Lo scorso 23 Febbraio la Commissione europea ha pubblicato la sua proposta legislativa per il “Data Act”.
L’obiettivo che la Commissione si pone con questa nuova legislazione è garantire l'equità nell'ambiente digitale, stimolare un mercato dei dati competitivo, aprire opportunità per l'innovazione basata sui dati e aumentare l’accessibilità dei dati per tutti.
Contemporaneamente la Commissione europea ha reso disponibili I seguenti report:
Punti chiave della proposta:
- Scopo
Il presente regolamento si applica ai fabbricanti di prodotti e ai fornitori di servizi connessi che sono immessi sul mercato dell'Unione. Il regolamento si applica anche ai loro utenti (articolo 1).
- Condivisione dati B2C e B2B
C'è un nuovo obbligo (per i produttori) di rendere i dati generati dall'uso dei prodotti e dei servizi correlati accessibili ai propri utenti, per impostazione predefinita (Art. 3).
Gli utenti (persone fisiche e giuridiche) hanno il diritto di accedere ai dati che generano dall'utilizzo di un prodotto (Art. 4). I segreti commerciali possono essere divulgati solo se è possibile garantirne la riservatezza, in particolare nei confronti di terzi (articolo 4.3).
Il titolare del trattamento può utilizzare qualsiasi dato non personale generato dal prodotto o servizio correlato solo sulla base di un accordo contrattuale con l'utente e non utilizzerà tali dati per ricavare approfondimenti o modalità di produzione dell'utente e minare la sua posizione commerciale (Art. 4.6).
Se i dati non sono direttamente accessibili sul prodotto, il titolare dei dati dovrebbe renderli disponibili in altro modo e questo senza costi aggiuntivi (Art. 4.1). Anche la comunicazione di tali dati a terzi su richiesta dell'utente deve avvenire senza costi aggiuntivi (Art. 5.1).
Gli utenti hanno anche il diritto di condividere tali dati con soggetti terzi (Art. 5.1), che devono rispettare alcuni obblighi in cambio (Art. 6).
Gli obblighi di condivisione dei dati B2C e B2B non si applicano alle micro e piccole imprese (articolo 7.1).
- Obblighi per i titolari dei dati legalmente obbligati a rendere disponibili i dati
I titolari dei dati concordano con gli utenti i termini di messa a disposizione dei dati (Art. 8.2) ma non li rendono disponibili esclusivamente a un utente, se non richiesto dall'utente (Art. 8.4).
I titolari dei dati devono fornire all'utente la base di calcolo del compenso per dimostrarne la ragionevolezza (Art. 9.4).
Il titolare dei dati ha il diritto di applicare misure di protezione tecnica, incl. smart contract, ma non possono essere utilizzate per ostacolare la condivisione dei dati a terzi indicati dall'utente (Art. 11.1)
- Clausole abusive relative all'accesso ai dati e all'utilizzo tra imprese
Esiste un elenco di clausole contrattuali nulle in quanto considerate abusive quando imposte a micro imprese e PMI (Art. 13.3) .
Esiste un elenco di clausole presunte abusive (limitazione dei rimedi, imposizione di condizioni di accesso/utilizzo dei dati, ecc.) (Art. 13.4).
- B2G - Mettere a disposizione dei dati gli enti del settore pubblico e le istituzioni, le agenzie o gli organismi sindacali sulla base di esigenze eccezionali
Nuovo obbligo per i titolari dei dati di comunicare i dati agli enti pubblici (Art. 14.1), a titolo gratuito (Art. 20.1), in casi di eccezionale necessità (Art. 15).
Gli enti pubblici possono trasmettere tali dati alle organizzazioni a fini di ricerca scientifica (Art. 21) e ad altri enti pubblici oltre confine (Art. 22).
La direttiva sui dati aperti non si applica ai dati ottenuti da enti pubblici ai sensi della legge sui dati (articolo 17.3).
- Passaggio tra servizi di elaborazione dati e interoperabilità (incl. standard)
Esiste un nuovo obbligo (articolo 23) per i fornitori di servizi di elaborazione dati di adottare misure contrattuali (articolo 24) e tecniche (articolo 26) per passare facilmente ad altri fornitori.
Le commissioni di conversione sono progressivamente revocate (Art. 25).
Un elenco di requisiti essenziali per facilitare l'interoperabilità è riportato all'articolo 28.1 e può essere ampliato mediante atti delegati. La CE può chiedere alle OEN di elaborare norme armonizzate che soddisfino tali requisiti (articolo 28.4) o adottare specifiche comuni autonomamente mediante atti di esecuzione (articolo 28.5).
Esistono nuovi requisiti essenziali per gli smart contract utilizzati per la condivisione dei dati, con un requisito di autovalutazione per i fornitori di smart contract. La CE può chiedere alle OEN di elaborare norme che soddisfino i requisiti essenziali (articolo 30.5) o adottare specifiche comuni mediante atti di esecuzione (articolo 30.6).
- Contesti internazionali Tutela dei dati non personali
I fornitori di servizi di trattamento dei dati adottano tutte le misure, comprese le disposizioni contrattuali, al fine di impedire il trasferimento internazionale o l'accesso governativo ai dati non personali detenuti nell'Unione qualora tale trasferimento o accesso pubblico creerebbe un conflitto con il diritto dell'Unione (Art. 27).
Un tribunale/autorità amministrativa di un paese terzo che richieda al fornitore di servizi di elaborazione dati di trasferire o dare accesso a dati non personali nell'ambito della legge sui dati è applicabile nell'UE solo sulla base di un accordo internazionale (ad es. trattato di assistenza giudiziaria reciproca). In assenza di tale accordo internazionale, il trasferimento può avvenire solo a determinate condizioni. Il comitato europeo per l'innovazione dei dati di recente istituzione assisterà la CE nello sviluppo di linee guida per valutare se queste condizioni sono soddisfatte (articolo 27.3).
Il fornitore di servizi di elaborazione dati è tenuto a informare il titolare del trattamento dell'esistenza di una richiesta di un'autorità amministrativa di un paese terzo di accedere ai suoi dati prima di farlo (articolo 27.5).
- Diritto sui generis ai sensi della direttiva sulle banche dati 1996/9/CE
Il diritto sui generis previsto dall'articolo 7 della direttiva 96/9/CE sulle banche di dati non può essere utilizzato per contrastare l'obbligo di apertura dei dati ai sensi degli articoli 4 e 5 (articolo 35).
La proposta legislativa seguirà ora l’iter di approvazione in Parlamento e Consiglio Europei.