Oggi, dispositivi come smartphone, smartTV e altri apparecchi “intelligenti” fanno parte della quotidianità. Questi strumenti, noti come dispositivi del c.d. Internet of Things (“IoT”), generano una quantità enormi di dati durante il loro utilizzo. La gestione e l’accesso a tali dati sono al centro del Data Act, il Regolamento (UE) 2854/2023, che entrerà in vigore il prossimo 12 settembre 2025. Il Data Act rappresenta uno dei pilastri della strategia europea dei dati, affiancando il Data Governance Act[1] nell’obiettivo di promuovere l’uso sicuro dei dati in settori chiave e in ambiti di interesse pubblico (per un approfondimento sul Data Governance Act, si veda il nostro precedente contributo disponibile qui). Il Data Act mira a stabilire norme armonizzate per l’accesso equo ai dati e il loro utilizzo, chiarendo diritti e responsabilità, assicurando agli utenti un maggiore controllo sui dati generati e incentivando, al contempo, l’investimento in tecnologie complesse. Tuttavia, la complessità delle disposizioni del Data Act ha spinto la Commissione europea (la “Commissione”) a pubblicare recentemente un documento chiave: le FAQ sul Data Act. Ma perché le FAQ della Commissione sono così importanti? Con l’obiettivo di chiarire le questioni applicative e le potenziali complessità che possono sorgere nell’implementazione delle norme del Data Act, la Commissione offre una guida esplicativa preziosa per orientare aziende, pubbliche amministrazioni e stakeholders verso una conformità consapevole e informata, nel rispetto dei principi di trasparenza e competitività sanciti dal Data Act. In particolare, le FAQ, suddivise in dieci capitoli, approfondiscono diversi aspetti: dalle relazioni con altre normative europee, all’accesso e utilizzo dei dati nell’ambito IoT, fino a temi cruciali quali equità, ragionevolezza, risoluzione delle controversie, interoperabilità e protezione contro pratiche contrattuali abusive nella condivisione dei dati. Tra gli altri argomenti trattati, le FAQ esplorano l’accesso ai dati da parte delle pubbliche amministrazioni, la transizione verso i servizi di elaborazione dei dati, l’accesso non autorizzato e il trasferimento di dati non personali verso paesi terzi, l’interoperabilità, le modalità di attuazione delle norme e le prossime iniziative per garantire una piena applicazione del Data Act. Per cogliere appieno l’importanza strategica delle FAQ sul Data Act, si rende imprescindibile una lettura integrale del documento, essenziale per decifrare le implicazioni pratiche di una normativa tanto innovativa quanto complessa. Volendo sottolineare l’importanza di tali chiarimenti senza sostituirsi all’analisi approfondita delle FAQ, è utile soffermarsi sul rapporto che il Data Act intrattiene con altre normative europee, quali il GDPR e Digital Markets Act (“DMA”) (per un maggior approfondimento sul DMA si veda il nostro precedente contributo, disponibile qui). Un esempio dell’importanza delle FAQ: le relazioni con GDPR e DMA Le FAQ chiariscono che il GDPR rimane il punto di riferimento per il trattamento dei dati personali, ma il Data Act si pone come normativa speciale con riguardo a specifici ambiti, come nel caso della portabilità in tempo reale dei dati provenienti dai dispositivi IoT. L’obiettivo è quello di garantire un mercato competitivo e tutelare i clienti dei servizi di trattamento dei dati – inclusi i servizi cloud e edge[2] – consentendo agli utenti di trasferire agevolmente i dati di input e output generati dall’uso dei servizi, comprensivi dei metadati, a meno che tali dati siano protetti da diritti di proprietà intellettuale o costituiscano segreti commerciali del prestatore dei servizi o di terze parti. È chiaro, dunque, che si tratta di una declinazione più estesa del diritto alla portabilità dei dati personali, già previsto nel GDPR, specifico per l’ambito IoT e che comprende qualsiasi tipo di dato (sia personale che non personale). In tale ottica, per agevolare il passaggio da un fornitore a un altro, il Data Act impone l’eliminazione degli ostacoli economici e tecnici alla portabilità. Dal 11 gennaio 2024, i fornitori di servizi di elaborazione dei dati devono limitare i costi di trasferimento al solo recupero delle spese sostenute per effettuare tale operazione; dal 12 gennaio 2027, invece, questi costi non potranno più essere addebitati. Parimenti, un ulteriore aspetto di interrelazione si rinviene con il DMA. In particolare, le FAQ chiariscono un’importante restrizione relativa ai c.d. Gatekeepers. Poiché questi ultimi controllano i punti chiave dei canali di distribuzione del mercato digitale e detengono un considerevole potere di mercato, il Data Act esclude la possibilità per gli utenti di obbligare i titolari dei dati (data holders) a condividere con i Gatekeepers i dati. In caso contrario, vista la facilità con cui queste grandi imprese accedono a grandi quantità di dati, verrebbe meno l’obiettivo stesso del Data Act. Tuttavia, l’esclusione non impedisce ai Gatekeepers di operare nel mercato dei dati IoT: pur non potendo fare affidamento sui meccanismi specifici di condivisione obbligatoria dei dati (artt. 4 e 5 del Data Act), tutti gli altri meccanismi (ad es., le disposizioni sulla condivisione dei dati su base volontaria) rimangono applicabili. Riflessioni finali Le FAQ, ovviamente. non si limitano a chiarire le relazioni tra normative, ma offrono, ad esempio, indicazioni pratiche sulle definizioni chiave del Data Act, chiariscono quali sono i dati a cui l’utente può avere accesso, quali sono i diritti degli utenti e come gli stessi devono essere garantiti dai titolari dei dati, oltre ad evidenziare i rapporti anche con le terze parti. Inoltre, per supportare le imprese nella negoziazione di contratti di condivisione dei dati, la Commissione prevede di pubblicare clausole contrattuali tipo che favoriscano la stipulazione di accordi equi, ragionevoli e non discriminatori. Queste clausole offriranno orientamenti su temi chiave quali il calcolo di un indennizzo adeguato e la protezione dei segreti commerciali, contribuendo a garantire un equilibrio tra la condivisione e la tutela dei dati. Ulteriori clausole standard, non vincolanti, saranno elaborate per disciplinare i contratti di cloud computing tra utenti e fornitori di servizi. A tal fine, un gruppo di esperti è stato incaricato di collaborare con la Commissione per definire tali strumenti, la cui adozione è prevista entro l’autunno 2025. È evidente che il Data Act, nell’attuale contesto tecnologico segnato dalla rapida evoluzione dell’intelligenza artificiale e dall’aumento delle esigenze di accesso a grandi volumi di dati, assumerà un ruolo strategico. Si tratta, tuttavia, di una normativa complessa ma fondamentale per disciplinare la gestione e la condivisione dei dati generati quotidianamente dai dispositivi connessi. Le FAQ della Commissione sono, dunque, uno strumento prezioso per orientarsi nel framework del Data Act. La loro lettura è indispensabile per chiunque – utenti, aziende e stakeholders – voglia assumere una consapevolezza effettiva del quadro normativo che entrerà in vigore nel settembre 2025. [1] Il Regolamento (UE) 868/2022, meglio noto come Data Governance Act, disciplina i processi e le strutture che facilitano la condivisione volontaria dei dati. [2] La definizione di “servizio di trattamento dei dati” è stabilita dall’art. 2, par. 8, del Data Act e comprende i servizi di cloud computing. Il concetto copre i modelli di erogazione più diffusi – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (Saas) – pur rimanendo aperto a innovazioni tecnologiche.
