Luci e ombre del nuovo Regolamento generale europeo sull’accessibilità e condivisione dei dati prodotti dall’utilizzo di servizi e prodotti connessi, meglio noto come Data Act.
Fino a che punto l’Unione Europea continuerà a dotarsi di leggi e regolamenti che condizionano il futuro di milioni di cittadini e che sono state elaborate in primo luogo da istituzioni, come la Commissione Europea, non elette democraticamente? La domanda sorge spontanea quando, a distanza di poche settimane dalla votazione sul Digital Services Act, una nuova iniziativa legislativa prodotta dalla Commissione ha cominciato il suo lento processo di adozione: il Data Act, o Regolamento sull’accesso e utilizzo dei dati da parte dei cittadini e delle imprese verso altre imprese ed enti pubblici operanti nel territorio dell’Unione, che tanta visibilità ha ottenuto sui media specializzati quanto poca ne ha ottenuta sui media generalisti e nel dibattito pubblico quotidiano.
Questa mancanza congenita di legittimazione popolare – solo in parte compensata dalle consultazioni preliminari e dal contributo a posteriori di organi eletti democraticamente, come il Parlamento europeo – non è affatto un aspetto secondario delle modalità con cui gli stessi Regolamenti vengono negoziati e i singoli articoli assemblati tra di loro: nel caso del Data Act, come del Digital Services Act o del GDPR, l’esito finale è la conseguenza di una strategia politica che risponde alle esigenze e alle necessità di una parte dei cittadini e delle imprese operanti sul territorio dell’Unione, lasciando tuttavia per lo più inascoltate le esigenze di coloro che non dispongono strumenti di rappresentanza né di altri mezzi per far sentire le proprie ragioni a livello comunitario.
Non è vero che i cittadini possono condividere i dati da chiunque e verso chiunque: gli articoli 5 e 7 prevedono limitazioni nei riguardi dei “gatekeeper” e delle micro e piccole imprese
In questo contesto, i primi articoli del Data Act (consultabile pubblicamente nella versione del del 23 febbraio 2022) sembrerebbero a prima vista pensati per consentire a tutti i cittadini di scegliere liberamente con quali aziende condividere i propri dati non personali generati dall’utilizzo di un prodotto o di un servizio connesso, per ottenere servizi “aftermarket” di riparazione, implementazione o manutenzione degli stessi prodotti o servizi anche da aziende e fornitori di terze parti. Un diritto fondamentale, tuttavia, che non si applica allo stesso modo a tutti i soggetti potenzialmente coinvolti: man mano che si prosegue nella lettura del documento originale, al contrario, le eccezioni sembrano quasi superare le effettive possibilità di condivisione ammesse dal nuovo Regolamento.
Le possibilità di condivisione dei dati verso aziende differenti da quelle produttrici del bene o servizio connesso vengono infatti fortemente limitate dallo stesso Data Act in due articoli successivi: l’articolo 5 prevede che i cittadini non possano condividere i dati con le grandi aziende tecnologiche identificate come “gatekeeper” dal Digital Markets Act; l’articolo 7 impedisce ai cittadini di ottenere la condivisione dei dati con aziende terze qualora questi siano stati prodotti utilizzando beni o servizi forniti da micro e piccole imprese. Micro e piccole imprese che, tuttavia, potrebbero diventare nell’arco di pochi anni a loro volta i nuovi “gatekeeper”, servendosi del Regolamento per impedire ai propri clienti di ottenere servizi migliori dai concorrenti tramite il “lock in” dei dati necessari.
Se si ritiene accettabile in linea di principio che le grandi aziende tecnologiche debbano ottenere un trattamento diverso rispetto alle aziende più piccole, è altrettanto vero che in questo modo il supposto diritto di scelta del consumatore-cittadino sulla condivisione dei propri dati viene fortemente limitato all’origine in seguito a una scelta arbitraria che tradisce una ben precisa strategia politica: quella di favorire micro e piccole aziende, per lo più europee, nei confronti delle grandi aziende tecnologiche, per lo più americane o cinesi, a prescindere dal fatto che queste ultime possano fornire servizi nettamente migliori al cittadino in determinati ambiti, con buona pace della “libertà di scelta” individuale e dell’effettiva qualità dei beni e servizi connessi forniti da aziende europee.
Non è vero che la condivisione dei dati è sempre conseguenza di una scelta individuale: gli articoli 14 e seguenti impongono l’obbligo di condivisione in circostanze “eccezionali”, tuttavia non meglio definite
Il supposto diritto di scelta tra condividere o meno i propri dati non personali, inoltre, viene messo nuovamente da parte quando gli stessi dati sono richiesti da istituzioni o enti pubblici in condizioni eccezionali “di emergenza” (articoli 14, 15 e seguenti), autorizzando di fatto questi ultimi a ottenere l’accesso ai dati prodotti dai cittadini nell’utilizzo di beni e servizi privati anche senza il loro consenso esplicito. Il fatto che il Data Act sarà, con ogni probabilità, applicato alla totalità del territorio dell’Unione Europea implica inoltre che le istituzioni pubbliche in grado di ottenere i dati senza il consenso dei cittadini possano essere anche istituzioni di altri Paesi non altrettanto democratici come il nostro, attraverso la decisiva intermediazione di nuove “Autorità” locali, per non dire delle possibilità di accesso ai dati concesse alle stesse istituzioni europee non elette democraticamente.
Se è indubbio che il Data Act rappresenti un enorme passo avanti nell’assenza di regolamenti e leggi, adeguate ai tempi in cui stiamo vivendo, esso rappresenta anche la premessa di possibili criticità. Gli articoli 14, 15 e seguenti, che regolamentano la condivisione di dati tra soggetti privati e pubblici in condizioni “eccezionali” sono – insieme agli articoli 5 e 7 precedentemente menzionati – articoli da tenere sotto stretta osservazione nei futuri passaggi legislativi che porteranno alla definitiva approvazione del Regolamento: ad oggi, questi articoli si limitano a definire ciò che è escluso dalle circostanze “eccezionali” (prevenzione e investigazione dei crimini, compresi quelli fiscali) anziché definire nel dettaglio che cosa venga invece incluso in queste circostanze, aprendo alla possibilità di abusi futuri e di utilizzo arbitrario del ricorso alle richieste di tipo “emergenziale”.
Altrettanto importanti l’articolo 3 sulla condivisibilità “di default” dei dati, e gli articoli 4 e 9 sulla condivisione con terze parti e i costi annessi
Gli aspetti positivi del Regolamento sono già stati abbondantemente sottolineati da altri autori ma è utile ricordarli in una visione d’insieme che punti a essere la più oggettiva possibile sugli aspetti innovativi del Data Act: l’articolo 3 prevede che servizi e prodotti connessi debbano essere “di default” progettati e realizzati per rendere possibile la condivisione dei dati generati dal loro uso, e che questa possibilità di condivisione venga esplicitata nei contratti stipulati tra venditori e acquirenti. I dati, inoltre, dovranno essere condivisi “in tempo reale” e “senza costi” per l’utente (articolo 4) con fornitori di beni o servizi di terze parti, per le quali tuttavia è previsto l’addebito dei costi di transazione (articolo 9) che devono essere comunque “ragionevoli” e calmierati per le PMI.
Altre norme, riguardanti l’interoperabilità tra fornitori di servizi di cloud, trasferibilità dei dati dentro e fuori dal territorio dell’Unione, l’equilibrio dei contratti di condivisione dei dati tra aziende in posizioni di forza differenti, sono altrettanto innovazioni meritevoli di essere ulteriormente sostenute e conosciute dal grande pubblico. Anche in questo caso, tuttavia, non aiuta la sostanziale assenza di dibattito politico e mediatico in merito a un Regolamento che con ogni probabilità orienterà lo sviluppo dell’economia e società digitale europea da qui ai prossimi anni: un’assenza di dibattito forse utile a favorire la celerità con cui Regolamenti simili vengono approvati, ma non altrettanto utile quando si tratta di ottenerne l’effettiva conoscenza e utilizzo da parte dei singoli individui che potrebbero beneficiarne, e di coloro che invece si vedono limitare la propria libertà di scelta in conseguenza di una decisione politica sulla quale non hanno mai avuto concrete possibilità di esprimere la propria opinione.
Immagine di copertina: foto di Markus Spiske/Unsplash