. 4 e 5); e, ancora, il meccanismo compensativo per la messa a disposizione dei dati, (previsto dall’art. 9), che pur nella sua necessaria “ragionevolezza” sottolinea ulteriormente il valore di tali dati; infine, la possibilità, per le PMI (micro e piccole, come da definizione consolidata Ue) di utilizzare le condizioni contrattuali, non vincolanti, che la Commissione svilupperà e raccomanderà,  clausole standard che aiuteranno le PMI a negoziare contratti di condivisione dei dati più equi ed equilibrati con le aziende che godono di una posizione di maggior forza contrattuale.

Conclusioni: quali prospettive apre l’applicazione del Data Act

La disciplina interessa tanto il settore pubblico, quanto il settore privato, come dicevamo all’inizio: lato pubblico, in particolare, il Data Act intende sbloccare il valore dei dati di società private in situazioni “eccezionali” di elevato interesse pubblico, in considerazione dell’inefficienza  (quando non inesistenza) di meccanismi di accesso ai dati in situazioni di emergenza pubblica: considerando la recente applicabilità delle nuove regole, quindi, fornire dati specifici in situazioni specifiche diverrà obbligatorio, a condizioni prefissate, e gratuitamente se correlati ad una pubblica emergenza.

Non è possibile non cogliere, in questa previsione, l’eco neanche tanto lontana dell’esperienza indotta dall’emergenza sanitaria da COVID-19, e delle difficoltà incontrate nelle attività di tracciamento del virus. Un Regolamento, quindi, che è una summa di numerosi elementi chiave, strettamente funzionali alla creazione di quel mercato unico europeo (anche mercato unico per i dati) che, di certo, non rappresenterà il punto di arrivo della disciplina di settore ─ considerando la continua evoluzione tecnologica, e un ordinamento giuridico che, negli ultimi anni, sembra essere quasi “costretto” a tenere costantemente il passo ─ ma un passaggio obbligatorio e fondante.