La strategia europea sulla gestione dei dati si evolve

Nell’arco di poche settimane, due importanti decisioni (Data Act e DPF) hanno rimesso in moto l’evoluzione del quadro normativo per la data strategy dell’Unione Europea. Pietre miliari che ci ricordano come l’economia digitale sia ancora per molti versi una frontiera aperta e in continua costruzione. Il difficile bilanciamento fra tutela delle persone e obiettivi di sviluppo passa dalla definizione di frameworks regolatori capaci di tracciare in modo semplice le linee rosse entro le quali far correre i campioni dell’innovazione. Alle piccole e medie imprese spetta il compito, come al solito, di adattarsi al nuovo contesto con tempismo, per sfruttarne al massimo i vantaggi.

NON SOLO GDPR

Gli ultimi anni dello scorso decennio sono stati marcati, nel campo del diritto dell’industria digitale, dall’entrata in vigore del regolamento europeo sulla protezione dei dati personali (GDPR). Una normativa all’avanguardia e di grande impatto su tutte le attività economiche, che ha contribuito a uniformare il mercato interno dell’Unione. Tuttavia l’innovazione tecnologica corre senza fermarsi e all’inizio degli anni Venti, di fronte all’avvento dell’Internet of Things (IoT) e alle potenzialità dell’analisi dei dati coniugata all’intelligenza artificiale, sono aumentate le pressioni – e l’urgenza – di definire un ulteriore livello nella normativa riguardante i dati e il loro utilizzo.

Nel 2023 possiamo dire di stare finalmente assistendo alla lenta costituzione di questo nuovo assetto regolativo, concentrato non più sul profilo della tutela dei diritti dei privati, bensì sulle modalità di utilizzo industriale dei dati non personali, ai fini dell’efficienza economica. Cuore della disciplina è il Data Act, il cui iter legislativo si è concluso il 27 giugno scorso.

IL DATA ACT EUROPEO

Il Data Act è nato su proposta della Commissione UE ormai oltre due anni fa, ma ha dovuto superare un lungo percorso di elaborazione e verifica prima di raggiungere la sua attuale formulazione. Dopo l’assenso del Parlamento, è toccato infine al Consiglio UE dare l’ultima approvazione al provvedimento, che potrà così essere a breve pubblicato in gazzetta ed entrare in vigore. Niente paura, però: proprio in considerazione del suo potenziale dirompente su molti dei processi e delle consuetudini che fino ad oggi hanno guidato le azioni degli attori economici, è previsto un periodo di 20 mesi prima che le sue norme inizino ad esplicare i loro effetti: quasi due anni di tempo, dunque, per consentire a tutti i soggetti interessati di esplorare potenzialità e criticità del nuovo regime normativo e adattarsi ad esse.

GLI OBIETTIVI

Al centro del Data Act sta il riconoscimento del grande valore economico dei big data come risorsa capitale fondamentale per l’industria e i servizi del futuro. Scopo dichiarato dell’intervento è quello di dare impulso all’economia dell’Unione, sbloccando la grande riserva di dati industriali disponibili al suo interno. In prospettiva, il lavoro delle istituzioni comunitarie mira quindi a promuovere un mercato europeo del cloud affidabile e competitivo, implementando l’interoperabilità dei sistemi e la portabilità dei dati anche al di là dei casi previsti dal nucleo duro delle garanzie del GDPR.

Naturalmente il perimetro entro il quale si è mosso il regolatore europeo è quello definito proprio dal diritto alla privacy. I policymakers sono stati invero molto attenti ad operare un delicato ma non più eludibile bilanciamento fra i distinti interessi – diversi, ma non sempre contrapposti! – di consumatori e imprese, rispetto alla gestione e allo sfruttamento dei dati generati nella tecnosfera, spesso utilissimi ai fini della valorizzazione e dell’efficientamento della produzione.

LE AREE D’INTERVENTO

Quanto alle modalità d’intervento, il Data Act europeo si concentra su una serie cospicua di temi, rispetto ai quali l’accordo politico è stato assai laborioso.

• In primo luogo, il regolamento contiene, come anticipato, misure per consentire agli utenti di dispositivi IoT di accedere ai dati da questi generati, nonché dai servizi collegati. Gli utenti potranno condividere tali dati con terzi, ciò che consentirà la promozione dei servizi post-vendita oltre che l’innovazione.
• In secondo luogo, come pure già accennato, il regolamento dispone in materia di data mobility anche riguardo ai dati non personali, prevedendo il diritto al c.d. cloud switching, onde evitare fenomeni anticoncorrenziali di lock-in
• In terzo luogo, onde permettere alle PMI europee di partecipare al mercato digitale con maggiore fiducia, il regolamento prevede standard contrattuali a difesa dalle clausole abusive imposte unilateralmente nel settore
• Da ultimo, il Data Act si preoccupa anche di disporre garanzie a tutela del segreto commerciale, in modo tale che l’accessibilità e l’uso dei dati da parte di terze parti non privi di valore la ricerca e la costituzione di database strategici aziendali

L’INTESA EURO-AMERICANA

Proprio nella cornice di questo nuovo impulso all’utilizzo dei big data per finalità industriali si inserisce la recentissima decisione della Commissione UE del 10 luglio sull’adeguatezza del Data Privacy Framework (DPF), istituito fra UE e USA, rispetto ai principi di tutela del GDPR.

La decisione è stata presa in esito a un lungo e franco confronto tra le istituzioni di Bruxelles e il governo di Washington, dalla quale sono scaturite innovazioni di non poco momento che hanno consentito di sbloccare dopo anni l’impasse che si era venuto a creare fra le discipline sul trattamento dei dati fra le due sponde dell’Atlantico.

La decisione, adottata ai sensi dell’art. 45(3) GDPR, ha stabilito che gli Stati Uniti garantiscono oggi, proprio attraverso il DPF, un livello di protezione dei dati dei cittadini UE comparabile a quello previsto dal diritto comunitario, senza bisogno di predisporre ulteriori sistemi di sicurezza da parte degli operatori a stelle e strisce. Cruciale per il riconoscimento di questa parità è stata senza dubbio l’istituzione della nuova Data Protection Review Court (DPRC), una corte indipendente con pieni poteri istruttori e sanzionatori rispetto alle controversie in materia.

GA4 SUPERA L’ESAME GDPR

Le innumerevoli incertezze che nel corso degli ultimi anni avevano rallentato e insidiato il lavoro di moltissimi operatori commerciali dovrebbero così trovare finalmente soluzione. Su tutti, vengono così pienamente riabilitati – con un riconoscimento di compatibilità col GDPR – tutti quegli strumenti di data analysis e marketing digitale che prevedono flussi di dati dal Vecchio Continente verso server negli Stati Uniti, come Google Ads, GA4, Facebook Ads etc.

L’impressione è in breve quella dell’apertura di una nuova fase per l’economia digitale, almeno per quel che concerne il mercato europeo. Le nuove decisioni dell’ultimo mese hanno contribuito non poco a fare chiarezza all’interno di un quadro viziato da troppe ambiguità, tracciando al contempo una chiara direzione per il futuro. La nuova corsa all’oro dei big data può cominciare, nel rispetto dei parametri ormai consolidati della tutela dei consumatori e della loro privacy.