L’11 gennaio 2024 è entrato in vigore il Regolamento (UE) 2023/2854 del Parlamento Europeo e del Consiglio, comunemente noto come “Data Act”, uno dei pilastri della c.d. “European Data Strategy”.
Con questo Regolamento, l’UE intende rispondere alle necessità dell’economia digitale, garantendo la sovranità delle istituzioni e dei cittadini europei sui dati ed eliminando gli ostacoli alla creazione del mercato unico dei dati, ritenuto uno strumento essenziale per aumentare la competitività, l’innovazione e la crescita economica.
Indice degli argomenti
Data Act: Sanità e Pharma tra i settori più impattati
Coerentemente con i suddetti obiettivi, il Data Act prevede nuovi gravosi obblighi in capo alle aziende per consentire la messa a disposizione di un maggior numero di dati – personali e non – a vantaggio dei cittadini, delle imprese e delle pubbliche amministrazioni.
Si tratta di una normativa – con un ambito di applicazione ampio e sector-neutral – che regola diversi aspetti dell’“economia dei dati”. Ciononostante, il settore farmaceutico e, più in generale, quello sanitario saranno probabilmente fra quelli più impattati dalle sue novità, considerando la marcata vocazione all’innovazione e il diffuso impiego di tecnologie all’avanguardia che caratterizzano questi settori.
Il Regolamento diverrà pienamente applicabile a partire dal 12 settembre 2025, ma è bene familiarizzare subito con le novità derivanti dalle sue disposizioni, che richiederanno notevoli sforzi alle aziende per assicurare la conformità con tali disposizioni.
Ambito di applicazione del Data Act
Il nuovo Regolamento ha una portata estremamente ampia e si articola in XI Capi.
♦ AMBITO DI APPLICAZIONE OGGETTIVO
Al centro del Data Act ci sono le nozioni di “prodotti connessi” e “servizi correlati”.
In sintesi:
- i prodotti connessi sono quei beni che (i) ottengono, generano o raccolgono dati relativi al loro utilizzo o al loro ambiente; e (ii) sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su un dispositivo
- i servizi correlati sono i servizi digitali (diversi da quelli di comunicazione elettronica) collegati ad un prodotto connesso (i) sin dall’origine, in modo che tale prodotto non potrebbe svolgere una o più delle sue funzioni; o (ii) successivamente, per ampliare, aggiornare o adattare le relative funzioni.
Secondo il rapporto della Commissione europea sull’impatto del Data Act, nell’UE ci sono quasi 300mila aziende che producono prodotti connessi che generano dati, appartenenti ai diversi settori del mercato.
Il considerando 14 del Regolamento menziona espressamente, fra i possibili prodotti connessi, anche le attrezzature sanitarie o legate allo stile di vita e i dispositivi medici e sanitari.
Si pensi ai dispositivi indossabili (wearable devices) come fasce cardiache, glucometri o sfigmomanometri che, indossati dai pazienti, consentono la raccolta, l’analisi e la trasmissione in tempo reale di dati sanitari.
Altra nozione importante per inquadrare l’ambito oggettivo di applicazione del Data Act è quella di “dati”, che include “qualunque rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva”. Tale nozione – estremamente ampia – include tanto i dati personali quanto quelli non personali.
Ad ogni modo, il Data Act fa salve le norme a tutela dei dati personali, chiarendo che i diritti previsti dal nuovo Regolamento integrano quelli garantiti dal GDPR e che il Data Act non dev’essere interpretato nel senso di aggiungere nuove basi giuridiche per il trattamento dei dati personali rispetto a quelle previste dal GDPR.
In buona sostanza, il nuovo Regolamento aggiunge e non mina le tutele già previste a favore degli utenti. Sono fatte salve anche le norme previste a tutela dei consumatori.
I principali Capi del Regolamento hanno il seguente oggetto:
- Capo II – regola la condivisione dei dati a beneficio degli utenti di prodotti connessi e servizi correlati, sia in un contesto B2C che B2B
- Capo III – mira a creare un quadro giuridico per gli accordi di condivisione dei dati in contesti B2B, in caso di obbligo alla condivisione derivante dal Data Act o da altre normative
- Capo IV – impone notevoli limitazioni alla libertà contrattuale delle imprese con maggiore potere negoziale, anche nei rapporti B2B
- Capo V – prevede l’obbligo per i titolari dei dati (“data holders”) di condividere tali dati con enti pubblici, la Commissione europea, la Banca centrale europea e gli organi dell’Unione, in casi di “necessità eccezionale” e purché sussistano determinate condizioni
- Capo VII – prescrive misure per garantire che i dati non personali non siano trasferiti al di fuori dello Spazio Economico Europeo senza sufficiente protezione dei diritti di proprietà intellettuale, dei segreti commerciali, della riservatezza e di altri interessi dell’UE.
♦ AMBITO DI APPLICAZIONE SOGGETTIVO
Come l’ambito di applicazione oggettivo, anche quello soggettivo è particolarmente ampio, con potenziale impatto su tutti gli attori del mercato di prodotti connessi e servizi correlati, inclusi quelli non stabiliti all’interno dell’UE. Il Data Act si applica infatti a:
- i fabbricanti di prodotti connessi immessi sul mercato dell’UE e ai fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento
- gli utenti dei prodotti e servizi di cui alla lett. a), che si trovano nell’UE
- i titolari dei dati che li mettono a disposizione dei relativi destinatari nell’UE e delle istituzioni di cui alla successiva lett. e), indipendentemente dal loro luogo di stabilimento.
Si deve notare che la nozione di titolare dei dati ai sensi del Data Act (“data holder”) non coincide con quella di titolare del trattamento dei dati ai sensi del GDPR (“data controller”) - i destinatari dei dati nell’UE, a disposizione dei quali vengono messi i dati
- gli enti pubblici, la Commissione europea, la Banca centrale europea e gli organismi dell’UE che chiedono ai titolari dei dati di metterli a disposizione a fronte di una “necessità eccezionale”, per l’esecuzione di un compito specifico di interesse pubblico
- i fornitori di servizi di trattamento dei dati che li rendono a clienti all’interno dell’UE, indipendentemente dal loro luogo di stabilimento
- i partecipanti agli spazi dati, ai venditori di applicazioni che usano smart contracts e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di smart contracts per altri nel contesto dell’esecuzione di un accordo.
Pertanto, i soggetti sopra elencati sono destinatari – in varia misura – degli obblighi previsti dal Data Act.
Particolari eccezioni sono previste a favore delle piccole imprese e delle microimprese, così da non gravare le realtà imprenditoriali meno strutturate con obblighi impegnativi, che non sarebbero in grado di gestire.
I principali obblighi per le aziende
Il Data Act prevede molti nuovi obblighi in capo ai soggetti sopra indicati e una disamina completa di tali obblighi non sarebbe possibile in questa sede. Ci concentreremo, perciò, su alcune delle novità più significative, in considerazione degli impegni che da tali novità derivano in capo alle aziende.
♦ OBBLIGHI DI CONDIVISIONE DEI DATI: ACCESSIBILITÀ BY DESIGN E BY DEFAULT
I produttori di prodotti connessi ed i fornitori di servizi correlati immessi sul mercato dell’UE sono tenuti a garantire agli utenti un “accesso by design” ai dati di tali prodotti e servizi, compresi i metadati necessari per poter interpretare e utilizzare i dati, che devono essere by default accessibili all’utente “in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto”.
Se l’utente non può accedere direttamente ai dati, il titolare dei dati deve renderli prontamente disponibili – con la stessa qualità di cui dispone il titolare dei dati – sulla base di una semplice richiesta.
Sono anche previsti nuovi obblighi informativi: prima di sottoscrivere un contratto avente ad oggetto un prodotto connesso o un servizio correlato, è necessario fornire diverse informazioni agli utenti, come la natura, il volume stimato e la frequenza di raccolta dei dati, le modalità con cui l’utente può accedere ai dati e reperirli e molte altre informazioni ancora.
L’accesso, l’uso o l’ulteriore condivisione dei dati possono essere limitati contrattualmente per rispettare i requisiti di sicurezza dei prodotti connessi. Tuttavia, le aziende non potranno utilizzare tale eccezione come una scusa per sottrarsi agli obblighi previsti dal Data Act, poiché l’eventuale rifiuto di condividere i dati dovrà essere notificato all’autorità competente, che potrà dunque verificare la legittimità di tale rifiuto. Sono inoltre previsti meccanismi per assicurare la protezione dei segreti commerciali contenuti nei dati condivisi.
Per rispettare gli obblighi in commento, le aziende che offrono prodotti connessi o servizi correlati dovranno adottare diverse misure tecniche, organizzative e contrattuali, anche a tutela della sicurezza dei propri dati e segreti commerciali, che l’inadeguata gestione di tali obblighi potrebbe mettere a rischio.
♦ ACCORDI PER LA CONDIVISIONE DEI DATI: LIMITAZIONI ALLA LIBERTÀ CONTRATTUALE, ANCHE NEI RAPPORTI B2B
Un’importante conseguenza del Data Act è la forte compressione della libertà contrattuale negli accordi di condivisione dei dati, anche nelle relazioni B2B.
Una prima serie di limitazioni riguarda i casi di applicazione degli obblighi di condivisione dei dati imposti dal Data Act o da altre leggi nazionali o dell’UE. Il Data Act prevede, infatti, che le condizioni contrattuali tra il titolare dei dati ed il relativo destinatario debbano essere eque, ragionevoli, trasparenti e non discriminatorie.
Anche la possibilità di prevedere un compenso per la condivisione di tali dati è fortemente limitata, dovendo tale compenso essere ragionevole e non discriminatorio.
Si prevede, inoltre, l’inefficacia delle clausole contrattuali che, a danno dell’utente, escludono o derogano alle norme del Data Act.
Altre limitazioni sono previste nel caso in cui una parte abbia imposto unilateralmente all’altra una clausola contrattuale relativa all’accesso e all’utilizzo di dati o alla responsabilità e ai mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati. Tale clausola è considerata “abusiva” se imposta unilateralmente alla parte, nonostante i suoi tentativi di negoziazione.
Il Data Act include anche una definizione generale di “clausole abusive”, ovvero quelle clausole di natura tale che il loro utilizzo si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, in contrasto con la buona fede e la correttezza.
Inoltre, il Data Act contiene una lista di clausole (i) considerate in ogni caso abusive e (ii) che si presumono abusive, analogamente a quanto previsto dalla normativa a tutela dei consumatori.
Per assicurare la certezza del diritto in relazione alle norme in questione, la Commissione europea fornirà un modello di contratto non vincolante.
Gli obblighi in commento impongono alle aziende che utilizzano template contrattuali o formulari unilateralmente predisposti di rivedere con attenzione tali modelli, per rimuovere eventuali clausole da considerarsi abusive, conformarsi con gli obblighi sopra citati ed apportare le ulteriori modifiche opportune per bilanciare tali cambiamenti, a tutela delle aziende stesse.
L’impatto del Data Act in Sanità e nel Pharma
Come anticipato, sebbene il Data Act abbia una portata trasversale, è lecito aspettarsi che avrà un impatto significativo sul settore farmaceutico e, più in generale, su quello sanitario, caratterizzati dal diffuso impiego – sia nel campo della ricerca che in quello della pratica clinica – di tecnologie che ottengono, generano o raccolgono dati relativi al loro utilizzo o al loro ambiente, come dimostrato – ad esempio – dalla forte espansione del mercato dei wearable devices a cui abbiamo assistito negli ultimi anni.
È dunque importante che le organizzazioni operanti nel settore Healthcare prestino particolare attenzione alle novità introdotte dal Data Act, adottando tempestivamente le misure appropriate per conformarsi con le sue disposizioni.
Le principali implicazioni derivanti dal nuovo Regolamento sono:
- la necessità di eseguire un’accurata valutazione dei rischi e dei costi che derivano dai nuovi obblighi di condivisione dei dati che, come visto, richiedono di rendere – a determinate condizioni – i dati accessibili agli utenti di prodotti connessi e servizi correlati, ai terzi che tali utenti vorranno indicare e alle pubbliche amministrazioni. Considerata l’importanza che i dati sanitari rivestono per la ricerca e la prevenzione, è possibile che uno dei settori in cui più frequentemente si verificherà quella “necessità eccezionale” che consente l’accesso ai dati da parte delle pubbliche amministrazioni (cfr. Capo V del Regolamento) sia proprio quello sanitario
- i suddetti obblighi di condivisione dei dati porteranno senz’altro alla necessità di rivedere e, probabilmente, rafforzare le misure tecniche, organizzative e contrattuali a tutela della sicurezza informatica, dei dati personali, dei segreti commerciali e dei diritti di proprietà intellettuale
- nel campo dei dispositivi medici, non si può escludere che gli obblighi di condivisione dei dati comportino modifiche dei prodotti, qualificabili come “modifiche significative” ai sensi dell’art. 120 del Regolamento (UE) 2017/754 (noto come “MDR”) e dell’art. 110 del Regolamento (UE) 2017/746 (c.d. “IVDR”), facendo venir meno il beneficio del periodo transitorio
- inoltre, le aziende dovranno rivedere con particolare attenzione i propri modelli contrattuali, per assicurare la conformità con i nuovi obblighi e adottare clausole idonee a tutelare la propria posizione – anche rispetto ai competitor – in conseguenza delle novità in commento
- infine, sarà necessario valutare con attenzione le implicazioni che i nuovi obblighi di condivisione avranno rispetto alla tutela dei dati personali, in modo da individuare soluzioni che assicurino il rispetto della normativa privacy e, in particolare, dei principi sanciti dall’art. 5 del GDPR.