WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Attualità

Il «Data Act» nel quadro della strategia europea in materia di dati

1 Febbraio 2024

Giuseppe Proietti, Lener & Partners

Di cosa si parla in questo articolo

Il presente contributo fornisce una panoramica delle novità del Regolamento (UE) 2023/2854 pubblicato nella Gazzetta Ufficiale UE il 22 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (cd. Data Act).


1. Premessa

Il 9 novembre del 2023 le istituzioni europee hanno raggiunto un compromesso sul testo finale del Data Act, il quale rappresenta il regolamento che va a completare la strategia europea in materia di dati e, in particolare, è volto a favorire l’accesso e la circolazione dei dati soprattutto nel settore dell’Internet of things. La nuova normativa stabilisce una serie di regole con cui si intende, inter alia, individuare i soggetti legittimati ad accedere e a utilizzare i dati generati dai prodotti connessi e dai servizi correlati [1].

Il regolamento è stato pubblicato nella G.U. europea il 22 dicembre 2023, ed è vigente a partire dal 11 gennaio scorso.

La sua applicazione è prevista a cadenze differenti a seconda dei relativi capi [2]. In caso di contrasto tra GDPR e Data Act, prevale il primo.

2. Le definizioni secondo il Data Act

Anche nel Data act, al pari di quanto avviene nel DGA (Data Governance Act), si assiste a un cambio di paradigma, visti i riferimenti alla titolarità dei dati.

Infatti, ai sensi del Regolamento, con «titolare dei dati» deve intendersi quella persona che ha il diritto o l’obbligo di utilizzare e mettere a disposizione i dati, inclusi quei dati del prodotto o di un servizio correlato, se previsto contrattualmente.

Con «utente» si deve intendere quella persona che possiede un prodotto connesso o una persona a cui, temporaneamente, sono stati concessi i diritti di utilizzo in relazione a tale prodotto.

Con «destinatario dei dati» si intende quella persona alla quale vengono messi a disposizione i dati da parte del titolare.

Con «servizio correlato» deve intendersi quel servizio digitale (diverso rispetto a un servizio di comunicazione elettronica), connesso con il prodotto al momento dell’acquisto o noleggio.

3. La struttura del Data Act

Il Data Act, in una prospettiva complementare al DGA, intende favorire la circolazione dei dati e ampliare la platea dei soggetti che possono avere accesso alle informazioni, consentendo, ad esempio, ai proprietari di dispositivi connessi, di accedere ai dati da essi generati, autorizzandone poi la condivisione con terze parti nella fornitura di servizi post-vendita.

In un altro capo del regolamento sono poi previste nuove prerogative di accesso ai dati da parte degli enti pubblici in presenza di «necessità eccezionali»[3].

Si tratta di un regolamento complesso che regola differenti sfaccettature e ambiti inerenti all’accesso ai dati.

A partire dall’articolo 3 vengono stabilite una serie di regole volte a determinare le modalità di esercizio del diritto di accesso ai dati generati dal prodotto connesso o dal servizio correlato da parte dell’utente.

L’articolo 5, peraltro, prevede un diritto dell’utente di condividere i dati con terzi, prontamente messi a loro disposizione dal titolare dei dati, oltre ai relativi metadati necessari a interpretare e utilizzare i dati in questione. Però, è da notare come dalla nozione di «terzo» a cui possono essere messi a disposizione i dati di cui si discute, il par. 3 dell’articolo 5 esclude espressamente quei soggetti che sono gatekeeper ai sensi del Digital Markets Act (DMA).

Se l’utente intende condividere – per i tramite del titolare – dati con terzi, qualora essi riguardino dati personali anche di altri soggetti, diversi dall’utente, possono essere messi a disposizione del terzo solo al cospetto di una idonea base giuridica prevista dall’articolo 6 GDPR e, se necessario, nel rispetto dell’art. 9 GDPR inerente ai dati personali particolari e all’art. 5, par. 3, dir. (UE) 2022/58.

Il capo III del regolamento prescrive gli obblighi gravanti sul titolare di mettere a disposizione i dati ai destinatari sulla base delle condizioni concordate con questi ultimi (art. 8). Gli accordi tra questi due soggetti non devono contenere quelle clausole abusive disciplinate nel successivo articolo 13 del Data Act. Inoltre, l’attività prevista a carico del titolare dei dati può prevedere un congruo compenso.

L’utente dovrebbe essere libero di utilizzare i dati per qualsiasi finalità legittima, inclusa la fornitura dei dati che egli ha ricevuto nell’esercizio dei suoi diritti a un terzo che offre un servizio post-vendita e che può essere in concorrenza con un servizio fornito da un titolare dei dati.

I titolari dei dati devono perciò garantire che i dati messi a disposizione del terzo siano tanto accurati, completi, affidabili, pertinenti e aggiornati quanto i dati ai quali il titolare stesso può essere in grado o avere il diritto di accedere in virtù dell’uso del prodotto connesso o del servizio correlato[4].

Secondo il considerando n. 33, nella messa a disposizione dei dati ad un terzo, un titolare dei dati non deve abusare della sua posizione per ottenere un vantaggio competitivo in mercati in cui il titolare dei dati e il terzo possono trovarsi in concorrenza diretta. Quindi, il «titolare dei dati» non deve utilizzare dati prontamente disponibili al fine di ottenere informazioni sulla situazione economica, sulle risorse o sui metodi di produzione del terzo o sul loro utilizzo da parte di quest’ultimo in un modo tale da compromettere la posizione commerciale del terzo sui mercati in cui quest’ultimo è attivo.

4. Mettere a disposizione i dati sulla base di «necessità eccezionali»

La normativa codifica anche un modello che viene denominato Reverse PSI e delinea una fattispecie generale di trasferimento dei dati (personali e non) dal settore privato a quello pubblico[5].

Infatti, il capo V del Data Act è rubricato «mettere i dati a disposizione di enti pubblici, della commissione, della banca centrale europea e di organismi dell’unione europea sulla base di necessità eccezionali» il quale dall’art. 14 del Data Act prevede le ipotesi in cui gli enti pubblici possono utilizzare alcuni dati, inclusi i metadati, per le proprie funzioni nel perseguimento di un interesse pubblico messi a disposizione dai loro titolari su richiesta motivata[6]. Ciò pone le premesse per una sorta di trasferimento coattivo dei dati per pubblico interesse rischiando di divenire l’equivalente strumento dell’espropriazione nel mondo digitale[7].

5. Il «passaggio tra servizi di trattamento dei dati» e la «interoperabilità»

Nel capo VI del Data Act è disciplinato il «passaggio tra servizi di trattamento dei dati», ovvero una specificazione del diritto alla portabilità.

Con «passaggio» il legislatore intende quel processo che coinvolge un fornitore di servizi di trattamento dei dati di origine[8], un cliente di un servizio di trattamento dei dati e, eventualmente, un fornitore di servizi di trattamento dei dati di destinazione.

In questo processo di «passaggio» il cliente transita dall’utilizzo di un servizio di trattamento dei dati ad un altro offerto da un diverso fornitore anche attraverso l’estrazione, trasformazione e caricamento dei dati. Agli artt. 25 – 30 del Regolamento vengono sanciti una serie di obblighi e di condizioni per consentire l’esercizio del diritto di passaggio da un fornitore ad un altro.

Infine, il capo VIII è dedicato a disciplinare la «interoperabilità», considerata dal legislatore come «la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento di dati o componenti di scambiare e utilizzare dati per svolgere le loro funzioni».

Anche il Data act, quindi, introduce importanti novità in termini di utilizzo, accesso e circolazione di dati personali (e non personali).

6. Accesso governativo e trasferimento internazionali

Il capo VII del Data Act è dedicato all’accesso governativo e al trasferimento internazionale dei dati prevedendo (art. 32), in linea generale che, i fornitori di servizi di trattamento dei dati sono tenuti all’adozione di tutte quelle misure tecniche, organizzative e giuridiche per impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.

È, questa, una disciplina che deve trovare un raccordo con il GDPR per quanto riguarda il trasferimento transfrontaliero dei dati personali (artt. 44 – 50 GDPR).

Lo stesso Data Act prescrive che le decisioni o le sentenze di un organo giurisdizionale di un paese terzo e le decisioni di un’autorità amministrativa di un paese terzo che obbligano un fornitore di servizi di trattamento dei dati a trasferire dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del Data Act, o a concedervi l’accesso, sono riconosciute o assumono qualsivoglia carattere esecutivo solo se fondate su un accordo internazionale in vigore tra il paese terzo e l’UE, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.

In difetto di un accordo, il trasferimento di tali dati o l’accesso agli stessi da parte di tale autorità del paese terzo – qualora sussista un rischio di conflitto con il diritto UE – ha luogo solo se:

  1. il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità di siffatta decisione o sentenza, e che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;
  2. l’obiezione motivata del destinatario è oggetto di esame da parte di un organo giurisdizionale competente del paese terzo; e
  3. l’organo giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un’autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell’Unione o dal diritto nazionale dello Stato membro interessato.

È previsto poi che debbano essere istituiti appositi organismi o autorità nazionali competenti in materia di cooperazione giudiziaria internazionale per supportare il destinatario a stabilire se le tre condizioni suddette sussistano. In particolare, quando si ritiene che la decisione possa riguardare segreti commerciali e altri dati commercialmente sensibili, nonché contenuti protetti da diritti di proprietà intellettuale, o che il trasferimento possa portare a una reidentificazione.

L’organismo o l’autorità nazionale può consultare la Commissione europea e, se ritiene che la decisione o la sentenza possa incidere sugli interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri, il destinatario non è tenuto a ottemperare alla richiesta di trasferimento o di accesso a dati non personali.

In caso di ottemperanza dovuta al fatto che la decisione non incide sugli interessi predetti, il trasferimento deve riguardare la quantità minima di dati ammissibile in base alla richiesta.

 

[1] D. Poletti, Il controllo dell’interessato e la strategia europea sui dati, in Osservatorio sulle fonti, n. 2/2023, p. 367, spec. p. 373.

[2] L’art. 50 del Data act prevede la sua applicazione dal 12 settembre 2025. L’obbligo derivante dall’articolo 3, paragrafo 1, si applica ai prodotti connessi e ai servizi correlati immessi sul mercato dopo il 12 settembre 2026. Il capo III si applica solo in relazione agli obblighi di messa a disposizione dei dati a norma del diritto dell’Unione o della legislazione nazionale adottata in conformità del diritto dell’Unione, che entrano in vigore dopo il 12 settembre 2025. Il capo IV si applica ai contratti conclusi dopo il 12 settembre 2025. Il capo IV si applica a decorrere dal 12 settembre 2027 ai contratti conclusi il o anteriormente al 12 settembre 2025, a condizione che: a) siano a tempo indeterminato; o b) scadano almeno 10 anni dopo l’11 gennaio 2024.

[3] G. Buttarelli, La regolazione delle piattaforme digitali: il ruolo delle istituzioni pubbliche, in Giornale dir. amministrativo, n. 1/2023, p. 116, spec. p. 120.

[4] In questo senso il considerando 30 del regolamento.

[5] G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati cit., p. 980.

[6] Le necessità eccezionali, seppur generiche, sono meglio specificate nell’art. 15 del Data Act.

[7] Ivi, p. 981.

[8] Con «servizio di trattamento dei dati» si intende «un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi configurabili, scalabili ed elastiche di natura centralizzata, distribuita».

Di cosa si parla in questo articolo
Vuoi leggere la versione PDF?

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

Iscriviti alla nostra Newsletter