Il Data Act, recentemente introdotto dalla Commissione Europea, rappresenta una svolta cruciale nella regolamentazione dei dati non personali generati da macchinari e dispositivi connessi. Questo quadro normativo, che rientra nelle iniziative della Digital Decade, mira a promuovere l’accesso e la condivisione dei dati industriali attraverso un sistema armonizzato che chiarisce chi, insieme al produttore o al detentore dei dati, possiede il diritto di accedere ai dati generati dai prodotti o dai servizi correlati e a quali condizioni.
Ambito di Applicazione e Limiti Territoriali
Il Data Act è rivolto a un’ampia gamma di soggetti, tra cui produttori di prodotti connessi, fornitori di servizi correlati e utenti. Tuttavia, la sua applicabilità si limita a destinatari e terzi all’interno dell’Unione Europea, il che riduce eventuali conflitti giuridici internazionali e focalizza l’attenzione su un mercato europeo unificato.
Impatti del Data Act sui Segreti Commerciali
Un aspetto critico riguarda l’intersezione tra il Data Act e la tutela dei segreti commerciali. L’articolo 4(8) stabilisce che i detentori dei dati possono rifiutare l’accesso ai dati in presenza di determinate condizioni. In particolare, tale rifiuto può essere esercitato se:
- Sussistono “circostanze eccezionali”
- il detentore dei dati, che sia titolare di un segreto commerciale, sia in grado di dimostrare che la divulgazione di tali segreti comporterebbe con elevata probabilità un grave danno economico, nonostante le misure tecniche e organizzative adottate dall’utente per proteggerli.
Questa eccezione deve essere applicata caso per caso e deve essere notificata all’autorità competente. Tuttavia, la condivisione obbligatoria dei dati, anche quando questi contengono segreti commerciali, solleva dubbi sul rischio di perdita economica per le imprese. Questo rischio nasce dal fatto che, sebbene siano previste eccezioni, la divulgazione potrebbe comportare costi non recuperabili o ridurre il vantaggio competitivo dell’azienda.
Problematiche pratiche:
Il Data Act impone ai detentori di dati l’obbligo di divulgare determinate informazioni agli utenti o a terze parti designate dagli utenti, anche qualora tali informazioni siano protette come segreti commerciali. Tuttavia, come sottolineato dal Recital 31, questa normativa deve essere interpretata in modo tale da preservare la protezione garantita ai segreti commerciali dalla Direttiva (UE) 2016/943.
Il problema pratico sorge a causa di una divergenza di approccio tra la Direttiva sui Segreti Commerciali e il Data Act. La Direttiva (UE) 2016/943 adotta un approccio di tipo ex post, richiedendo un’analisi successiva per valutare l’effettivo impatto della divulgazione dei segreti commerciali. Al contrario, il Data Act segue un approccio ex ante, ossia richiede di valutare i potenziali rischi per i segreti commerciali prima della condivisione dei dati. Di conseguenza, la protezione di un segreto commerciale, da sola, non costituisce una motivazione sufficiente per rifiutare l’accesso ai dati, sebbene sia necessario dimostrare la probabilità di un danno economico serio per esercitare tale diritto di rifiuto, come indicato nell’articolo 4(8).
Diritti sui Database e il Data Act
Un altro aspetto rilevante del Data Act riguarda il rapporto con i diritti sui database, in particolare il diritto sui generis introdotto dalla Direttiva 96/9/EC. Tale diritto è concepito per proteggere i database in cui siano stati fatti investimenti sostanziali per l’acquisizione, la verifica o la presentazione dei dati. Tuttavia, vi è attualmente incertezza giuridica sul fatto che un database contenente dati generati automaticamente da macchine possa soddisfare i requisiti necessari per ottenere questa protezione.
In molti casi, le parti coinvolte tendono ad assumere che il diritto sui database sia applicabile anche a questi dati e pertanto concedono licenze di utilizzo basate sulla presunta esistenza del diritto sui generis. Tuttavia, una questione chiave sollevata dal Data Act è se il diritto sui generis sui database possa effettivamente essere invocato per impedire l’accesso e la condivisione dei dati, e se tali diritti siano ancora validi quando i dati del database includono informazioni provenienti da dispositivi connessi.
Secondo l’articolo 43 del Data Act, il diritto sui database non si applica ai dati ottenuti o generati da un prodotto connesso o da un servizio correlato che rientra nell’ambito di applicazione del Data Act. L’obiettivo, come evidenziato nel Recital 112, è evitare che i diritti sui database ostacolino l’accesso e l’uso dei dati. Questo comporta una conseguenza significativa: i database contenenti dati provenienti da prodotti connessi o servizi correlati non potranno più beneficiare della protezione del diritto sui generis.
Un effetto collaterale inatteso potrebbe essere che le organizzazioni potrebbero essere disincentivate dal mescolare i dati dei dispositivi connessi con altri dataset, per evitare di perdere il diritto sui generis sui database. Alcune aziende potrebbero persino considerare di tornare a metodi di raccolta manuale per proteggere i propri dataset con una tutela di proprietà intellettuale più ampia, evitando di compromettere la protezione giuridica mescolando i dati di dispositivi connessi.
Prospettive Future e Raccomandazioni
Entro il 12 settembre 2025, la Commissione Europea pubblicherà termini standardizzati per la condivisione dei dati e la protezione dei segreti commerciali. Le principali scadenze del Data Act sono le seguenti:
- 12 settembre 2025: Applicazione del Data Act.
- 12 settembre 2026: Applicazione degli obblighi di design per nuovi prodotti e servizi.
- 12 settembre 2027: Applicazione delle disposizioni sulle clausole contrattuali inique a tutti i contratti a lungo termine.
Come Affrontare il Data Act e Gestire la Proprietà Intellettuale
Per le organizzazioni, è essenziale prepararsi al Data Act adottando strategie concrete di gestione dei dati e di tutela dei propri asset di proprietà intellettuale.
- Valutazione legale dell’impatto del Data Act: Le organizzazioni devono analizzare quali diritti sui dati e sui database si applicano e l’impatto sui segreti commerciali, tracciando il flusso di dati per i prodotti e i servizi correlati.
- Implementazione di un solido quadro di governance dei dati: Creare politiche chiare per l’accesso, la condivisione e la portabilità dei dati, e implementare misure di sicurezza robuste per proteggere i dati.
- Formazione per la comprensione degli obblighi normativi: È importante sensibilizzare i dipendenti e i partner esterni sulle normative di compliance e sull’importanza di proteggere gli asset IP.
- Gestione efficace dei contratti e delle condizioni d’uso: Rivedere i termini di accesso e uso dei dati e aggiornare gli accordi di condivisione per rispettare gli standard di trasparenza e equità.
- Monitoraggio continuo e adattamento: Verificare se esistono leggi settoriali o nazionali rilevanti e monitorare gli sviluppi normativi e le attività dei concorrenti per adattare le strategie aziendali.
In conclusione, il Data Act richiede alle aziende di adottare misure specifiche per proteggere i propri diritti di proprietà intellettuale, come i segreti commerciali e i diritti sui database, in un contesto di maggiore accesso e condivisione dei dati. Le imprese dovranno rivedere i propri sistemi di gestione dei dati, separando con attenzione quelli generati da dispositivi connessi, per evitare di perdere protezioni essenziali. Preparandosi adeguatamente, le organizzazioni saranno in grado di rispettare le nuove disposizioni normative, mantenendo la competitività e sfruttando le opportunità offerte da un mercato dei dati europeo più aperto.
Su un argomento simile può essere d’interesse l’articolo “Pubblicate le FAQ della Commissione Europea sul Data Act: i punti principali“
