L’UE mira a governare l’innovazione e a proteggere gli individui e le piccole imprese in una società europea basata sui dati. L’Unione europea è leader nella legislazione per una società basata sui dati.
L’EU Data Act si occupa della condivisione dei dati, degli standard di interoperabilità e del passaggio al cloud.
Il Data Act dell’UE plasmerà il modo in cui trattiamo i dati, in particolare quelli industriali e quelli generati da dispositivi interconnessi, con un enorme impatto su industrie, professionisti e consumatori.
Di seguito troverete alcuni punti chiave di questa nuova legge che è strategica e rappresenta un’opportunità di crescita per le aziende italiane.
EU DATA ACT (Legge europea sui dati): cos’è?
fonte: Unione europea- Commissione europea
L’EU Data Act è l’ultima pietra angolare della Strategia 2020 della Commissione Europea volta a rendere l’UE leader in una società basata sui dati.
Il Data Act proposto dalla Commissione Europea, il 23 febbraio 2022, è un regolamento del Parlamento Europeo e del Consiglio recante norme armonizzate sull’accesso e l’utilizzo equo dei dati (di seguito, “Data Act”). Il Data Act contiene nuove regole generali direttamente applicabili nei 27 Stati membri dell’UE, per l’accesso, la condivisione, la portabilità e l’uso di tutti i dati, compresi i dati industriali e non personali. Si va quindi oltre i prodotti IOT e il settore cloud.
Il Data Act chiarisce soprattutto chi può creare valore dai dati non personali, definiti “il nuovo petrolio”. Il valore dei dati non personali è per lo più perso e inutilizzato (80%) o controllato esclusivamente da pochi soggetti economici.
L’EU Data Act rientra nelle iniziative normative della Commissione per l’economia dei dati, con il Digital Markets Act (Regolamento UE 2022/1925), il Data Governance Act (Regolamento 2022/868), il Digital Services Act (Regolamento UE 2022/2065 ) e la legge sull’IA (in corso di definizione presso il Parlamento europeo e il Consiglio).
Anche se vi sono alcune sovrapposizioni con altri atti legislativi, come il GDPR (che prevale in relazione ai dati personali e ai set misti di dati), e alcune critiche riguardanti la protezione dei segreti commerciali, l’EU DATA Act ha il suo obiettivo principale e sicuramente il grado più elevato di impatto normativo sui prodotti e sui mercati dell’IoT. Tuttavia, sono coinvolti anche gli altri settori, in quanto l’EU Data Act è una legislazione orizzontale di portata generale. La Commissione ha chiarito che per alcuni settori saranno elaborate norme più specifiche (ad esempio, il settore automobilistico).
European Data Act 2023: tutte le novità
fonte: Unione europea- Commissione europea
Il Data Act introduce cinque principi chiave:
- Ad ogni utente, sia esso un’impresa o un consumatore, è riconosciuto il diritto di accedere e utilizzare i dati generati dai prodotti IoT e di condividere tali dati con terzi.
- Le piccole e medie imprese europee sono tutelate contro i contratti commerciali sleali e le pratiche di condivisione dei dati imposte loro da altri soggetti;
- Gli utenti hanno diritti previsti dalla legge che li tutelano in caso di passaggio da un fornitore di servizi cloud all’altro;
- In alcuni casi eccezionali e nell’interesse pubblico, i governi europei possono imporre alle aziende di condividere con loro i propri dati;
- Alcune misure di salvaguardia impediranno l’accesso illegale in contesti internazionali ai dati non personali detenuti nell’Unione.
Obblighi di condivisione dei dati
Il Data Act garantisce che una gamma più ampia di parti interessate acquisisca il controllo sui propri dati e che più dati siano disponibili per un uso innovativo.
Ad esempio, se un robot di fabbrica si rompe, oggi solo il produttore può accedere ai dati e ripararlo. L’utente non è nella posizione di estrarre tutti i dati di cui ha bisogno o di affidare ad altri la riparazione. Il Data Act mira a correggere questi squilibri commerciali e contrattuali, ad esempio, permettendo all’acquirente di un macchinario connesso, di accedere e condividere i dati con tecnici di sua fiducia, non collegati la produttore.
L’EU Data Act lo afferma chiaramente:
“I dati rappresentano la digitalizzazione delle azioni e degli eventi dell’utente e dovrebbero pertanto essere accessibili all’utente” (considerando 14° del Regolamento).
Pertanto il Data Act offre una nuova protezione giuridica all’utente B2B sui dati che genera utilizzando un prodotto o un servizio.
Prima la tutela giuridica era accordata solo alla persona fisica e solo in relazione ai suoi dati personali. Il Data Act va oltre e conferisce un diritto legale sui dati non personali che le aziende o gli individui possono generare.
Un esempio aiuterà a chiarire questo aspetto.
Quando acquistiamo un prodotto “tradizionale”, acquisiamo tutte le parti di quel prodotto e possiamo farne qualsiasi uso. Tuttavia, quando acquistiamo un prodotto connesso (ad esempio un elettrodomestico intelligente) che genera dati dopo la vendita, spesso non è chiaro chi può fare cosa con i dati.
Nel caso di un macchinario industriale intelligente, solo il produttore può realmente accedere, raccogliere e condividere tutti i dati generati dall’utente e spesso l’utente non ha il diritto di ottenere ulteriori dati dal produttore o di raccoglierli in modo diverso.
Il Data Act offre ai privati e alle imprese un maggiore controllo sui propri dati attraverso un diritto rafforzato di portabilità dei dati che consente loro di copiare o trasferire facilmente i dati da diversi servizi, dove i dati vengono generati attraverso oggetti, macchine e dispositivi intelligenti. Ad esempio, il proprietario di un macchinario potrebbe scegliere di condividere i dati generati dal suo utilizzo con il proprio consulente, in modo da avere dati derivati e aumentare la propria produttività. I proprietari di auto potrebbero scegliere di condividere i dati generati dal loro utilizzo con la propria compagnia assicurativa. Tali dati, aggregati da più utenti, potrebbero anche aiutare a sviluppare o migliorare altri servizi digitali, ad es. riguardanti il traffico o le zone ad alto rischio di incidenti.
L’obiettivo finale del legislatore dell’UE è dare potere alle PMI dell’UE e creare nuovi mercati dei dati non personali.
Grazie all’EU Data Act, sarà più semplice trasferire i dati da e tra i fornitori di servizi e questo incoraggerà più attori, comprese le PMI, a partecipare all’economia dei dati.
Contratti per l’uso dei dati
Innanzitutto, l’EU Data Act stabilisce che sia i titolari che gli utenti dei dati possono accedere ai dati generati da un dispositivo IOT o da una macchina interconnessa.
Inoltre, tutti i rapporti B2B e B2C, soprattutto riguardanti i prodotti IOT, sono soggetti a contratti equi. I titolari e gli utenti dei dati devono concludere un contratto equo per l’utilizzo dei dati.
Il Data Act lascia ciascuna parte libera di formulare e negoziare i propri contratti, ponendo alcuni limiti:
Contiene un elenco di termini e clausole commerciali abusivi.
Clausole vessatorie in materia di condivisione dei dati
Una clausola sarà considerata vessatoria se:
- si discosta gravemente dalle buone pratiche commerciali nell’accesso e nell’utilizzo dei dati e/o è contraria alla buona fede;
- Esclude o limita la responsabilità di una parte per atti intenzionali o colpa grave; ovvero esclude i rimedi contrattuali nei confronti della parte inadempiente;
- conferisce al titolare del trattamento il diritto esclusivo di verificare se i dati forniti sono conformi o meno al contratto.
Una clausola sarà presunta vessatoria se, tra l’altro:
– impedisce all’utente di utilizzare i dati o non consente l’uso, la raccolta, l’accesso o il controllo di tali dati o di sfruttare il valore di tali dati in modo proporzionato;
– prevede un preavviso irragionevolmente breve, salvo il caso in cui sussistano seri motivi per farlo.
Compenso monetario
L’EU Data Act non contiene specifiche norme riguardo alla monetizzazione dei dati, ma lascia aperta la possibilità di monetizzazione dei dati personali e non personali, a vantaggio dell’utente (articolo 4, paragrafo 6, e articolo 6, paragrafo 2, lettera f). Allo stesso tempo, il titolare dei dati ha diritto ad un compenso monetario limitato per consentire l’accesso ai dati a un terzo autorizzato dall’utente.
Obbligo di non spiare e di non compromettere la posizione commerciale dell’utente
Cosa molto importante, il Data Act stabilisce che tutti i titolari dei dati hanno l’obbligo di non utilizzare in modo improprio i dati generati dall’uso del prodotto o del servizio correlato. È vietato ai titolari dei dati “derivare approfondimenti sulla situazione economica, patrimoniale e sui metodi di produzione o sull’utilizzo da parte dell’utente che potrebbero compromettere la posizione commerciale dell’utente nei mercati in cui opera”. (par. 4(6) del Regolamento).
Quali sono i prossimi passi?
Il Data Act deve ora essere adottato dal Consiglio e dal Parlamento europeo.
Una volta approvato, mancano solo dodici mesi prima dell’applicazione diretta del Data Act.
Cosa significa EU Data Act per la tua azienda?
Se la tua azienda è un produttore IOT, dovrà rispettare i nuovi obblighi dell’EU Data Act. Ad esempio, la macchina dovrebbe essere già progettata per fornire all’utente il controllo sui dati generati dal suo utilizzo. Le aziende produttrici di macchinari e/o prodotti connessi dovrebbero verificare se il loro prodotto è conforme alla nuova legge e modificare anche i propri termini contrattuali, non solo per rispettare la legge ma anche per ottenere un vantaggio competitivo sul mercato e attirare più clienti.
D’altro canto, se la vostra azienda vuole trarre valore dai dati o entrare in nuovi mercati, dovrebbe iniziare a pensare alle possibilità offerte da questa nuova legislazione, come i nuovi diritti di condivisione e portabilità dei dati generati dalle macchine interconnesse o dispositivi. Consigliamo sempre di rivolgersi a degli specialisti di Contratti Internazionali.
Inoltre, le associazioni di imprese in Europa dovrebbero informare i propri associati e sviluppare proprie regole modello sulla condivisione dei dati, a loro vantaggio.
Se volete rimanere informati su questo argomento, potete contattarci.