Il 26 gennaio 2024 presso la splendida cornice (istituzionale, architettonica, storica) di palazzo San Macuto, un complesso facente parte della Camera dei deputati, uno dei tanti, bellissimi angoli del centro storico di Roma, ho avuto il piacere di formulare le conclusioni del convegno sul Data Act che, nell’ambito della Fondazione Ampioraggio, ho co-organizzato insieme con Flavia Marzano, presidente del Comitato scientifico della Fondazione.
In primis, sia consentito dire (con un pizzico di orgoglio) che l’evento sul Data Act è stato il primo a essere realizzato a livello italiano, ma probabilmente anche a livello mondiale: in tal senso la Fondazione Ampioraggio si conferma attore reale e proattivo del mondo dell’innovazione e della nuova economia digitale, su cui l’Italia e l’Unione europea (“UE”) devono necessariamente arrivare ad avere posizioni non secondarie, se non si vuole rischiare la marginalizzazione economica. Dopodiché va detto che l’evento è stato reso possibile dal supporto fattivo dell’associazione tutta, a partire dalla presidente Giovanna Ruggiero, dal direttore generale Giuseppe De Nicola, nonché dalla segreteria organizzativa, nelle persone della dott.ssa Sonia Califano e del dott. Igor Scognamiglio, cui va sicuramente il più sentito ringraziamento da parte del sottoscritto e di Flavia Marzano, nella qualità di co-organizzatori dell’evento.
Il Data Act è il regolamento dell’Unione europea 2023/2854, pubblicato sulla Gazzetta ufficiale del 22 dicembre 2023 ed entrato in vigore l’11 gennaio 2024, ma applicabile a partire dal 12 settembre 2025. In quanto regolamento è norma direttamente applicabile in tutti gli Stati membri, come il ben noto fratello maggiore, il Regolamento europeo 2016/679 in materia di privacy, meglio noto come “GDPR”, peraltro una seniority – come si vedrà – tanto cronologica quanto normativa.
Il Data Act è un provvedimento giuridico pioneristico dell’UE, che avrà un rilevante impatto diretto nella regolamentazione dello spazio digitale europeo ma che, al tempo stesso, e dato anche il suo elevato tasso di innovatività giuridica, si porrà molto probabilmente come fonte d’ispirazione per altri ordinamenti nell’ambito della creazione di un quadro giuridico per la regolamentazione dei dati.
Il Data Act mira essenzialmente a «stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale basi» (Data Act Considerando 4) e ciò «al fine di rispondere alle necessità dell’economia digitale e di eliminare gli ostacoli al buon funzionamento del mercato interno dei dati» (Ibid.). Il considerando 26 del Regolamento precisa, altresì, che «per favorire l’emergere di mercati liquidi, equi ed efficienti per i dati non personali, gli utenti dei prodotti connessi dovrebbero poter condividere i dati con altri, anche a fini commerciali, con uno sforzo giuridico e tecnico minimo». Il Data Act, quindi, è primariamente indirizzato ai dati che vengono prodotti nell’ambito dell’internet of things (IOT), cioè dei devices connessi in rete, fornendo un quadro di garanzie per gli utenti che tali dati producono ma preservando al tempo stesso il diritto alla privacy degli interessati: «nessuna disposizione del presente regolamento dovrebbe essere applicata o interpretata in modo da ridurre o limitare il diritto alla protezione dei dati personali o il diritto alla vita privata e alla riservatezza delle comunicazioni» (Considerando 7); da ultimo, va detto che il Regolamento crea un sistema di regole che favoriscono la condivisione e la circolazione dei dati, tutelando dal punto di vista del diritto contrattuale i diritti delle varie parti coinvolte nel processo di gestione e di valorizzazione di essi (e cioè introducendo meccanismi di perequazione a fronte di disparità di forza contrattuale), oltre che sotto il profilo della tutela del diritto della privacy come visto al paragrafo precedente.
Il convegno è stato un importante momento di riflessione e di analisi su un provvedimento normativo tanto ragguardevole quanto complesso, grazie soprattutto al valore e all’apporto delle relatrici e dei relatori che – da punti di vista diversi e sulla base di competenze ed expertise differenti – hanno saputo “dissezionare” i punti rilevanti del Data Act e fornire, quindi, stimolanti considerazioni critiche al riguardo. Flavia Marzano, poi, ha egregiamente moderato la discussione, stimolando le relatrici e i relatori e coinvolgendo ripetutamente il pubblico in sala.
Di seguito, si fornirà una brevissima rassegna di quanto detto dalle varie relatrici e dai vari relatori, sulla base degli appunti che l’autore del presente articolo ha preso durante il convegno e fermo restando che nessuna delle relatrici e dei relatori ha avuto modo né di revisionare né di approvare formalmente quanto di seguito esposto: ogni errore o lacuna, quindi, va solamente ascritta agli appunti di chi scrive.
La prima relazione (cioè l’introductory speech, titolo “panoramica generale sul Data Act”) è stata dell’onorevole Beatrice Covassi, membro del Parlamento europeo ed esperta di dati digitali, che ha sottolineato la valenza orizzontale del Data Act, da leggere nel quadro di altri recenti provvedimenti normativi che hanno interessato lo spazio digitale europeo (Il Data Services Act, il Data Markets Act, e i futuri AI Act e Cyber Resilience Act). L’onorevole Covassi ha evidenziato, inoltre, l’azione innovativa della UE, rispetto agli altri grandi attori del mondo occidentale (e agli Stati Uniti, in primis), soprattutto per quanto riguarda la creazione di un quadro giuridico armonizzato dedicato allo spazio digitale e l’utilizzo costante di un metodo, in tali ambiti, sempre orientato a perseguire fini di umanesimo digitale; infine, l’onorevole Covassi ha rimarcato l’importanza di continuare sulla strada di un approccio pubblico-privato al fine di realizzare una proficua ibridazione tra cultura e competenze digitali.
A seguire, ha parlato il prof. Francesco Paolo Patti (titolo della relazione “panoramica generale sul Data Act”), associato di diritto civile presso l’Università Bocconi, che ha sottolineato come diverse norme del Data Act si pongano in un’ideale continuazione con le norme del diritto dei consumatori al fine di prevenire squilibri di mercato nell’ambito della condivisione dei dati digitali e predisponendo una capillare regolamentazione dei rapporti B2B e B2C nella condivisione dei dati; Il Data Act, inoltre, introduce (in alcuni casi) un meccanismo sul controllo dei prezzi negli accordi relativi alla condivisione dei dati e un test di abusività nelle clausole contrattuali relative ai data sharing agreements.
In seguito, il dott. Diego Ciulli, responsabile government affairs and public policy di Google Italia, (titolo della relazione “l’impatto del Data Act sull’industria digitale”), ha evidenziato che lo spirito del Data Act corrisponde a quello della filosofia corporate di Google e che il Regolamento fornisce un virtuoso meccanismo preventivo in quanto più si forniscono ad aziende come Google strumenti di portabilità e meno si verifica il rischio di essere accusati di implementare policy di lock in. Il dott. Ciulli ha, altresì sottolineato l’importanza di aver realizzato una cornice per la condivisione dei dati con la pubblica amministrazione. Permangono – a parere del dott. Ciulli – alcune criticità come una definizione forse troppo ampia di portabilità dei dati e il fatto che il Regolamento introduce divieti di trasferimento dati verso i gate keepers, sulla base della definizione di “gate keeper” fornita dal Data Markets Act, dove Google è designato gate keeper ma non ha posizioni di mercato solide nel settore del cloud; in ogni caso, sussistono criticità irrisolte nell’interoperabilità tra i dati nei vari cloud.
La relazione successiva è stata quella del dott. Federico Frontali, co-founder e CTO di Awentia, una start up innovativa italiana (titolo della relazione “l’impatto del Data Act sull’industria digitale dal punto di vista di una start up”), il cui business model si basa sulla fornitura di servizi alle imprese per la riorganizzazione, l’ottimizzazione e l’estrazione di valore dai dati ricavabili dalle immagini attraverso l’uso di sistemi di AI. Il dott. Frontali ha illustrato diversi casi di utilizzo soffermandosi, in particolare, sull’uso del sistema di AI proprietario di Awentia nell’ambito dell’industria vinicola e sottolineando come il Data Act vada visto con favore in quanto fornirà un quadro giuridico chiaro per l’uso dei dati da parte delle imprese.
La relazione seguente del prof. Salvatore Orlando, ordinario di diritto privato presso l’Università degli Studi di Roma “La Sapienza” e direttore dell’istituto Jodi (titolo della relazione “Data Act e privacy”), ha illustrato come nel Data Act si abbia un esempio di norma basata sul dato e non sul prodotto (“data based e non product based”); il prof. Orlando, inoltre, ha sottolineato come il capo II del Data Act possa essere, altresì, letto come un’estensione del diritto alla portabilità dei dati di cui all’art. 20 GDPR e che nel Data Act siano contenute innumerevoli regole di soccombenza del Data Act stesso rispetto al GDPR, trattandosi, peraltro, di prevalenza effettiva in quanto il GDPR è norma imperativa e che, quindi, come tale, si traduce in un limite all’autonomia contrattuale nell’ambito della condivisione dei dati.
La successiva relazione della dott.ssa Caterina Flick, responsabile dell’ufficio affari giuridici di AGID (titolo della relazione “gli obblighi di condivisione dei dati con gli enti pubblici”) ha evidenziato come manchi, in generale, la cultura del dato e che occorra una maggiore interoperabilità tra i dati a fini generali di trasparenza; la dott.ssa Flick, inoltre, ha sottolineato che il Data Act non vuole creare nuovi diritti né disciplina la titolarità del dato e che il dato oltre che essere fornito deve poter essere fruito; infine, la dott.ssa Flick ha specificato che, se nei rapporti tra privati, prevale il contratto nei rapporti tra privato e pubblico valgono le regole giuridiche contenute negli atti normativi.
In seguito, c’è stato l’intervento della dott.ssa Giorgia Lodi, tecnologa, membro del CNR ed esperta di open data (titolo della relazione “l’interoperabilità tra i dati”), che ha evidenziato l’importanza di creare degli standard per la condivisione dei dati, facendo l’esempio del fascicolo sanitario che non si sposta da una regione all’altra. Ha, inoltre, evidenziato come le regole devono essere aperte e consultabili da tutti, nel segno dell’interoperabilità trasversale tra diversi domini: interoperabilità operativa, interoperabilità legale e interoperabilità tecnica.
L’ultima relazione è stata quella del dott. Tommaso Astazi, responsabile regulatory affairs, Blockchain for Europe (titolo della relazione “l’uso degli smart contract nella circolazione dei dati”) che si è soffermato sull’art. 36 del Data Act che, introducendo obblighi di standard minimi di cybersicurezza relativamente agli smart contract utilizzabili per i data sharing agreements,ha provocato una decisa reazione nell’ambito dell’industria dei crypto assets in quanto molti operatori del settore hanno denunciato il rischio che tale norma potesse generare dei costi di compliance eccessivi e frenare conseguentemente l’industria digitale europea. Infatti, anche se l’art. 36 è limitato ai data sharing agreements, la previsione di obblighi normativi sul «venditore di applicazioni che utilizzano contratti intelligenti» o, in sua assenza, sulla «persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri» rischia di creare un precedente, zavorrando l’industria europea dei crypto assets a vantaggio di società e operatori residenti al di fuori dell’Unione europea.
Da ultimo, chi scrive, ha rassegnato le conclusioni del convegno, facendo il punto su quanto emerso nel corso del pomeriggio dei lavori.
Il Data Act rimane ovviamente un provvedimento normativo di estrema rilevanza la cui analisi dovrà continuare a beneficio degli operatori dell’industria digitale europea e italiana.
