L’adozione del Regolamento (UE) 2023/2854, più comunemente conosciuto come Data Act, rappresenta senza dubbio uno dei passaggi più significativi verso un assetto normativo volto a regolare l’accesso, lo scambio e la portabilità dei dati (personali e non) nel contesto europeo. Tuttavia, al di là delle affermazioni di principio, la concreta attuazione delle sue disposizioni, in particolare riguardo alle pratiche di transizione tra fornitori di servizi di trattamento dei dati, evidenzia alcune novità e criticità di carattere giuridico e pratico. Questo articolo intende sviluppare una riflessione critica su tali aspetti, interrogandosi sulla reale efficacia del quadro normativo delineato dal Data Act, con particolare attenzione all’articolato contenuto nel Capo VI del Regolamento e agli obblighi imposti ai fornitori e ai titolari del trattamento.

La promessa dell’interoperabilità: realtà o utopia?

Il Regolamento (UE) 2023/2854 (di seguito, anche, Data Act) introduce un corpus articolato di norme volte a promuovere la tutela della concorrenza, l’interoperabilità tecnica, e la trasparenza dei dati, con la finalità di favorire la libera circolazione e portabilità dei dati tra diversi soggetti economici e piattaforme. La sua portata innovativa risiede nel tentativo di bilanciare gli interessi dei fornitori di servizi e dei titolari del trattamento, ponendo al centro una serie di obblighi e strumenti finalizzati a superare il fenomeno del lock-in e a rendere più fluido e tutelante il passaggio tra sistemi. Tuttavia, nel suo complesso, il Data Act si mostra con un livello di dettaglio e di precisione ancora insufficiente rispetto alle varie casistiche di mercato, lasciando spazio a molte variabili interpretative. L’art. 30 del Data Act – che disciplina le misure tecniche e gli aspetti tecnici del passaggio – si limita a fornire principi generali senza definire con sufficiente chiarezza cosa costituisca “misure ragionevoli” o quale livello di responsabilità debba assumersi il fornitore uscente in termini di assistenza tecnica e supporto.

Trasparenza e buona fede: un progresso teorico o una sfida reale?

La trasparenza non è un principio nuovo nell’ambito della Data Protection. Il considerando 39 del Regolamento (UE) 2016/679 (GDPR) stabilisce che “qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati”. Il principio della trasparenza impone che “le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro”.

Anche il Data Act impone obblighi di trasparenza, come si evince dall’art. 28, il quale rappresenta un elemento particolarmente significativo nel contesto della normativa vigente. In particolare, tale disposizione vincola i fornitori di servizi di trattamento dei dati a rendere accessibili e trasparenti, attraverso i propri siti web, informazioni sulla giurisdizione competente sulla quale gravano le infrastrutture TIC impiegate, nonché a fornire una descrizione generale delle misure tecniche, organizzative e contrattuali adottate per assicurare la sicurezza e la protezione dei dati trattati. Tali prescrizioni rivestono un ruolo centrale nel rafforzamento del principio di trasparenza, il quale costituisce una leva fondamentale ai fini dell’incremento del livello di responsabilizzazione (accountability) nel trattamento dei dati, nonché della concreta comprensione delle modalità operative che sottendono alla gestione degli stessi. Tale principio riveste particolare rilievo non solo nell’ambito del diritto privato, ma altresì nel settore pubblico, in quanto le pubbliche amministrazioni e gli enti pubblici, in sede di affidamento, dovrebbero valutare e considerare tali aspetti al fine di garantire un’attenta qualificazione delle procedure e delle responsabilità connesse.

In tale contesto emerge con forza un altro principio di particolare rilevanza: “la buona fede”. Solitamente, nell’ordinamento giuridico prevalgono norme di carattere prescrittivo e vincolante, che fissano obblighi e sanzioni incisive; tuttavia, nella normativa post Data Act si assiste a un inserimento di enunciati di carattere più aspiri alle valenze etiche e deontologiche, che postulano alle parti coinvolte un atteggiamento di lealtà, responsabilità e correttezza nei rapporti contrattuali e negli scambi informativi. Sebbene il principio di buona fede lasci spazio a interpretazioni soggettive e possa apparire come un ambito di margine di discrezionalità, il suo inserimento rappresenta senza dubbio un punto di forza: esso promuove un orientamento collaborativo tra soggetti pubblici e privati, rafforzando la cultura della fiducia e della trasparenza come presupposti imprescindibili per il corretto funzionamento del mercato digitale.

In questo senso, il Data Act assume un valore aggiunto, ponendo le basi normative per un processo di trattamento dei dati più trasparente, accessibile e comprensibile, elementi ormai imprescindibili anche in un’ottica di accountability e responsabilità. Il fatto che il regolamento evidenzi questo aspetto favorevole rappresenta una concreta opportunità per rafforzare la fiducia tra cittadini, aziende e pubbliche istituzioni, contribuendo a creare un ecosistema più aperto e responsabile. In un’epoca in cui la cultura della trasparenza diventa un pilastro fondamentale della buona amministrazione, questa normativa apre uno spiraglio positivo: si riconosce che la corretta gestione dei dati non può prescindere dalla capacità di comunicare, spiegare e rendere accessibili le informazioni chiave che, meritevoli di tutela, devono poter conoscere le modalità e gli scopi del trattamento.

Il passaggio dei dati tra fornitori: aspetti tecnici del Data Act 

Il punto che riguarda le misure di sicurezza tecnica e organizzativa nel contesto del passaggio tra servizi di trattamento dei dati riveste un ruolo delicato e complesso nel quadro normativo del Data Act. In questo senso, si illustra come per i fornitori di servizi di trattamento che si limitano a risorse infrastrutturali scalabili ed elastiche – come server, reti e risorse virtuali, senza tuttavia offrire accesso diretto ad applicazioni, servizi o software installati – sia richiesto di adottare tutte le misure ragionevoli in loro potere, conformemente all’art. 27, affinché il cliente possa, dopo il passaggio a un nuovo servizio, mantenere un livello di funzionalità equivalente a quello precedente. Tuttavia, questa disposizione mette in evidenza come la sicurezza tecnica non possa essere vista solo come un insieme di controlli ordinari, ma come un complesso di misure che devono essere calibrate sulla natura del servizio e sulle risorse trattate. In particolare, la sfida risiede nella fase di transizione, che non riguarda esclusivamente il trasferimento di dati in sé, ma anche la preservazione dell’integrità, della riservatezza e della disponibilità delle risorse infrastrutturali coinvolte, assicurando che il processo possa avvenire senza compromettere la sicurezza complessiva dei sistemi e la continuità dei servizi del Cliente.

Il fornitore di servizi di origine, oltre a fornire capacità e strumenti tecnici, deve dunque garantire che le attività di passaggio siano supportate da adeguate misure di sicurezza, come la cifratura dei dati, l’autenticazione forte, la segregazione dei dati e la supervisione dei processi di trasferimento, affinché il processo stesso non costituisca un vettore di vulnerabilità. Inoltre, il Data Act ribadisce l’obbligo di rendere disponibili, a titolo gratuito, interfacce aperte e standardizzate, che consentano a tutti i clienti e ai fornitori di servizi di destinazione di comunicare e interoperare con i servizi in modo sicuro e affidabile. Queste interfacce devono fornire informazioni sufficienti per sviluppare software compatibile, anche dal punto di vista della sicurezza, garantendo così un livello elevato di protezione dei dati e delle risorse durante il trasferimento, oltre a favorire un contesto di trasparenza e di riduzione delle possibilità di attacchi o modifiche non autorizzate. La disponibilità di tali interfacce rappresenta un elemento fondamentale per creare un ecosistema di sicurezza condivisa, nel quale la protezione delle risorse digitali non sia affidata soltanto alla buona volontà dei singoli attori, ma sia supportata da standard aperti e pratiche di sicurezza riconosciute.

Le specifiche tecniche e gli standard di interoperabilità, secondo il nuovo quadro normativo, rafforzano ulteriormente questa impostazione, riducendo il rischio di vulnerabilità derivanti da incompatibilità o da implementazioni non sicure. La trasparenza (come sopra premesso) e l’aggiornamento continuo dei registri online, che documentano le caratteristiche delle risorse, costituiscono strumenti fondamentali per monitorare e verificare l’effettiva adozione delle misure di sicurezza. In questo contesto, le misure di sicurezza tecnica e organizzativa non rappresentano soltanto un insieme di controlli tecnici, ma si configurano come un elemento ineludibile per assicurare l’affidabilità e la resilienza dell’intero ecosistema di trattamento dei dati, tutelando i diritti dei soggetti interessati e preservando l’integrità dell’infrastruttura digitale anche in fase di transizione, che dovrebbe avvenire con il massimo livello di protezione e affidabilità consentiti dall’ordinamento europeo.

Le tariffe di transizione: un ostacolo persistente 

Il Data Act tenta di indirizzare la questione economica legata alle tariffe di transizione tra servizi, adottando un approccio progressivo e volto a ridurre le barriere economiche che ostacolano la libera circolazione dei dati. L’abolizione graduale di tali tariffe rappresenta infatti un passo in avanti importante per facilitare un mercato più aperto e competitivo, in linea con gli obiettivi di interoperabilità e di neutralità tecnologica promossi. Questa iniziativa riconosce che le tariffe di transizione, seppur utili in passato come strumento di stabilità e di tutela dei fornitori, si sono trasformate in un ostacolo al reale esercizio del diritto alla portabilità e alla concorrenza. La possibilità di ridurre ed eliminare progressivamente queste tariffe può fungere da stimolo per un cambiamento di paradigma nel settore, incentivando i fornitori a innovare, abbattere barriere e adottare pratiche più trasparenti e orientate alla collaborazione. Se ben accompagnata da misure di sostegno e da una strategia di regolamentazione coerente, la prospettiva del Data Act può favorire l’emergere di un mercato dei dati più dinamico, trasparente e orientato al valore condiviso. La sfida, tuttavia, resta nel garantire che tali pratiche siano implementate in modo uniforme e che, anche in presenza di resistenze o di pratiche consolidate, si favorisca un cambiamento culturale e organizzativo che premi l’interoperabilità e la trasparenza sopra le logiche di profitto immediato e di tutela di interessi di parte. Sicuramente, questo approccio può rappresentare una vera svolta, stimolando la nascita di nuovi modelli di business e favorendo l’accesso equo ai dati, a beneficio di tutta la filiera digitale e dei cittadini, senza dimenticare l’importanza di strumenti di compliance e di monitoraggio efficaci per evitare comportamenti anti-competitivi o pratiche distorte.

Autore: Dr. Francisco Garcia-Garrido

Immagine di copertina: Museo del Cibo di Parma