EU Data Act e la gestione sicura dei dati aziendali

Nel mondo contemporaneo i “dati” stanno acquisendo sempre maggior valore, sia in termini economici che sociali. In una società fondata sull’uso della tecnologia, i dati finiscono per costituire la “proiezione digitale” delle azioni del singolo. Ne deriva che, come esistono dati contenenti informazioni sensibili che necessitano di essere protetti e non divulgati, ve ne sono altri più “neutri” rispetto ai quali gli stessi utenti possono avere interesse a condividere agilmente con terzi.

Del resto, sempre più si è circondati da oggetti rientranti nella categoria nota come “Internet delle cose” (IoT, i.e. Internet of Things), ossia di beni funzionanti grazie alle reti internet. Si tratta degli oggetti più vari, come le smart car o le soluzioni domotiche per la propria casa.

Questo settore conosce da tempo la distinzione tra “prodotto connesso” e “servizio correlato”. Mentre il primo termine indica un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente, il secondo termine indica invece un servizio digitale connesso con un prodotto finalizzato a permettere a quest’ultimo di svolgere pienamente le sue funzioni.

Tuttavia, nonostante sia difficilmente negabile la centralità assunta dai dati (nonché dalle reti ed oggetti attraverso sui i dati stessi operano), nella vita di tutti i giorni sono state riscontrate alcune fragilità di sistema, dovute in particolare dalla difficoltà di garantire a livello generale un efficiente sistema di interoperabilità e di condivisione dei dati. Scenario ulteriormente complicato dalla presenza di poche entità leader nel settore e dalla contestuale scarsa consapevolezza degli utenti (privati o imprese) dei diritti e poteri che possono esercitare sui propri dati.

In questo contesto si inserisce il regolamento (UE) 2023/2854, noto ai più come “EU Data Act” e che troverà applicazione a partire dal 12 dicembre 2025, con il quale l’Unione europea mira a promuovere lo scambio dei dati all’interno del territorio degli Stati membri, fissando regole affinché gli utenti possano accedere, utilizzare e condividere i propri dati in maniera più equa e semplice.

Il nuovo regolamento, si badi, non intende costituire una nuova base giuridica la raccolta, l’utilizzo o la generazione di dati personali da parte del titolare dei dati. Esso, infatti, si pone il diverso obiettivo di garantire l’efficiente ed equo accesso e trasferimento dei dati da parte degli utenti e dei terzi con lo specifico fine di garantire quella certezza giuridica necessaria agli operatori economici per sviluppare le proprie attività nel territorio, ma ciò sempre sulla scorta di una delle basi giuridiche di cui all’art. 6 del GDPR.

L’EU Data Act costituisce non una sostituzione, bensì un’integrazione alla già vigente disciplina europea a tutela dei dati che rimane pertanto impregiudicata.

A CHI SI RIVOLGE L’EU DATA ACT

La nuova “Legge sui dati” si applica ai soggetti operanti all’interno del territorio europeo, indipendentemente dal luogo di stabilimento. Vero e proprio fulcro soggettivo del regolamento sono i fabbricanti di prodotti connessi e i fornitori di servizi correlati ed i rispettivi utenti, nonché ai titolari dei dati che mettono i dati dell’utente a disposizione a determinati destinatari o enti pubblici, che ne richiedono la disponibilità in forza rispettivamente della richiesta dell’utente o di una circostanza eccezionale di cui all’art. 15.

Il diritto di accesso ai dati

A tutela dell’utente, l’art. 3 individua in capo ai produttori di prodotti connessi e ai fornitori di servizi correlati specifici obblighi di informazione (da rendere in modo chiaro e comprensibile) relativi, ad esempio, alle caratteristiche dei dati, alle relative modalità di generazione e archiviazione, alle modalità di accesso, cancellazione degli stessi, l’identità del titolare dei dati, come anche le modalità con cui l’utente può chiedere che i dati siano condivisi con terze parti.

In ogni caso, anche qualora gli utenti non possano accedere direttamente ai dati a partire dal prodotto connesso o dal servizio correlato, i titolari dei dati, su semplice richiesta dell’utente, sono tenuti a mettere a disposizione di questi i dati ed i metadati senza ritardo, in modo facile, sicuro e gratuito, in formato completo, strutturato, di uso comune e leggibile da dispositivo automatico.

Ove i dati contengano segreti commerciali, occorre invece che il titolare dei dati (che può coincidere con il detentore del segreto commerciale) individui i dati passibili di comunicazione. Le modalità di trasmissione dei dati all’utente dovrebbero essere prefissate contrattualmente dalle parti, attraverso clausole contrattuali tipo o accordi di riservatezza.

IL DIRITTO DI CONDIVIDERE I DATI A TERZE PARTI: LA NULLITA’ DELLE CLAUSOLE ABUSIVE UNILATERALMENTE IMPOSTE.

Come si accennava in apertura, a seconda del tipo di dato e all’utilizzo che l’utente ne fa, questi può avere interesse a condividere i dati raccolti con terzi. In simili circostanze, i titolari dei dati sono tenuti a mettere a disposizione dei terzi i dati e relativi metadati disponibili.

I terzi, d’altra parte, rimangono vincolati a trattare i dati messi a sua disposizione solo per le finalità e alle condizioni concordate con l’utente, fermo in ogni caso l’obbligo generale di cancellazione dei dati quando non più necessari.

A garanzia di un’equa trasmissione e messa a disposizione dei dati generati, l’EU Data Act sanziona con la nullità l’apposizione di clausole contrattuali “abusive” apposte unilateralmente, da intendersi come clausole il cui utilizzo si discosta considerevolmente dalle buone pratiche commerciali in materia di accesso ai dati e relativo utilizzo, in contrasto con il principio di buona fede e correttezza.

In particolare, una clausola è considerata abusiva quando ha ad oggetto o per effetti di:

1. escludere o limitare la responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave;
2. escludere i mezzi di ricorso a disposizione della parte alla quale la clausola è stata imposta unilateralmente in caso di inadempimento degli obblighi contrattuali o la responsabilità della parte che ha imposto unilateralmente la clausola in caso di violazione di tali obblighi;
3. conferire alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di determinare se i dati forniti sono conformi al contratto o di interpretare una qualsiasi clausola del contratto.

L’UTILIZZO DI SMART CONTRACTS

Di non sottovalutabile interesse è, infine, la previsione di cui all’art. 11, in forza del quale il titolare dei dati, al fine del rispetto degli obblighi previsti dal regolamento ed impedire  eventuali accessi non autorizzati, nell’applicare le misure di protezione ritenute adeguate può affidarsi anche all’utilizzo di smart contracts (contratti intelligenti), ossia quei programmi informatici che vengono utilizzati per l’esecuzione automatica di un accordo o parte di esso in forza di una sequenza di registrazioni elettroniche di dati, sì da garantire l’integrità e l’accuratezza.

Tuttavia, al fine dell’esecuzione degli accordi di condivisione dei dati, l’art. 36 fissa i requisiti essenziali dei contratti intelligenti, che possono essere così sintetizzati:

1. robustezza e controllo dell’accesso: il contratto intelligente presenta meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;
2. cessazione e interruzione sicure: deve essere garantita la funzionalità di cessazione dell’esecuzione continua delle transazioni;
3. archiviazione e continuità dei dati: per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto intelligente, deve essere garantita la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità);
4. controllo dell’accesso: per garantire che un contratto intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto intelligente;
5. coerenza: con le clausole dell’accordo di condivisione dei dati che il contratto intelligente esegue.

Considerazioni conclusive

Con la nuova Legge sui dati, l’Unione europea mira a diventare leader nel settore, in quanto area territoriale in cui gli operatori possono far affidamento su un quadro normativo certo, prevedibile e, quindi, affidabile.

Certamente, l’introduzione di nuove norme difficilmente può dirsi solo strumento idoneo al raggiungimento di un obiettivo così ambizioso, specie considerando che quello europeo è un ordinamento altamente saturo di normative che non di rado crea confusione e sovrapposizioni difficilmente governabili.

Non solo. Bisogna altresì tenere a mente che, se da un lato l’economia sembra viaggiare a ritmo spedito verso la piena digitalizzazione, dall’altro non è raro riscontrare nella maggior parte degli utenti, sia singoli individui che imprese, l’assenza di conoscenze e di consapevolezza sul ruolo dei dati e dei relativi diritti.

Ecco che, in questo periodo storico, in cui l’elevato tecnicismo della materia informatica si intreccia con la necessità di garantire un elevato standard di tutela degli utenti, fondamentale sarà il supporto di professionisti specializzati in grado di offrire supporto alle proprie strategie di business o alle proprie esigenze di protezione dei dati.

Hai bisogno di assistenza legale sulla gestione dei dati e sulla conformità all’EU Data Act?
Il nostro studio legale è specializzato in diritto digitale e protezione dei dati.

Siamo pronti a offrirti consulenza e supporto per adeguare la tua azienda alle normative europee sulla condivisione e protezione dei dati.

Contattaci oggi stesso per una consulenza personalizzata e scopri come possiamo aiutarti a gestire in sicurezza i tuoi dati e ottimizzare la tua strategia di business nel rispetto delle nuove normative.

(3 votes, average: 5,00 out of 5)
Loading...