Ambito di applicazione soggettivo del Reg. UE 2023/2854 (cd. Data Act). Brevi cenni.

L’articolo 1, paragrafo 3, del Reg. UE 2023/2854 (d’ora in poi “Data Act” o “Regolamento”), definisce chiaramente i soggetti ai quali il Regolamento si applica ossia:

-         ai fabbricanti di prodotti connessi immessi sul mercato dell’UE e fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento. A titolo esemplificativo: un’azienda con sede in Cina che produce elettrodomestici smart e li commercializza in Europa rientra pienamente tra i fabbricanti obbligati a rispettare il Data Act, così come il fornitore del software di monitoraggio remoto associato al prodotto;

-         agli utenti nell’Unione di prodotti connessi o servizi correlati. E’ considerato “utente” e beneficia dei diritti di accesso e condivisione dei dati previsti dal Regolamento, ad esempio,  un’impresa europea che utilizza macchinari IoT per l’assemblaggio industriale, oppure un consumatore che acquista un termostato smart e ne usufruisce in casa;

-         ai titolari di dati che mettono i dati a disposizione di destinatari nell’UE. Il “Titolare dei dati” è definito all’articolo 2, punto 13, del Data Act come “la persona fisica o giuridica che ha il diritto o l’obbligo di utilizzare e mettere a disposizione i dati, inclusi, se contrattualmente concordato, i dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato”. Una start-up italiana che, in qualità di fornitore di piattaforme telematiche, si accorda con produttori di dispositivi connessi per raccogliere e gestire i relativi dati, svolge il ruolo di “titolare di dati” ogniqualvolta ne abbia la disponibilità effettiva;

-         ai destinatari dei dai nell’Unione a disposizione dei quali sono messi i dati. Il “destinatario dei dati” è definito all’articolo 2, punto 14 del Data Act come “una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’utente di un prodotto connesso o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione”. Un’azienda che sviluppa software di manutenzione predittiva e riceve, su richiesta dell’utente, i dati da un produttore di dispositivi connessi, è “destinataria di dati” obbligata a rispettare le condizioni fissate dal Regolamento;

-          agli enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi dell’Unione che chiedono ai titolari dei dati di mettere i dati a disposizione nel caso tali dati siano necessari a fronte di una necessità eccezionale per l’esecuzione di un compito specifico svolto nell’interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta. Il Considerando 69 del Data Act specifica che le richieste dovrebbero essere specifiche, trasparenti e proporzionate, con finalità e utilizzo chiaramente definiti, tenendo conto dei legittimi interessi dei titolari dei dati. Per evitare duplicazioni, è previsto il principio “una tantum”, volto a impedire che gli stessi dati siano richiesti più volte da diverse autorità. La pubblicazione tempestiva di tali richieste online  e il loro monitoraggio da parte delle autorità competenti assicurano trasparenza e controllo sulla legittimità dell’accesso richiesto. In situazioni di calamità naturali, un ente pubblico può dover richiedere urgentemente i dati relativi ai sensori di monitoraggio ambientale per adottare misure di sicurezza, tali dati dovranno essere forniti dal titolare secondo i criteri dettati dal Regolamento;

-         ai fornitori di servizi di trattamento dei dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione.   Un provider cloud con data center dislocati negli Stati Uniti ma che offre servizi a imprese europee dovrà conformarsi alle disposizioni del Data Act in materia di trasferimento e messa a disposizione dei dati;

-         ai partecipanti agli spazi di dati, ai venditori di applicazioni che utilizzano contratti intelligenti e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo. Una società specializzata in blockchain che crea smart contract per la compravendita di servizi connessi rientra tra i soggetti chiamati a rispettare i principi di trasparenza e non discriminazione nell’uso e nella condivisione dei dati.

Il Data Act si applica, dunque, ad una platea di soggetti ampia ed eterogenea, coprendo tanto gli operatori economici che immettono prodotti connessi o servizi correlati sul mercato, quanto i soggetti – pubblici e privati – che, a vario titolo, possono accedere o richiedere l’accesso ai dati. Tale ampiezza garantisce un approccio orizzontale e uniforme, rendendo l’accesso ai dati trasparente, equo e non discriminatorio (cfr. Considerando 5 del Data Act ).

La definizione dettagliata dei ruoli (fabbricante, utente, titolare,  destinatario di dati, etc.) risponde all’esigenza di chiarire, in primo luogo, “chi” sia effettivamente coinvolto nell’obbligo di mettere a disposizione i dati o possa rivendicare un diritto di accesso. In tal modo, il Regolamento cerca di scongiurare concentrazioni eccessive di dati nelle mani di un singolo operatore, nonché di tutelare il legittimo interesse dei fabbricanti e dei titolari di dati a salvaguardare informazioni confidenziali (cfr. i Considerando 7 e 31 del Data Act, che richiamano il rispetto del Reg. UE 679/2016 (GDPR) e la protezione dei segreti commerciali).

Avv. Giuseppe Fiordalisi

Riproduzione riservata