Come noto, l’obiettivo del Data Act – precisato al Considerando (4) dello stesso – è quello di «stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base».
Il successivo Considerando (5) indica come il legislatore europeo ha inteso raggiungere questo obiettivo: tramite l’approvazione di questo regolamento che «garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell’Unione possano accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta. Esso impone ai titolari dei dati l’obbligo di mettere i dati a disposizione degli utenti e dei terzi scelti dagli utenti in determinate circostanze. Garantisce inoltre che i titolari dei dati mettano i dati a disposizione dei destinatari dei dati nell’Unione a condizioni eque, ragionevoli e non discriminatorie e in modo trasparente.».
Riprendiamo l’analisi del regolamento Data Act [Regolamento (UE) 2023/2854] sotto il profilo dei punti di contatto e di interazione con la disciplina sulla protezione dei dati personali e sulla privacy nelle comunicazioni elettroniche (e-Privacy).
La precedente puntata sul tema è quella dell’Editoriale dell’11 gennaio 2024. (Consultabile con abbonamento SIG)
Primazia di GDPR e e-Privacy
La primazia di GDPR e e-Privacy rispetto agli altri atti normativi del diritto UE che riguardano i dati è assicurata in primo luogo dagli stessi trattati, in particolare, da quello sul funzionamento dell’Unione (art. 16, TFUE) e dalla Carta dei diritti fondamentali dell’UE (art. 8, Carta).
Lo stesso viene confermato in modo esplicito all’interno del Data Act.
Quando le informazioni di riferimento sono dati personali o anche dati promiscui – cioè dati personali e non personali inestricabilmente connessi – oppure si tratta di informazioni che riguardano comunicazioni elettroniche, il loro uso è regolato, rispettivamente, dai regolamenti sulla protezione dei dati (GDPR nonchè 2018/1725 o EUDPR) e dalla direttiva ePrivacy (2002/58/CE). In caso di conflitto, le norme di GDPR, EUDPR e e-Privacy nonché quelle di attuazione o di adeguamento del diritto nazionale (come il codice privacy italiano) prevalgono sulle disposizioni del Data Act [Considerando (7) e art. 1(5), Data Act]. Quando si è nell’ambito applicativo del Data Act e sono presenti dati personali, le prescrizioni del Data Act, in quanto legge speciale, si applicheranno ad integrazione anziché in sostituzione di quelle sulla protezione dei dati.
In tal senso, quando gli utenti sono i data subjects, i diritti di accesso e di portabilità disciplinati dal Data Act, integrano quelli analoghi regolati dagli articoli 15 e 20 del GDPR.
Liceità d’uso dei dati personali
Considerata la primazia della legge applicabile in materia di protezione dei dati (GDPR, EUDPR, ePrivacy) l’utilizzo dei dati personali secondo la disciplina del Data Act è legittimo solo se entrambi il titolare dei dati e l’utente dei dati (se questi non è il data subject) possano avvalersi di una delle basi giuridiche previste tassativamente dall’articolo 6 del GDPR e, eventualmente, se le circostanze soddisfino una delle deroghe elencate all’articolo 9, qualora le informazioni appartengano a particolari categorie di dati personali. Ciò comporta che il titolare dei dati deve poter fondare il proprio trattamento su tali basi giuridiche e su una delle deroghe richiamate, sia per l’effettuazione del trattamento sia per la comunicazione dei dati all’utente; allo stesso modo, l’utente dei dati dovrà poter comprovare il fondamento giuridico del proprio trattamento, qualora l’utente sia soggetto diverso dall’interessato.
Solo dando la giusta enfasi a tali presupposti si interpreta correttamente l’obbligo che il Data Act impone ai titolari dei dati «dietro richiesta di un utente, di mettere i dati personali a disposizione degli utenti e di terzi scelti dall’utente».
Continua…