Il nuovo diritto di accesso ai dati alla luce del Data Act. Da strumento di protezione della persona a leva di equilibrio del mercato.

Di Raffaella Grisafi -

Sommario. 1.Profili introduttivi. 2.Il diritto di accesso del Regolamento generale sulla protezione dei dati. 3.La nuova fisionomia del diritto di accesso nel Data Act. 4. Uno sguardo prospettico sui punti di interconnessione normativa del Data Act.

 1.Profili introduttivi.

 

L’approccio al GDPR ed in generale alla materia del trattamento dei dati personali non può prescindere dal tema dei diritti dell’interessato i quali costituiscono un fulcro strategico della tutela, in quanto con essi si potenzia quella rinnovata esigenza di protezione dell’individuo fatta di situazioni giuridiche e forme di controllo diretto sui propri dati. E’ del resto ormai noto come l’avvento del Regolamento europeo[1] abbia segnato un cambiamento[2] nell’ambito della data protection e quell’attenzione un tempo dedicata principalmente alla tutela della persona sia stata gradualmente affiancata dall’interesse per la circolazione del dato[3].

Ciò ha influenzato la scelta legislativa poiché, nella consapevolezza che “la tecnologia ha trasformato l’economia e le relazioni sociali”[4] e con essa la materia della privacy, si è assistito ad un ampliamento del criterio di responsabilizzazione dei soggetti coinvolti nel trattamento, notoriamente indicato come accountability[5]. Su di essa pone l’accento il Regolamento 679/2016 che investe figure quali il “titolare”[6] dell’obbligo di adottare misure tecniche ed organizzative, non individuate preventivamente dal legislatore, dimostrabili[7] ed adeguate[8] ad assicurare il rispetto dei principi del GDPR e dunque la tutela degli interessati nell’ambito del trattamento dei dati personali[9].

L’evoluzione della regolamentazione e della concezione stessa della privacy[10], che emerge chiaramente ove solo si analizzi il percorso compiuto da questa materia a partire dal 1995[11] – anno della c.d. “direttiva madre”[12] – fino al GDPR, ha dunque non solo affiancato all’originario diritto alla riservatezza[13] uno specifico controllo dei dati ma ha focalizzato la normazione su tutta una serie di misure proattive messe in atto allo scopo di prevenire i rischi[14], attraverso la regolamentazione di processi, attività, misure tecniche ed organizzative, obblighi ed eventuali sanzioni rivolte al titolare del trattamento.

L’introduzione della citata accountability[15], che peraltro sembra voler rispondere alle criticità applicative del precedente quadro normativo[16], non svilisce l’importanza di un altro importante pilastro della normativa sulla privacy, quello dei diritti dell’interessato (che aveva caratterizzato già la Direttiva del 1995) che si rafforzano proprio con il GDPR, ove appaiono come declinazione ulteriore di quel “diritto all’autodeterminazione informativa[17] già inteso quale prerogativa del soggetto interessato di determinare ed attuare scelte consapevoli sull’uso e il trattamento dei propri dati ma ora contemplati anche nella consapevolezza che il diritto fondamentale della persona alla protezione dei dati personali rilevi anche come un fatto sociale, un interesse pubblico (europeo) e non solo individuale[18].

Di diversa fattezza è il c.d. Data Act[19], ove da subito è chiaro che il perimetro entro cui si svilupperanno i diritti e gli obblighi dell’intero Regolamento risponde ad una vocazione utilitaristica tesa ad una allocazione ottimale dei dati a vantaggio dell’intera società[20] ed in particolare di quei soggetti identificati come “utenti di un prodotto connesso o di un servizio correlato[21] fino ad ora privati della possibilità di fruire direttamente o attraverso una condivisione, dei dati contenuti nei suddetti dispositivi ma appannaggio dei soli produttori o altri soggetti tecnicamente in grado di accedere a detti dati.

E’ dunque quest’ultima una legge concepita per migliorare l’economia dei dati[22] e rivolta in tal senso alla materia negoziale allo scopo di inibire gli sfruttamenti degli squilibri contrattuali[23]. Ciò è utile, nell’ottica di un’analisi sul diritto d’accesso, ad identificare da subito la natura dei “diritti” a cui si rivolge qui il legislatore, riconducibili appunto all’area del contratto ma che pur concorrono in qualche modo alla tutela della persona[24] posto che comunque il Data Act ribadisce la prevalenza della protezione dei dati su quello del loro accesso ed utilizzo.

Ciò appare coerente con l’attuale quadro dottrinale in cui è ormai accolta l’opinione[25] che vi sia una permeabilità tra questi due ambiti[26] favorita propria dall’avvento dell’informatica e del digitale che ha fatto sì che il contratto sia divenuto non solo strumento di accesso alla tecnologia[27] ma contesto in cui si sviluppa e rafforza la protezione della persona stessa[28]. Il contratto diviene qui lo strumento che permette di gestire i dati con l’effetto incidentale di lambire diritti della personalità attraverso il ricorso all’autonomia privata[29] ogni qualvolta l’accesso e la condivisione ai sensi del Data Act intercettano dati personali. Si crea una sorta di “diritto a trarre vantaggio” dai dati senza che ciò possa modificare né pregiudicare in alcun modo i diritti degli interessati che eventualmente interagiscono con un prodotto connesso o un servizio correlato per quanto riguarda i dati personali generati da detti prodotti o servizi[30].

2.Il diritto di accesso del Regolamento generale sulla protezione dei dati.

Il complesso dei diritti riconosciuti alla persona-interessato, convenzionalmente suddivisi in “conoscitivi” e di “controllo” riguardano in relazione alla prima categoria il c.d. “diritto all’informativa” inteso quale diritto per l’interessato ad essere informato con chiarezza sugli elementi essenziali del trattamento. Riportati nel terzo capo del Regolamento, ribadiscono l’intenzione del legislatore di assicurare una adeguata conoscenza da parte degli interessati del complesso dei diritti attribuiti dal GDPR, che qui riceve valorizzazione con ben due articoli, gli artt. 13 e 14 da leggere in combinato disposto con l’art.12 il quale, in apertura dell’intero capo, contiene una sorta di declaratoria generale di trasparenza intesa quale obbligo per il titolare di informare in forma scritta ovvero oralmente, l’esistenza dei diritti nonché adottare misure organizzative ad essi funzionali.

La formulazione utilizzata dall’art.15 a 22, non solo sottolinea la priorità di un controllo costante sui propri diritti ma sembra più che concentrarsi sul contenuto dei diritti stessi, sugli obblighi ad essi collegati i quali, alla base contemplano sempre e comunque, per l’appunto, un obbligo informativo, seppur arricchito specificatamente in funzione dei singoli specifici diritti. C’è infatti un diritto di richiedere ed ottenere informazione sul trattamento e sui dati trattati identificato come “diritto di accesso” a cui si dedicherà attenzione a breve, ed il diritto a ricevere informazione su gravi anomalie incorse nel trattamento, ossia il “diritto alla comunicazione di una violazione dei dati”.

I diritti di “controllo” constano del diritto al consenso[31], del diritto di limitazione del diritto di revoca del consenso ed il diritto di opposizione. Vi è poi un “diritto alla rettifica e di integrazione” in forza del quale l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei propri dati personali inesatti senza ingiustificato ritardo; un “diritto alla cancellazione e all’oblio” ed un “diritto all’opposizione” in forza de quale l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.

Il diritto alla portabilità dei dati previsto dall’art. 20 riveste un carattere di novità perché introdotto con il Regolamento e conferisce all’interessato la possibilità di chiedere il trasferimento dei dati personali che lo riguardano forniti a un titolare del trattamento ad un altro titolare del trattamento.

Tra tutti i diritti testè richiamati, ai fini del presente scritto, assume un ruolo centrale il citato “diritto all’accesso”, già previsto dall’art. 8, paragrafo 2, della Carta dei diritti fondamentali dell’Unione europea[32] e poi sancito nell’art. 15 del GDPR quale diritto di accesso ai dati personali e ad altre informazioni correlate e la cui lettura risulta certamente arricchita dal Considerando n.63 del GDPR[33].  Esso non rappresenta un elemento di novità posto che già la direttiva 95/46/CE, lo prevedeva ma con il Regolamento si è rafforzato mediante una formulazione più specificatamente intenta a descriverne il contenute e le modalità di esercizio, stabilendo paletti ben precisi per il titolare il quale, ad esempio, ai sensi dell’articolo 12, paragrafo 3, GDPR, deve dotarsi di procedure idonee a gestire le richieste degli interessati[34].

Dal punto di vista della sua natura, può essere inquadrato nell’area dei diritti personali[35] poiché intende garantire la tutela del diritto degli interessati alla vita privata e alla protezione dei dati rispetto al trattamento dei dati che li riguardano[36] ed è a sua volta varco incentivante di tutti gli altri diritti del GDPR[37] che, pur non dipendendo da esso, si avvalgono del patrimonio conoscitivo che per mezzo dell’accesso si acquisisce[38] sul trattamento dei dati onde poi procedere ad esercitare un diritto di rettifica, piuttosto che di cancellazione per citarne alcuni a titolo meramente esemplificativo. In un tentativo di sua descrizione per sommi capi, possiamo affermare come non sia sostituibile o alternativo ad omologhi diritti quale quello all’accesso agli atti della pubblica amministrazione[39](al fianco del quale opera in ogni caso perché legato a finalità diverse legate alla tutela del singolo interessato), e possa avere ad oggetto solo i dati personali coerentemente con l’ambito di applicazione del GDPR.

Questo ultimo aspetto induce e sottolineare come via sia un diritto d’accesso anche per il minore interessato[40] che, ai sensi del GDPR, rientri in questa definizione e dunque sia destinatario di tutte le previsioni ivi contenute, incluse quelle sui diritti.

La ratio del diritto di accesso rimane infatti quella originariamente pensata dalla Direttiva del 1995 ossia consentire all’interessato di mantenere il controllo sui dati che lo riguardano e – grazie alle informazioni che il titolare è tenuto a fornirgli – di verificare puntualmente la legittimità del trattamento. In tal senso si risente altresì del generalissimo principio di trasparenza che permea tutto il Regolamento in relazione ai trattamenti che il titolare pone in essere con riguardo ai dati degli interessati.

La norma ad esso dedicata ne svela la consistenza multiforme, dietro infatti la formula letterale si celano più livelli di accesso finalizzati ad ottenere conferma che sia o meno in corso un trattamento dei dati personali che riguardano il richiedente, la possibilità di accedervi ad esempio richiedendone copia e di ottenere informazioni sul trattamento[41]. Non è subordinato all’esercizio di altri diritti, né l’esercizio degli altri diritti dipende dall’esercizio del diritto di accesso.

Più precisamente esso è previsto e disciplinato dall’art. 15 GDPR[42], che nei paragrafi 1 e 2, indica i tre aspetti seguenti: in primo luogo la conferma che sia o meno in corso un trattamento dei dati personali che riguardano il richiedente; in caso affermativo, in secondo luogo, l’accesso a tali dati[43]; in terzo luogo informazioni sul trattamento. Questi aspetti si possono considerare i tre elementi diversi che insieme costituiscono il diritto di accesso, completati da prescrizioni di natura procedimentale, l’articolo infatti definiti nei primi due commi il contenuto, in quello successivo detta le modalità di accesso[44], integrando i requisiti generali di cui all’articolo 12 GDPR[45].

La modalità principale per concedere accesso ai dati personali è quella di fornirne “copia”: interessante rilevare come a differenza della formulazione contenuta nell’ art. 10, c. 4, d.lgs. 30.6.2003, n. 196 ove essa costituiva una ipotesi alternativa all’estrazione dei dati[46], con l’art. 15 essa sia sempre prevista con il solo limite di quanto previsto dal quarto comma dell’art. 15, secondo cui “il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui” o nel caso di richieste manifestamente infondate o eccessive ai sensi dell’art. 12, comma cinque.

Naturale è l’esercizio di bilanciamento dinnanzi al quale si trova l’interprete nel dover comprendere cosa assurga a diritto o libertà idonea a comprimere la richiesta. In tal senso giova ricordare come il quarto considerando del GDPR e la logica sottesa all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, abbiano ribadito l’assenza di un carattere di assolutezza per la prerogativa di protezione dei dati di carattere personale, così che occorrerà di volta in volta valutare il rapporto di proporzione[47] tra l’esercizio del diritto di accesso e altri diritti fondamentali[48]. Detta opera di bilanciamento sarà richiesta anche laddove l’accesso non si concretizzi nella fornitura di una copia ma avvenga con altri mezzi[49].

3.La nuova fisionomia del diritto di accesso nel Data Act.

Il Regolamento 2023/2854 [50] individuato anche come Data Act, si è detto rivela sin dalla sua rubrica l’obiettivo di promuovere “l’accesso ai dati” nell’ambito di una strategia altresì interessata a rendere i dati più utilizzabili, con un rapporto di funzionalità reciproca tra le due prerogative appena citate idonea ad una più equa ed ottimale allocazione dei vantaggi che ne derivano dal loro uso. In questo si coglie immediatamente la distanza rispetto al GDPR ove il legislatore si dedica al “trattamento” di dati che nel Data Act, al contrario, sono disciplinati nell’ottica del loro “utilizzo”.

La differenza non è meramente lessicale ma è indicativa di un processo di riconoscimento – invero già avviatosi con interventi precedenti -della dimensione utilitaristica dei dati quantificabile in termini di benefici.

La peculiarità del Regolamento in commento è che qui il principale destinatario diretto dei vantaggi derivanti dall’uso di dati è “l’utente” finale di un prodotto connesso o di un servizio correlato che gode di questo più intenso “diritto d’uso” grazie alla rete di obblighi e previsioni che, non a caso, sono normati nel solco del diritto dei contratti con il riferimento a temi che incidono sullo sviluppo concorrenziale dei mercati digitali.

Il contenuto in tal senso è molto ricco poiché il legislatore usa una molteplicità di strumenti che vanno ad incidere sulle attività delle imprese e sul quadro regolatorio impattando sul modello di business del titolare dei dati e del produttore di prodotti che fin dalla progettazione deve prevedere impostazioni in modo da favorire l’accesso ai dati e la loro circolazione così creando anche nuovi sistemi[51]; favorisce lo sviluppo del ruolo degli intermediari dei dati e disciplina le clausole unilaterali abusive[52]; disciplina il trasferimento dei dati e l’interoperabilità del servizio cloud[53]. Non può certamente ridursi solo all’utilizzo di dati da parte dell’utente connesso e/o correlato, l’ambito applicativo di un testo normativo molto ricco[54] ma è innegabile che questo sia uno tra gli elementi di maggiore novità. Ai fini di un corretto inquadramento di quanto sin qui osservato, è inoltre necessario precisare come, in maniera più ampia rispetto al GDPR, oggetto[55] dell’uso qui non sia il solo “dato personale” ma “il dato non personale” dovendosi intendere per dato “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva” ed inclusi i metadati[56].

Tornando ora alla descrizione delle prerogative del Data Act, esse possono essere riassunte sostanzialmente in tre macroaree di intervento: perseguimento di un interesse pubblico in caso di necessità eccezionali[57],  ulteriore sviluppo delle dinamiche circolatorie del dato, agevolando l’interoperabilità, la condivisione e quella che sembra essere una maggiore sua portabilità[58]ed appunto la previsione di un diritto all’utilizzo e condivisione dei dati da parte degli utenti[59] di un prodotto connesso o di un servizio correlato che viene garantita anche[60] attraverso meccanismi contrattuali di presidio del rischio di sfruttamento degli squilibri contrattuali.

Ad essi si aggiunge il richiamo a condizioni eque, ragionevoli e non discriminatorie e rese in modo trasparente che confermano l’attenzione per la dimensione negoziale nell’ambito di rapporti intersoggettivi. Il vantaggio concreto che si vuole assicurare all’utente è palesato nel testo stesso dei Considerando ove, in particolare al numero venti, si comprende come il legislatore voglia innalzare il livello di qualità dei servizi e dei prodotti facendo in modo che una maggiore fruibilità dei dati agevoli il funzionamento, la riparazione o la manutenzione efficienti dei prodotti connessi o servizi correlati, offrendo da un lato agli utenti gli elementi necessari ad avvalersi di fornitori di servizi di riparazione e di altri servizi e, dall’altro mettendo le imprese stesse  nelle condizioni di introdurre servizi innovativi, convenienti e più efficienti in tale campo.

Propedeutico a tutto ciò è appunto tale diritto di accesso che evidentemente si muove nell’area dei rapporti contrattuali ed al contempo fa assumere una sorta di natura metagiuridica al dato che diviene strumento di un pieno ed esclusivo godimento del bene connesso e servizio correlato con conseguente richiamo a quella semantica dominicale codificata nel nostro ordinamento dall’art.832 c.c.[61]

Si sancisce dunque un generale[62] diritto di accesso che, riletto alla luce dell’art. 3 comma 1 del Data Act, si traduce tecnicamente in una accessibilità “in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico[63]. La sua modalità di esercizio (rectus applicazione) dipende dalla tipologia di prodotto o servizio per esso può intendersi come “connessione fisica”, per mezzo di un servizio di comunicazione elettronica[64] o accesso su dispositivo, ancora può dipendere da un collegamento ad un archivio[65]ovvero può avvenire tramite gli assistenti virtuali che possono fungere da punto di accesso unico[66].

Come già detto esso è attribuito ad una molteplicità di soggetti individuati come “utenti” che possono essere intesi come una persona fisica o giuridica, ad esempio un’impresa, un consumatore o un ente pubblico, che è proprietario di un prodotto connesso, ha ricevuto determinati diritti temporanei, ad esempio in virtù di un contratto di locazione o di noleggio, per accedere ai dati ottenuti dal prodotto connesso o per utilizzarli, o che riceve servizi correlati per il prodotto connesso. Rientrerà in questa nozione ad esempio anche un proprietario, locatario o noleggiante, anche quando più entità possono essere considerate utenti.

In presenza di più utenti, ciascun utente può contribuire in modo diverso alla generazione dei dati ed essere interessato a varie forme di utilizzo: si pensi al caso dei dati estrapolati nell’ambito di servizi di car sharing o nella gestione della flotta di un’impresa di leasing. Esso può essere compresso in forza dell’art.4 comma 2 che nel prevedere che utenti e titolari possano contrattualmente limitare o vietare l’accesso ai dati, ne sottolinea la natura di diritto disponibile. Proprio questo aspetto segna la profonda differenza con il diritto di accesso del GDPR con cui ne condivide la denominazione ma da cui si differenzia profondamente.

Sul punto non si può non rilevare come appaia incauta la scelta del legislatore del Data Act di dotare dello stesso nome diritti profondamente diversi. Il lessico in contesti giuridici così attigui è importante soprattutto laddove il Data Act decida di fare propria una formula che ha acquisito un carattere di insostituibilità con il GDPR al punto da trasformarlo in un vero e proprio tecnicismo specifico come è avvenuto con il diritto di accesso riconosciuto all’interessato. Qui anche per evitare di ridurre una regola aurea nella protezione delle persone ad una sorta di funzionalità reperibile sul mercato o ad una prerogativa contrattuale, senz’altro degna di tutela ma comunque ancorata a valori diversi. Ciò è quanto mai necessario anche per poter focalizzare correttamente le questioni che sul piano applicativo derivano dal diritto di accesso del Data Act che certamente condivide con quello del GDPR un tema di minimizzazione del trattamento[67] per poi virare però verso questioni ben diverse.

Sulla minimizzazione in particolare il Data Act sottolinea come essa debba essere contemplata già in sede di progettazione[68] soprattutto laddove il trattamento riguardi dati personali poiché gli obblighi del Data Act all’uopo previsti non prevalgono sull’art. 5 del GDPR[69]. Minimizzazione dunque come parametro progettuale ma anche di limite all’accesso poiché esso dovrebbe essere circoscritto alle sole informazioni necessarie alla fornitura del servizio richiesto dall’utente[70]. Si ha dunque una configurazione del diritto di accesso per impostazione che rievoca la logica della protezione dei dati fin dalla progettazione di cui all’articolo 25, paragrafo 1, e alla protezione dei dati per impostazione predefinita di cui all’articolo 25, paragrafo 2 del GDPR[71].

Vi è poi un altro profilo funzionale al diritto di accesso del Data Act che si pone in subordinazione con il principio di minimizzazione poiché perchè il primo possa essere assicurato, è necessaria una disponibilità estesa nel tempo dei dati. Ciò impone un bilanciamento tra i principi sinora richiamati perchè se come parte della dottrina[72] ha sostenuto il principio di minimizzazione ricomprende anche quelli di esattezza[73] e di limitazione della conservazione[74], sebbene enunciati in disposizioni differenti, è altrettanto evidente che qui il titolare abbia un obbligo di conservazione, escluso il quale verrebbe pregiudicato il diritto di accesso ai sensi del Data Act. Il regolamento in tal senso invoca “una ragionevole politica di conservazione dei dati”[75] che dovrebbe adottare il titolare. In assenza di criteri per interpretare la formula utilizzata nel Data Act può assumere rilievo il principio di finalità per cui i dati – almeno quelli personali – raccolti non devono essere conservati se non sono necessari per la finalità del trattamento.

La previsione del Data Act parrebbe escludere che (nel caso l’accesso ai prodotti connessi e servizi correlati implichi trattamento di dati personali) questo possa prevalere sul GDPR[76] la durata del periodo di conservazione dipenderà pertanto dalla finalità del trattamento in questione. Il periodo di conservazione sarà circoscritto all’arco di tempo necessario per il raggiungimento della specifica finalità ai sensi della normativa privacy e se i dati personali non saranno più necessari ai fini del trattamento, allora per impostazione predefinita saranno cancellati e dunque cesserà la possibilità di accesso ai sensi del Data Act. Ciò a patto che l’accesso non sia contemplato quale condizione del servizio contrattuale e dunque costituirà ulteriore obbligazione idonea a integrare un’ulteriore finalità resa lecita dall’art.6, lett.b). Anche in tal caso però la durata non potrebbe essere indeterminata e occorrerebbe individuare, anche tenuto conto della tipologia di dati, una tempistica di conservazione “ragionevole”. Altra prospettiva potrebbe derivare dal 4 comma dell’art. 6 che integra la regola della finalità del trattamento della presenza concorrente di “altra finalità compatibile né altro fondamento giuridico ai sensi dell’articolo 6, paragrafo 4” in cui potrebbe rientrare appunto il diritto di accesso del Data Act come finalità ulteriore e l’obbligo di legge la condizione di liceità del trattamento ai sensi dell’art.6, lett.c). Anche in questo caso prevarrà la logica di responsabilizzazione e sarà rimessa al titolare l’individuazione di una conservazione coerente. Certamente ciò è indicativo della complessa trama di collegamento tra il Data Act ed il GDPR e di come ciò imponga un intervento di coordinamento ulteriore in sede legislativa.

4.Uno sguardo prospettico sui punti di interconnessione normativa del Data Act.

Quanto sin qui illustrato conferma come il diritto di accesso in commento sia certamente ancillare alla protezione dei dati personali ma abbia una natura marcatamente diversa che fa sì che emergano una serie di punti di contatto con altre discipline che, anche in un’ottica di coordinamento, occorre considerare. Detti profili collegati si delineano con maggiore limpidezza laddove sia chiara la questione sviluppata in premessa ossia che il diritto di accesso del Data Act non va confuso con quello del GDPR ed attiene ad una dimensione negoziale.

Questo assunto infatti permette di considerare come con il Data Act si crei un contatto con il diritto del consumo ad esempio sul tema della conformità[77] del bene o servizio[78] e della disciplina all’uopo prevista. Essa nell’affiancarsi alla regolamentazione del Codice civile[79] si è voluta assicurare[80] che il venditore consegni al consumatore beni conformi al contratto ed in caso contrario sia disponibile un sistema di rimedi la cui gerarchia viene fissata direttamente dalla norma[81].

Con la riforma ad opera della Dir. UE 2019/771[82], che introduce la nozione di bene con elementi digitali, si arricchisce il quadro della conformità poiché si introducono nozioni di durabilità, interconnessione e compatibilità e si fa riferimento agli standard tecnici[83] che divengono anche un parametro di controllo oggettivo della conformità del bene di consumo e che ben si prestano ad assicurare quell’accesso nel tempo ai dati di prodotti connessi e servizi correlati di cui all’art. 3 del Data Act.

In merito a quest’ultimo, nell’ottica di stabilire un collegamento con il Codice del consumo, è utile già la sola lettura dell’art. 129[84] che in riferimento al requisito di conformità del bene, fa rientrare in forza del comma 3, lett. a) l’idoneità “agli scopi per i quali si impiegano di norma beni dello stesso tipo, tenendo eventualmente conto di altre disposizioni dell’ordinamento nazionale e del diritto dell’Unione…[85]. In tal senso non è peregrino ipotizzare che “l’accesso” del Data Act sia qualificabile quale requisito tecnico di un bene connesso o servizio correlato che potrebbe rivelare dunque un difetto[86] di conformità qualora non sia possibile fruire dei dati da essi generati così come richiesto dal Regolamento 2023/2854.

Allo stesso modo potrebbe applicarsi la disciplina degli artt. 33 e seguenti del Codice del consumo sulle clausole vessatorie[87] laddove nel contratto del bene connesso o servizio correlato, predisposto unilateralmente dal professionista, sia prevista la facoltà per quest’ultimo di modificare senza un giustificato motivo la caratteristica di accessibilità[88].

Ed ancora si pensi alla disciplina delle pratiche commerciali scorrette di cui agli art. 18 e seguenti sempre del Codice del consumo anche semplicemente in merito all’omissione di informazioni sull’accessibilità ai dati ai sensi del Data Act che integrerebbe una pratica commerciale ingannevole dell’art. 22 laddove privando di informazioni rilevanti il consumatore medio lo ostacolerebbe nell’adozione di una consapevole decisione di natura commerciale. O ancora si immagini il caso di pratiche impositive di limiti o pesi che rendessero gravosa l’accessibilità prevista ex lege: in tutti questi casi il consumatore potrebbe acquistare un bene connesso o un servizio correlato non godendo pienamente dei dati a causa di artifici e raggiri. Del resto la circostanza che il legame tra dato e valore economico dello stesso non escluda l’operatività di normative ulteriori al GDPR lo ribadiscono proprio gli Orientamenti del 2016 per l’attuazione e applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali ove la Commissione afferma che “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto” (cfr. par.1.4.10): conseguentemente a tali fenomeni trova certamente applicazione la direttiva 2005/29/CE (e, dunque, nell’ordinamento italiano gli artt. 18 e ss. del Codice del Consumo). In tutte queste ipotesi occorrerebbe sempre un ulteriore requisito soggettivo ossia che l’utente (ai sensi del Data Act) del prodotto o servizio sia una persona fisica[89]che, nell’ambito di quella dinamica di accesso, stia agendo per scopi estranei alla propria sfera professionale[90] .

Questo aspetto, unitamente a quelli precedentemente richiamati sui punti di contatto con il GDPR implica un ulteriore riflessione, oggi di particolare attualità, quella del conflitto di competenze tra autorità di vigilanza[91], soprattutto se si tiene conto che nell’attuale contesto normativo non sussiste un obbligo di cooperazione tra Autorità diverse se non nella misura in cui esistano appositi Protocolli che non risultano ad oggi intercorsi ad esempio tra Garante Privacy e AGCM.

Sul punto è innegabile come il tema del coordinamento tra le diverse Autorità indipendenti sia di primaria importanza poiché devono evitarsi sovrapposizioni o duplicazioni procedimentali che pregiudicherebbero tanto l’efficacia dell’azione delle Autorità medesime quanto i destinatari del Data Act che in tal modo dovrebbero operare in un complesso regolamentare privo di certezze anche rispetto al rischio di un cumulo di sanzioni generate da uno stesso comportamento. Sul tema peraltro sembra convergere peraltro anche la competenza di AGID[92] quale autorità competente sul rispetto della normativa sull’accessibilità digitale[93] che appare quanto mai connessa al tema del diritto di accesso in commento ed anzi riceve un potenziamento proprio con il Data Act.

Se infatti un bene o servizio dovrà essere accessibile ai dati per permettere all’utente di fruirne dovrà rispettare anche i parametri di accessibilità previsti per utenti con disabilità[94] ai sensi della Legge Stanca peraltro potenziati dall’European Accessibility Act recepita in Italia con il D. Lgs. n. 82/2022[95]. Fermi gli obblighi di accessibilità già previsti per i privati individuati all’Art. 3, co. 1-bis della Legge Stanca, a partire dal 28 giugno 2025, salve talune deroghe, tutti gli operatori economici – fabbricanti, rappresentanti autorizzati, importatori, distributori e fornitori di servizi – devono garantire la conformità ai requisiti di accessibilità di determinati prodotti e servizi digitali. Requisito che, si presume, dovrà necessariamente estendersi anche al formato dei dati pena la non fruibilità degli stessi. Questo corpus di norme dunque diviene anch’esso requisito tecnico del prodotto o servizio perché da predisporre accessibile (anche ai fini della Legge Stanca) sin dalla fase di progettazione. La normativa sull’accessibilità digitale dei disabili inoltre può costituire un’ interessante fonte di spunti tecnici per declinare nel dettaglio “l’accesso” del Data Act poiché la Legge Stanca (e relative linee guida[96]) individuano una serie di parametri utili[97] a definirne lo standard che dunque ben potrebbe essere utilizzato, con i dovuti adattamenti, qualora si rendesse necessario appurare se quel determinato bene connesso o servizio correlato abbia rispettato gli obblighi di cui all’art. 3 del Data Act.

Se è dunque vero che il “mondo del diritto non vive di sostituzioni ma di accumulazioni[98] è necessario in questa fase in cui la produzione del legislatore europeo sta dotando lo scenario dei dati di strumenti e diritti sempre nuovi, mantenere una visione d’insieme che, ferma la tipicità di ciascuna disciplina, faccia convergere verso un punto di sintesi istituti (e discipline) tra di loro così giuridicamente e tecnicamente interconnessi. Solo infatti attraverso un sincretismo in sede interpretativa tra diritto di accesso ai sensi del GDPR, quello ai sensi del Data Act e normative connesse si può assicurare quell’allocazione ottimale dei dati a vantaggio della società che auspica il legislatore con il Regolamento 2023/2854 con una razionalizzazione degli adempimenti tecnici idonea, in tal senso, ad assicurare anche il rispetto della molteplicità di istanze che ruotano oggi intorno al tema dell’accesso.

Il presente scritto riproduce il testo della relazione svolta in occasione del convegno “Il data act: la circolazione dei dati nel rispetto dei diritti fondamentali” tenutosi presso l’Università degli Studi di Roma Tor Vergata, in data 30 maggio 2024 i cui atti sono in corso di pubblicazione a cura del Prof. Arnaldo Morace Pinelli.

[1] Il 4 maggio 2016 viene pubblicato sulla Gazzetta Ufficiale dell’Unione europea il Nuovo Pacchetto europeo sulla protezione dei dati personali, che comprende il Regolamento 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, e la Direttiva 2016/680 “relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”. Il Regolamento, che sostituisce la Direttiva 95/46/CE, entrato in vigore il 24 maggio 2016 e direttamente applicabile in tutti gli Stati membri dal 25 maggio 2018; la Direttiva, che sostituisce la Decisione quadro 2008/977/GAI, entra in vigore il 5 maggio 2016 e dovrà essere recepita dai Paesi UE entro il 6 maggio 2018. L’adozione di tale Pacchetto viene ritenuta necessaria poiché la disciplina attualmente ancora in vigore non armonizza a sufficienza le legislazioni nazionali in materia, non elimina l’incertezza giuridica, né è in grado di fronteggiare le nuove sfide lanciate dalla globalizzazione e dagli incalzanti sviluppi tecnologici. Il Regolamento e la Direttiva hanno dunque l’obiettivo di instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione, che possa consentire lo sviluppo dell’economia digitale nel mercato interno, garantire agli individui il controllo dei loro dati personali, rafforzare la certezza giuridica e ridurre al minimo gli oneri amministrativi a beneficio delle imprese. In data 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D. Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

[2] Cfr. MORACE PINELLI A., Dalla Data Protection alla Data Governance: il Regolamento UE 2022/868 in Nuova giur. civ. comm., 2, 2024, 486.

AA.VV. Come si è arrivati al GDPR: dalla privacy al Regolamento, tratto da un intervento di Pizzetti F. in Privacy Lab 30 giugno 2020, con aggiornamento del 03 marzo 2022. Il Trattato di Maastricht, firmato dai dodici paesi allora membri, il 7 febbraio 1992, ha sancito la trasformazione della Comunità Economica Europea in Unione Europea.

[3] Non si tratta invero di due aspetti incompatibili che anzi ricevono valorizzazione proprio con il GDPR la cui rubrica, non a caso, richiama tanto “la protezione delle persone” quanto “la circolazione dei dati”.

[4] A ciò fa riferimento il considerando 6 del Regolamento (UE) 2016/679 che precisa come “la tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali […], garantendo al tempo stesso un elevato livello di protezione dei dati personali”.

[5] Anche se il concetto di accountability viene esplicitamente citato all’art. 5 e poi definito all’art. 24, esso è presente nell’intero corpus della nuova normativa, della quale costituisce il cardine dell’approccio basato sulla gestione del rischio. FINOCCHIARO G., GDPR tra novità e discontinuità: il principio di accountability, in Giurisprudenza Italiana, vol. 12, 2019, p. 2777 ss.

[6] Nel GDPR, all’art. 4 si intende per titolare “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

[7] Cfr. BOLOGNINI L. e AL., Il regolamento privacy europeo: commentario, Milano, 2016, p. 340. Inoltre, il legame tra accountability e data protection by design (e by default) è sottolineato anche dall’art. 82, comma 2.d, che prevede che, nel decidere riguardo all’eventualità e all’importo di una sanzione amministrativa, si debba tener conto del “grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32”.

[8] L’art. 24 del GDPR definisce “adeguate” le misure che il titolare (o un suo delegato) deve adottare al fine di rispettare i principi generali del trattamento (espressi all’art. 5).

[9] Secondo il Considerando n. 74 del GDPR, l’accountability combina due aspetti: in primo luogo l’adozione da parte del titolare di “misure adeguate ed efficaci” per garantire che il trattamento dei dati sia effettuato in modo conforme al Regolamento e, in seconda battuta, il fatto che egli sia in grado di dimostrare l’adeguatezza delle misure realizzate in virtù dell’art. 24.

[10] All’iniziale carattere “negativo” della privacy legato alla necessità di escludere l’ingerenza altrui nella propria vita, si affianca successivamente una concezione positiva con una funzione proattiva del soggetto interessato finalizzata a rendere possibile il controllo delle informazioni che lo riguardano. PERLINGIERI P., La personalità umana nell’ordinamento giuridico, Camerino-Napoli, 1972, p.770  osserva “che esigenze esistenziali della persona umana – destinate poi a ricevere formale riconoscimento e tutela in specifici provvedimenti normativi – quali l’informazione e l’accesso alle sue fonti, la riservatezza dei fatti privati, il mutamento di sesso, l’integrità psichica oltre che fisica, trovano nella previsione generale di tutela della persona un fondamento normativo preciso, idoneo a qualificare tali esigenze come giuridicamente meritevoli con immediate conseguenze nelle stesse relazioni intersoggettive.».

[11] Ed infatti la Direttiva 95/46/CE, che si è rivelata visionaria di quello che sarebbe diventato lo scenario futuro, fonda di fatto la configurazione del diritto alla protezione dei dati personali come diritto all’autodeterminazione informativa del soggetto interessato inserendo tale diritto nell’ambito dei diritti che riguardano le libertà e – implicitamente, benché non ne contenga espressamente il termine, la dignità della persona. L’idea del pieno controllo dei dati in capo al soggetto interessato è alla base della Direttiva e si esplica attraverso l’introduzione del paradigma regolatorio del trattamento [informativa-finalità-consenso]  che pone al centro il soggetto interessato per il tramite di tutta una serie di diritti da questi azionabili (di accesso, opposizione, rettifica, cancellazione) volti a verificare e mantenere la liceità e la legittimità del trattamento; un paradigma che negli anni successivi troverà pieno recepimento e attuazione nel Codice Italiano, nonché perfezionamento in relazione ai diversi tipi di dati personali e di trattamento. Il decennio successivo sino al 2005 periodo in cui i dati personali circolano nella rete pubblica e in cui ricade l’emanazione del Codice privacy italiano segna lo sviluppo e l’affermazione su larga scala della telefonia mobile ed in particolare di Internet con tecnologie e servizi che inizialmente incidono sulla vita delle persone in maniera autonoma e distinta. L’internet e il Web interconnettendo a velocità sempre crescenti i personal computer, veicolano lo scambio, la condivisione e la pubblicazione di informazioni digitali, qualificandone l’utente (la persona interessata) come il principale produttore. In questi anni le persone comunicano per posta elettronica, via chat, attraverso web application centralizzate come forum e le mailing-list; oltre che con le modalità offerte dalla telefonia mobile: voce e messaggistica. Inoltre gli utenti cominciano ad apprezzare la convenienza di fare acquisti on-line; fruiscono di servizi di ricerca delle informazioni e si registra una forte spinta in ambito pubblico verso la digitalizzazione dei processi e dei servizi gestiti e offerti dalla pubblica amministrazione. Inoltre al sempre maggiore utilizzo della rete pubblica si affianca la conoscenza della sua intrinseca insicurezza per i dati che veicola, rispetto ai requisiti di riservatezza, integrità e autenticità.

[12] Dopo l’entrata in vigore della Direttiva 95/46/CE, si sono susseguiti altri atti normativi da parte della Comunità Europea (o dell’Unione) in materia di dati personali. Si ricordano qui la direttiva 2002/58/CE del Parlamento Europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e la direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, o si pensi alla Carta di Nizza, Carta dei diritti fondamentali dell’Unione Europea, proclamata a Nizza il 7 dicembre 2000. A seguito del Trattato di Lisbona che modifica il trattato sull’Unione Europea e il trattato che istituisce la Comunità europea, firmato il 13 dicembre 2017, la Carta di Nizza ha acquisito il medesimo valore giuridico dei trattati europei (art. 6, Trattato di Maastricht).

[13] RODOTÀ S., voce “Riservatezza”, in Enciclopedia Italiana Treccani, VII Appendice, 2007, sito web: http://www.treccani.it/enciclopedia; nello stesso senso ALPA G.., Privacy e statuto dell’informazione, 1979 e Enciclopedia del diritto, Giuffrè, 1986, il quale ha specificato che “la proposta di mantenere inalterato il vocabolo privacy senza tentarne una meccanica traduzione, sembra la più corretta, dal momento che gli equivalenti lemmi italiani non ne descrivono che singoli, circoscritti, aspetti e non ne rendono la complessità di situazioni di riferimento”.

[14] Cfr. MANTELERO A., Il nuovo approccio della valutazione del rischio nella sicurezza dei dati, in FINOCCHIARO G. (a cura di), Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Torino, Zanichelli, 2017, p. 293.

[15] Si veda CATERINA R., GDPR tra novità e discontinuità – novità e continuità nel regolamento generale sulla protezione dei dati in Giur. it., 2019, 12, 2799 osserva come “è l’adozione del principio di accountability a rivoluzionare, al di là della continuità di molte singole disposizioni, l’impianto generale dell’intera disciplina”.

[16] In tal senso si esprime espressamente il Gruppo WP29 nel documento Opinion 3/2010 on the principle of accountability, pubblicato dal Gruppo il 13/07/2010 sottolineando “[si ritiene che] l’attuale quadro giuridico non sia riuscito appieno a garantire che gli obblighi in materia di protezione dei dati si traducano in meccanismi efficaci atti a fornire una protezione reale” si legge all’interno del già citato Parere 3/2010 sul principio di responsabilità. Secondo lo stesso documento, l’eventuale introduzione di un principio di responsabilizzazione avrebbe contribuito “a passare ‘dalla teoria alla pratica’ e ad aiutare le autorità di protezione dei dati nello svolgimento dei loro compiti di controllo e di verifica”.  Il gruppo è composto da un rappresentante della o delle autorità di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorità create per le istituzioni e gli organismi comunitari, nonché da un rappresentante della Commissione”. Il nome “Working Party 29” è stato modificato in “European Data Protection Board” dal GDPR.

[17] Il termine viene utilizzato per la prima volta dalla Corte Costituzionale Tedesca nella sentenza del 15 dicembre 1983, la quale afferma un diritto all’autodeterminazione informativa di rango costituzionale. Sul tema SARTOR G., “Tutela della personalità e normativa per la “protezione dei dati. La sentenza della corte costituzionale tedesca sul censimento del 1983 nel dibattito dottrinale sui profili costituzionalistici del <<Datenschutz>>”, in Informatica e Diritto, 1986, 12, pp. 95-118.

[18] Si veda Pizzetti F., Atti dell’intervento titolato: La privacy e il diritto europeo alla protezione dei dati personali, dalla   Direttiva   95/46   al nuovo Regolamento europeo, tenutosi a Roma il 13 Ottobre 2016.

[19] Viene così indicato il Regolamento (UE) 2023/2854, emanato il 13 dicembre 2023 e pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 22 dicembre 2023, avente ad oggetto l’armonizzazione delle norme in materia di accesso equo ai dati e al loro utilizzo, modificando in tal modo il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828 (Regolamento sui dati).

[20] Si veda ex multis il considerando n.2 “Gli ostacoli alla condivisione dei dati impediscono un’allocazione ottimale dei dati a vantaggio della società. Tali ostacoli comprendono la mancanza di incentivi per i titolari dei dati a stipulare volontariamente accordi di condivisione dei dati, l’incertezza sui diritti e gli obblighi in relazione ai dati, i costi per la conclusione di contratti e l’implementazione di interfacce tecniche, l’elevato livello di frammentazione delle informazioni in silos di dati, la cattiva gestione dei metadati, l’assenza di norme per l’interoperabilità semantica e tecnica, le strozzature che impediscono l’accesso ai dati, la mancanza di prassi comuni di condivisione dei dati e l’abuso degli squilibri contrattuali per quanto riguarda l’accesso ai dati e il loro uso.”

[21] La definizione è contenuta nell’art.2, primo comma, n 12 del Data Act

[22] Così si esprime la Commissione Europea nel documento del 22 aprile 2024 Spiegazione della legge sui dati. Una panoramica completa della normativa sui dati, compresi i suoi obiettivi e il suo funzionamento nella pratica: “La legge sui dati (https://eur-lex.europa.eu/eli/reg/2023/2854/oj) è una legge concepita per migliorare l’economia dei dati dell’UE e promuovere un mercato dei dati competitivo rendendo i dati (in particolare i dati industriali) più accessibili e utilizzabili, incoraggiando l’innovazione basata sui dati e aumentando la disponibilità dei dati. A tal fine, la legge sui dati garantisce l’equità nella ripartizione del valore dei dati tra gli attori dell’economia dei dati. Chiarisce chi può utilizzare quali dati e a quali condizioni.”

[23] Così espressamente si esprime un paragrafo del considerando n.5 “Il presente regolamento adegua pertanto le norme di diritto contrattuale e impedisce lo sfruttamento degli squilibri contrattuali che ostacolano l’accesso equo ai dati e il loro utilizzo. Il presente regolamento garantisce inoltre che i titolari dei dati mettano a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento di un compito specifico nell’interesse pubblico. Il presente regolamento mira altresì ad agevolare il passaggio tra servizi di trattamento dei dati e a migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati nell’Unione”.

[24] La distinzione e relazione tra diritti della persona e diritti del contratto è stata a lungo dibattuta. Si veda sul punto RESTA G., Autonomia privata e diritti della personalità, Napoli, 2005; RESTA G., voce Autonomia contrattuale e diritti della personalità nell’Ue, in Digesto disc. priv., sez. civ., Aggiornamento, Torino, 2013; NICOLUSSI A., voce Autonomia privata e diritti della persona, in Enc. dir., Annali, IV, Milano, 2011, p. 133-152.

[25] MAZZAMUTO S., Il contratto di diritto europeo, Torino, 2012, p. 437 ha osservato che “gli argomenti del pensiero negazionista (…) (ormai superati dal dato positivo per ciò che concerne il contratto di pacchetto turistico) sono sostanzialmente riconducibili al preconcetto che il contratto, ex art. 1321 c.c., è volto a regolare rapporti giuridico-patrimoniali e, di conseguenza, l’obbligazione, che del contratto è l’effetto, e la connessa responsabilità da inadempimento [mentre] non si prestano a veicolare e tutelare interessi di natura non patrimoniale”.0

[26] NAVARRETTA E., Il danno non patrimoniale contrattuale: profili sistematici di una nuova disciplina, in Contr., 2010, p. 734 parla di “progressiva permeabilità dell’istituto del contratto rispetto ad interessi di natura personale”.

[27] Osserva RESTA G., Diritti della personalità: problemi e prospettive, in Dir. informaz, 2007, p. 1043 s., che la formula “diritti della personalità” è correntemente in uso presso gli ordinamenti di civil law, oltre che in alcuni sistemi c.d. misti, come quello del Québec. Ed è locuzione tradizionalmente impiegata nel discorso del giusprivatista per designare una particolare tipologia di diritti soggettivi, aventi ad oggetto attributi della personalità fisica ed immateriale, connotati, sul piano del regime giuridico, da caratteri antitetici rispetto a quelli tipici dei diritti patrimoniali (come inalienabilità, irrinunziabilità, ecc.). Diversamente, la nozione di diritto (o diritti) della personalità è sconosciuta, o per lo meno raramente utilizzata, tanto da risultare difficilmente traducibile, nei sistemi di common law (i sintagmi “personality rights” o “rights of personhood” sono adottati solo saltuariamente e senza la valenza di categorie ordinanti), nei quali si ricorre all’espressione “privacy”. In questi sistemi il discorso sulla privacy e sulla tutela degli altri interessi della persona non è, in ogni caso, condotto (come nella nostra esperienza) in un’ottica sostanzialistica, bensì prevalentemente rimediale.

[28] RODOTÀ S., Il diritto di avere diritti, Roma-Bari, 2012, p. 70-71, “nel mondo nuovo della scienza e della tecnica, dove un mutamento radicale investe la stessa antropologia millenaria del genere umano, l’attenzione deve sempre essere rivolta alla persona, non però ai suoi sentimenti soltanto (…). Sempre più i diritti diventano il tramite obbligato attraverso il quale le istituzioni si confrontano con le persone, dando pure origine a sopraffazioni e conflitti nuovi, che fanno nascere una percezione più acuta e profonda di che cosa voglia dire essere titolare di un diritto e che cosa significhi vederselo negato. (…) La trasformazione è radicale. Non muta solo la dimensione esterna, il catalogo dei diritti riconosciuti, ma lo stesso modo in cui essi sono percepiti, sentiti, praticati. Questo è il mondo nuovo dei diritti, ben più arduo da comprendere e ricostruire di una semplice elencazione di nuovi diritti. Un tempo mutato, dunque, non un semplice esercizio di contabilità, la registrazione di qualcosa che si aggiunge al tempo precedente”.

[29] Sull’ulteriore funzione dell’autonomia privata che oltre ad autoregolamentazione di interessi, diventa modalità di realizzazione di fini solidaristici si veda VILLANACCI G., Autonomia privata e buona fede nella complessa relazione evolutiva con la normativa consumeristica, in Contratto e Impr., 2013, 4-5, 917.

[30] In questo senso si esprime il considerando 18 del Data Act.

[31] Per un’analisi del tema del consenso privacy si rinvia a MORACE PINELLI A., La circolazione dei dati personali tra tutela della persona, contratto e mercato in Nuova giur. civ. comm., 6, 2022, 1331 che a pag. 1327 osserva come “Il consenso, autorizzatorio del trattamento, ovviamente, non ha ad oggetto il diritto, personalissimo ed inalienabile, al dato personale, ma soltanto l’esercizio dello stesso, secondo le finalità del trattamento, ed è sempre revocabile ad nutum”

[32] Ai sensi dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, paragrafo 2 “Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica“.

[33] Ai sensi del Considerando 63 del GDPR “Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. Ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.”

[34] il Considerando n. 63 del Regolamento ha specificato che il diritto di accesso, per essere effettivo, deve poter essere esercitato facilmente, mentre l’art. 12, par. 2, indica che il titolare deve agevolare l’esercizio dei diritti riconosciuti all’interessato; ciò significa che se, da un lato, la forma continua a rimanere libera, dall’altro si è inteso specificare che il titolare del trattamento non deve in alcun modo limitare il diritto di accesso con particolari modalità od oneri, ad esempio con modelli predisposti a pena di irricevibilità della domanda. Anche il considerando n. 59 specifica che il titolare del trattamento può agevolare l’esercizio del diritto di accesso, ad esempio, predisponendo mezzi per inoltrare le richieste in via elettronica, soprattutto quando i dati personali siano trattati con mezzi elettronici.

[35] Così viene definito dall’European Data Protection Supervisor, nelle Guidelines on the Rights of Individuals with regard to the Processing of Personal Data, caso 2011-0483, in edps.europa.eu, p.11.

[36] CGUE, C-434/16, Nowak, e cause riunite C-141/12 e C-372/12, YS e a.

[37]Il diritto di accesso garantisce, tra l’altro, all’interessato il diritto di ottenere a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati personali” CGUE, cause riunite C-141/12 e C-372/12, YS e a.

[38] Secondo il considerando 63 del GDPR si concede il diritto di accesso agli interessati in modo che essi possano essere consapevoli del trattamento e verificarne la liceità.

[39] CGUE ha rilevato che la finalità del diritto di accesso garantito dalla normativa dell’UE in materia di protezione dei dati dev’essere distinta da quella del diritto di accesso ai documenti pubblici istituito dall’UE e dalla legislazione nazionale, poiché quest’ultimo mira a “garantire la trasparenza del processo decisionale delle autorità pubbliche e a promuovere buone prassi amministrative” CGUE, cause riunite C-141/12 e C-372/12, YS e a., punto 47.

[40] Il GDPR ha fissato, con l’art. 8, una regolamentazione specifica per il minore. Tale norma non riguarda genericamente tutti i trattamenti di dati di minori, ma prevede, al comma 1, la liceità del trattamento dei dati di un minore, laddove tale trattamento concerna un’offerta diretta di servizi della società dell’informazione a soggetti minori che hanno almeno 16 anni (o, secondo l’art. 8, una diversa età fissata dal legislatore nazionale); sia basato sul consenso, secondo quanto disposto dall’art 6, comma 1, lett. a del GDPR. In assenza di questi due requisiti, l’art. 8 richiede il consenso dall’esercente la responsabilità genitoriale. Restano comunque salve, secondo quanto disposto dall’art. 8, comma 3, le disposizioni nazionali in tema di diritto dei contratti (quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore).

[41] La comunicazione dei dati deve avvenire sempre in forma intellegibile per il destinatario e, per questo motivo, si è affermato il “diritto alla decifrabilità”; questo comporta, ad esempio, che nel caso di cartella clinica che risulti di difficile comprensione a causa della grafia illeggibile con cui è redatta, deve essere consegnata al richiedente una trascrizione comprensibile delle informazioni riportate (Garante Privacy, Provvedimento del 30.9.2002).

[42] Il diritto di accesso, già previsto dalla normativa previgente (art. 7 d.lgs. 30.6.2003, n. 196) viene rafforzato dalla formulazione dell’art. 15 GDPR.

[43] Ai sensi della norma in particolare l’interessato ha diritto di accedere ad informazioni concernenti: a) le finalità del trattamento; b) le categorie di dati personali oggetto di trattamento; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (con particolare evidenza ai destinatari di Paesi terzi o organizzazioni internazionali,

nel qual caso andrà data notizia dell’esistenza di garanzie adeguate, così come previsto dall’art. 46 GDPR); d) il periodo previsto di conservazione dei dati personali, oppure – se non è possibile indicarlo con precisione – i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’Autorità di controllo; g) qualora i dati non siano stati raccolti presso l’interessato, tutte le informazioni sulla loro origine;h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e – in tali casi – informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste per l’interessato.

[44] Ai sensi dell’articolo 12, paragrafo 1, GDPR, le informazioni di cui all’articolo 15 sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Per quanto riguarda l’accesso ai dati personali oggetto di trattamento, ai sensi dell’articolo 15, paragrafo 3, se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune. Il GDPR non specifica che cosa si intenda per formato elettronico di uso comune. Esistono pertanto vari formati che si potrebbero utilizzare. Il concetto di formato elettronico di uso comune è anch’esso destinato a variare nel tempo.

[45] L’articolo 15, quarto comma, arricchisce la serie di limitazioni fissate dall’articolo 12, paragrafo 5, GDPR.

[46] Sempre in un’ottica comparativa rispetto al precedente sistema si veda CGUE, cause riunite C-141/12 e C-372/12, YS e. La CGUE interpretando il diritto di accesso ai sensi della direttiva 95/46/CE ha affermato: “perché [il diritto di accesso] sia soddisfatto, è sufficiente che al richiedente sia consegnata un’esposizione completa di tali dati in forma intelligibile, ossia in una forma che gli permetta di prendere conoscenza dei dati medesimi e di verificare che siano esatti e trattati in modo conforme alla suddetta direttiva, così da consentirgli di esercitare, se del caso, i diritti conferitigli“.

[47] Il considerando n.63 del GDPR a tal fine precisa come “Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software” fornendo un esempio di interesse meritevole di bilanciamento.

[48] Cfr. ad esempio anche la sentenza della CGUE del 9 novembre 2010, Volker und Markus Schecke GbR e Hartmut Eifert/Land Hessen [GC], cause riunite C-92/09 e C-93/09, punto 48.

[49] Le Linee guida EDPB 2022 al paragrafo .169 precisano espressamente come “L’articolo 15, paragrafo 4, GDPR si applica al diritto di ottenere una copia dei dati, che costituisce la modalità principale di dare accesso ai dati trattati (secondo elemento del diritto di accesso). È applicabile altresì, e i diritti e le libertà altrui sono presi in considerazione, se l’accesso ai dati personali è concesso eccezionalmente con mezzi diversi da una copia. Ad esempio il fatto che i segreti industriali e aziendali siano lesi fornendo una copia o concedendo l’accesso in loco all’interessato non giustifica alcuna differenza. L’articolo 15, paragrafo 4, GDPR, non è applicabile alle ulteriori informazioni sul trattamento di cui all’articolo 15, paragrafo 1, lettere da a) a h), GDPR.”

[50] Regolamento (Ue) 2023/2854 del Parlamento Europeo e del Consiglio del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati). Il DATA ACT si inserisce in quadro regolatorio sull’economia digitale via via più articolato che deve tener conto del GDPR ma anche di Regolamenti recenti come il Data Service Act, il Regolamento AI, il Regolamento n. 2022/1925 «DMA» che definisce le imprese gatekeeper, impone obblighi e divieti si colloca tra regolazione e diritto della concorrenza. Esso definisce nuovi spazi per il public enforcement della Commissione europea allo scolo di porre un limite al potere di mercato delle grandi piattaforme digitali.

[51] L’edge computing, che è una forma di trattamento, dovrebbe generare nuovi modelli commerciali e modelli di fornitura di servizi cloud che dovrebbero essere fin dall’inizio aperti e interoperabili (Considerando 80)

[52] All’art. 13, par. 6 si considera imposta unilateralmente ai sensi del presente articolo la clausola stata inserita da una parte contraente senza che l’altra parte sia stata in grado di influenzarne il contenuto malgrado un tentativo di negoziarla. La parte contraente che ha inserito la clausola contrattuale ha l’onere di provare che tale clausola non è stata imposta unilateralmente. La parte contraente che ha inserito la clausola contrattuale controversa non può invocare il carattere abusivo della clausola contrattuale.

[53] I servizi cloud sono essenziali per l’economia digitale e per lo sviluppo dell’AI: switching cost molto elevati ed effetti di lock-in molto marcati. Il DATA Act prevede misure volte a garantire che i clienti possano passare da un fornitore di servizi di elaborazione dati (“fornitore di origine”) a un altro (“fornitore di destinazione”) in modo rapido e agevole e senza perdere i dati o la funzionalità delle applicazioni. Ad es. all’art. 2 precisa le definizioni di «passaggio» e «tariffe di passaggio»; all’art. 23 elimina gli ostacoli all’effettivo passaggio e all’art. 25 introduce regole di forma e chiarezza nel contratto e fissa una tempistica con un preavviso non superiore ai 2 mesi. Sancisce all’art. 29 l’abolizione di tariffe di passaggio destinate a scomparire entro il 12 gennaio 2027.

[54] L’art.1 primo comma elenca con completezza i vari ambiti di interesse, oggetto del Regolamento così identificato: la messa a disposizione all’utente di un prodotto connesso o di un servizio correlato dei dati generati dall’uso del prodotto connesso (dati del prodotto) e del servizio correlato (dati del servizio correlato): è la disciplina del Capo II; la messa a disposizione di dati ai destinatari dei dati da parte dei titolari dei dati: è la disciplina del Capo III; la messa a disposizione di dati, da parte dei titolari dei dati, agli enti pubblici, alla Commissione, alla Banca centrale europea e a organismi dell’Unione, a fronte di necessità eccezionali per l’esecuzione di un compito specifico svolto nell’interesse pubblico: è la disciplina del Capo V; la facilitazione del passaggio da un servizio di trattamento dei dati all’altro: è la disciplina del Capo VI; l’introduzione di garanzie contro l’accesso illecito di terzi ai dati non personali: è la disciplina del Capo VII; lo sviluppo di norme di interoperabilità per i dati a cui accedere, da trasferire e utilizzare e il contrasto delle clausole abusive nei contratti tra imprese che hanno ad oggetto l’accesso ai dati e l’uso dei dati: previsto nel Capo IV.

[55] Il Regolamento offre diversi spunti che arricchiscono e dettagliano la definizione di dato che meriteranno approfondimento: si pensi ai “dati prontamente disponibili” contemplati nell’art. 5, ovvero ai richiami di alcuni considerando che (Considerando 16) fanno riferimento ai “dati relativi alle prestazioni, all’uso e all’ambiente dei prodotti connessi, ad eccezione del contenuto” o ai “dati grezzi” (Considerando 15).

[56] Ai sensi dell’art.2, comma 1, n.2) del Data Act si intende per “metadati” la descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati.

[57] Garantendo, come precisato nel Considerando n.5 che i titolari dei dati mettano a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale.

[58] Il Considerando n.5 precisa a tale fine che “il presente regolamento mira altresì ad agevolare il passaggio tra servizi di trattamento dei dati e a migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati nell’Unione.

[59] Si badi bene diritto solo riconosciuto per essi, stante la precisazione del Considerando n.5 circa l’opportunità di “non interpretare il presente regolamento come un atto che riconosce o che conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati generati dall’uso di un prodotto connesso o di un servizio correlato.

[60] Occupa un ruolo importante anche il tema della progettazione predisposta per agevolare accesso e uso.

[61] La norma, da alcuni ritenuta legge quadro in materia di proprietà, staccandosi dalla tradizione rappresentata dall’art. 436 c.c. 1865, fornisce una definizione legale dell’istituto non più oggettiva, ma soggettiva, in quanto definisce il proprietario come titolare del diritto, individua l’ambito entro cui possono estrinsecarsi le facoltà che gli competono e specifica che esse possono venire limitate dalla legge. Questa scelta del legislatore da alcuni ritenuta fondamentale da altri ininfluente, mostra comunque quale evoluzione si era compiuta nell’elaborazione dell’istituto già negli anni quaranta. Il diritto del dominus sul bene è pieno ed esclusivo, ma non più assoluto; non incontra solo limiti negativi all’esercizio del suo diritto (si può fare tutto ciò che non è vietato), ma positivi: si può fare tutto purché si rispettino i limiti e gli obblighi previsti dalla legge (COSTANTINO M., La proprietà, in Tratt. Rescigno, 7, Torino, 1982, 215).

[62] Nel considerando n. 6 del Data Act il legislatore assegna diritti relativi all’accesso dei dati con approccio generale.

[63] In questo sento si esprime l’art.3, 1 comma.

[64] Il considerando 14 precisa come “Esempi di tali servizi di comunicazione elettronica comprendono, in particolare, le reti telefoniche terrestri, le reti televisive via cavo, le reti satellitari e le reti di comunicazione in prossimità (NFC).”

[65] In base al Considerando 22 i prodotti connessi possono essere progettati in modo da rendere alcuni dati direttamente accessibili da un archivio dati sul dispositivo o da un server remoto al quale i dati sono comunicati. L’accesso all’archivio dati sul dispositivo può essere consentito tramite reti locali via cavo o senza fili collegate a un servizio di comunicazione elettronica accessibile al pubblico o a una rete mobile.

[66] L’ipotesi viene analizzata nel Considerando 23.

[67] Il capo II (artt. 5-11) del regolamento (UE) 2016/679 è dedicato ai principi che devono guidare il trattamento dei dati personali. Si tratta, più dettagliatamente, dei principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione dei dati, di esattezza, di limitazione della conservazione, di integrità e riservatezza e di responsabilizzazione. In particolare l’art. 5, par. 1, lett. c) del regolamento sancisce che i dati personali siano «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».

[68] Così si esprime il considerando 8 “I principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita sono essenziali quando il trattamento comporta rischi significativi per i diritti fondamentali delle persone. Tenendo conto dello stato dell’arte, tutte le parti coinvolte nella condivisione dei dati, comprese le condivisioni rientranti nell’ambito di applicazione del presente regolamento, dovrebbero attuare misure tecniche e organizzative per tutelare tali diritti. Tali misure comprendono non solo la pseudonimizzazione e la cifratura, ma anche l’uso di tecnologie sempre più disponibili che consentono di applicare gli algoritmi ai dati e di ricavare informazioni preziose senza la trasmissione tra le parti o la copia non necessaria dei dati stessi, siano essi grezzi o strutturati.”

[69] In questo senso il considerando 20 “Gli obblighi di progettazione di cui al presente regolamento non pregiudicano inoltre il principio della minimizzazione dei dati sancito dall’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 e non dovrebbero essere intesi nel senso di imporre l’obbligo di progettare prodotti connessi e servizi correlati in modo tale da archiviare o altrimenti trattare dati personali diversi dai dati personali necessari rispetto alle finalità per le quali sono trattati.”

[70] Si veda il considerando 38 “In linea con il principio della minimizzazione dei dati, i terzi dovrebbero accedere solo alle informazioni necessarie per la fornitura del servizio richiesto dall’utente. Una volta ricevuto l’accesso ai dati, il terzo dovrebbe trattarli per le finalità concordate con l’utente, senza interferenze da parte del titolare dei dati.

[71] Cfr. Linee guida 4/2019 del Comitato europeo per la protezione dei dati (EDPB) sull’articolo 25 “Protezione dei dati fin dalla progettazione e per impostazione predefinita” Versione 2.0, adottate il 20 ottobre 2020

[72] PIZZETTI F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, vol. 1, Torino, 2016; COLAPIETRO C., IANNUZZI A., I principi generali del trattamento dei dati personali e i diritti dell’interessato, in Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, CALIFANO L., COLAPIETRO C. (a cura di), Napoli, 2017, p.111.

[73] Contenuto nella lett. d) dell’art. 5 GDPR, e prevede che i dati personali debbano essere esatti e, ove necessario, aggiornati. Il principio, inoltre, esige che vengano adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

[74] Il principio si ricava dalla lett. e) dell’art. 5 GDPR, ai sensi della quale i dati sono «conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati». Si veda sul diritto di conservazione CAGGIANO G., Il bilanciamento tra diritti fondamentali e finalità di sicurezza in materia di conservazione dei dati personali da parte dei fornitori di servizi di comunicazione, in Media Laws, n. 2/2018, p. 9 e ss.

[75] In questo senso il considerando 24 “Non ci si può attendere che il titolare dei dati conservi i dati a tempo indeterminato in considerazione delle esigenze dell’utente del prodotto connesso; tuttavia, tale titolare dovrebbe attuare una ragionevole politica di conservazione dei dati, se del caso, in linea con il principio di limitazione della conservazione di cui all’articolo 5, paragrafo1, lettera e), del regolamento (UE) 2016/679, che consenta l’effettiva applicazione dei diritti di accesso ai dati di cui al presente regolamento.

[76] Il Considerando 7 precisa che “Nessuna disposizione del presente regolamento dovrebbe essere applicata o interpretata in modo da ridurre o limitare il diritto alla protezione dei dati personali o il diritto alla vita privata e alla riservatezza delle comunicazioni.”

[77] Sia concesso il rinvio a GRISAFI R., Il dato personale come presunto corrispettivo economico e le nuove fonti di integrazione eteronome del contratto nella fornitura di contenuti e servizi digitali. Il caso della disciplina della garanzia di conformità, in Judicium, 2022.

[78] L’emanazione del d.lgs. 6 settembre 2005 n. 206 recante il Codice del Consumo ha permesso la creazione di un sistema di norme avente l’obiettivo di fornire una particolare e dettagliata forma di tutela al consumatore, soggetto debole del rapporto contrattuale, nei confronti del venditore-professionista, volta a riequilibrare l’asimmetrica posizione delle parti. Si veda sul punto DEMARCHI P.G., I diritti del consumatore e la nuova class action, 2014, pag. 88.

[79] Il difetto di conformità conosce una duplice regolamentazione nell’ordinamento nazionale una nel Codice civile e l’altra nel Titolo III del D.Lgs. 6 settembre 2005, n. 206 (c.d. Codice del consumo) in materia di contratti di vendita concernenti beni di consumo.

[80] Per un’analisi delle teorie sulla ricostruzione della garanzia si veda PIRAINO F., La garanzia nella vendita: durata e fatti costitutivi delle azioni edilizie, in Riv. trim. dir. proc. civ., 2020, 116.

[81] L’art. 135-bis del Codice del consumo contiene la disciplina dei rimedi, stabilendo che in caso di difetto di conformità del bene, il consumatore ha diritto al ripristino della conformità, o a ricevere una riduzione proporzionale del prezzo, o alla risoluzione del contratto sulla base delle condizioni stabilite nei commi che seguono nell’articolo.

[82] Cfr. MORACE PINELLI A., La circolazione dei dati personali tra tutela della persona, contratto e mercato in Nuova giur. civ. comm., 6, 2022, 1331.

[83]Si veda in particola l’art. 7, Dir. UE 2019/771.

[84] La disciplina comunitaria sulla vendita e le garanzie dei beni di consumo è stata introdotta nel nostro ordinamento dal d.Lgs.. 2 febbraio 2002 n. 24, in attuazione della Direttiva 99/44/CE il quale, novellando il Codice civile, introduce gli artt.1519-bis e segg. disciplina successivamente riprodotta negli artt. da 128 a 135 del Codice del consumo, ad opera del d.Lgs.. 206/2005. In base ad essa al consumatore si è sostanzialmente riconosciuto il diritto, a cui corrisponde un obbligo del venditore, di ottenere un bene conforme alle disposizioni contrattuali ed ai comportamenti precontrattuali, ed accanto ai tradizionali rimedi della riduzione del prezzo o della risoluzione del contratto sono stati previsti i rimedi della riparazione o della sostituzione del bene. Perché essa operi è necessario che la relazione commerciale si collochi all’interno di una precisa cornice soggettiva ed oggettiva in cui parti siano un “consumatore” ed un “venditore” ed oggetto siano beni ai primi destinati, con la precisazione che si avrà modo di fare, della natura di questi ultimi, non più qualificati di “consumo” come nella originaria disciplina del Codice del consumo. Il Capo è stato riformato Codice del consumo ove vengono rispettivamente modificate alcune norme del Capo I (a cui vengono aggiunti altresì gli artt. da 135-bis a 135-septies) e viene introdotto, nel Titolo Terzo, il nuovo Capo I-bis rubricato “Dei contratti di fornitura di contenuto digitale e di servizi digitali” con gli articoli da 135-octies all’art. 135-vicies ter . L’intervento è avvenuto ad opera del D.Lgs. 4 novembre 2021, n. 170 che dà attuazione della direttiva (UE) 2019/771 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di vendita di beni, che modifica il regolamento (UE) 2017/2394 e la direttiva 2009/22/CE, e che abroga la direttiva 1999/44/CE e del .lgs 4 novembre 2021, n. 173 Attuazione della direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali. Entrambe le direttive completano l’attuale legislazione europea orizzontale in materia di tutela dei consumatori, in particolare la direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, la quale contiene principalmente disposizioni riguardanti gli obblighi di informativa precontrattuale, il diritto di recesso nei contratti a distanza e nei contratti negoziati fuori dei locali commerciali e norme in materia di consegna dei beni e passaggio del rischio.

[85] La Direttiva UE 2019/771 prevede al considerando 29 che “ai fini della conformità, i beni dovrebbero rispettare non solo i requisiti soggettivi di conformità, ma dovrebbero rispettare anche i requisiti oggettivi di conformità previsti dalla presente direttiva. La conformità dovrebbe essere valutata, tra l’altro, alla luce della finalità per la quale sono abitualmente utilizzati beni dello stesso tipo, se i beni siano forniti con gli accessori e le istruzioni che il consumatore può ragionevolmente aspettarsi di ricevere o se essi corrispondano al campione o modello che il venditore ha messo a disposizione del consumatore. I beni dovrebbero inoltre possedere le qualità e le caratteristiche che sono normali per beni del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, in considerazione della natura dei beni e delle dichiarazioni pubbliche rilasciate dal venditore o altre persone nell’ambito dei passaggi precedenti della catena di transazioni commerciali o a loro nome“. L’art. 7, Dir. UE 2019/771 precisa che il bene deve essere “idoneo agli scopi per i quali si impiegano di norma beni dello stesso tipo, tenendo eventualmente conto dell’eventuale diritto dell’Unione e nazionale, delle norme tecniche o, in mancanza di tali norme tecniche, dei codici di condotta dell’industria applicabili“.

[86] L’art.129 del Codice del consumo nella sua prima versione aveva introdotto un concetto ampio ed onnicomprensivo di difetto di conformità, riconducendo ad unitatem i mezzi offerti al consumatore-acquirente al fine di ottenere tutela verso il venditore del bene di consumo così andando ad assorbire le categorie di “vizio”, di “mancanza di qualità essenziali o promesse” e di vendita “aliud pro alio” civilistiche. Se dunque con il recepimento della direttiva 99/44/CE si era introdotta nel nostro ordinamento la nuova categoria del c.d. difetto di conformità applicabile ad ogni contratto di vendita di beni di consumo (più ampia ed onnicomprensiva delle categorie di vizio sino ad allora utilizzate dal consumatore acquirente per tutelare i propri diritti), con l’aggiornamento del Codice del Consumo del 2022 esso muta ulteriormente fisionomia. Viene riscritto l’art.129 che si arricchisce di caratteri quali quello della durabilità (art. 128, lett. o)), nozione nuova che fa perno sulla capacità dei beni di mantenere le loro funzioni e prestazioni richieste in condizioni di uso normale. Tale parametro peraltro rileva sia oggettivamente in termini di “durabilità normale” per beni del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, inclusa l’eventuale necessità dì una manutenzione ragionevole dei beni sia soggettivamente, laddove sia richiamato nella dichiarazione precontrattuale su cui il consumatore fa affidamento e, come precisa la direttiva, forma parte integrante del contratto.

[87] La letteratura sul tema è molto vasta. Si veda ex multis MAZZAMUTO S., L’inefficacia delle clausole abusive, in Europa e dir. priv., 1998, pp. 45 ss.; AA.VV., Commentario al Capo XIV-bis del codice civile: dei contratti del consumatore, a cura di BIANCA C.M. –BUSNELLI F.D., Padova, 1999; MINERVINI E., Tutela del consumatore e clausole vessatorie, Napoli, 1999; PODDIGHE E., I contratti con i consumatori, Milano, 2000; AA.VV., Clausole vessatorie nei contratti del consumatore. Artt. 1469-bis – 1469-sexies, a cura di ALPA G. – PATTI S., Milano, 2003; AA.VV., I contratti dei consumatori, a cura di GABRIELLI E. –MINERVINI E., in Trattato dei contratti, diretto da RESCIGNO P. –GABRIELLI E., Vol. 3, Torino, 2005; AA.VV., Codice del consumo. Commentario, a cura di ALPA G.. –ROSSI CARLEO L., Napoli, 2005; AA.VV., Commentario breve al diritto dei consumatori, a cura di G. CRISTOFARO – A. ZACCARIA, Padova, 2013. In commento alla direttiva 93/13/CEE ORESTANO A., I contratti con i consumatori e le clausole abusive nella direttiva comunitaria: prime note, in Riv. crit. Dir. priv., 1992, pp. 467 ss.; ALPA G., Le clausole abusive nei contratti dei consumatori, in Corr. giur., 1993, pp. 635 ss.; PARDOLESI R., in Clausole abusive, pardon vessatorie: verso l’attuazione di una direttiva abusata, in Riv. crit. dir. priv., 1995, pp. 523 ss.; PATRONI GRIFFI L., Le clausole abusive nei contratti conclusi con i consumatori, in Rass. dir. civ., I, 1995, pp. 347 ss. In commento alla normativa di recepimento, di cui agli artt. 33 ss. D.lgs. 6 settembre 2005 n. 206 (già artt. 1469 bis ss. c.c.), ROPPO E., Clausole vessatorie, in Enciclopedia Giuridica, Vol. VI, Roma, 1996, pp. 1 ss.; AA.VV., La nuova disciplina delle clausole vessatorie nel Codice civile, a cura di BARENGHI A., Napoli, 1996; CARBONE V., La tutela del consumatore: le clausole abusive, in Corr. giur., 1996, 3, pp. 248 ss.

[88] Ipotesi che richiamerebbe la lett. m), comma 2, art. 33 del Codice del consumo.

[89] Ipotesi prevista in via alternativa nel Data Act dall’art.2, n.12, alla persona giuridica.

[90] In linea con la definizione dell’art. 3 del Codice del consumo di consumatore quale “persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta”.

[91] Cfr. MORACE PINELLI A., La circolazione dei dati personali tra tutela della persona, contratto e mercato in Nuova giur. civ. comm., cit., 1328.

[92] Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio chiamata a garantire la realizzazione degli obiettivi dell’Agenda digitale italiana coordinando tutte le Amministrazioni del Paese. Ha funzione diretta ad accertare l’osservanza delle disposizioni sull’accessibilità da parte dei soggetti erogatori privati, in applicazione della Legge 4/2004 con relativo potere sanzionatorio.

[93] L’accessibilità digitale è la capacità dei sistemi informatici di fornire servizi e informazioni utilizzabili, senza ostacoli, anche da parte di persone con disabilità e con disturbi specifici di apprendimento, attraverso il ricorso a tecnologie di supporto (cd. assistive) e/o a configurazioni particolari. La norma di riferimento per l’accessibilità digitale in Italia è la Legge Stanca, Legge 4/2004, che stabilisce le disposizioni per l’accesso dei soggetti disabili agli strumenti informatici e che è stata integrata dal Decreto Legge 76/2020 ha di fatto esteso tali disposizioni anche ai soggetti privati con fatturato medio superiore a 500 milioni di euro. Esso ha previsto che gli obblighi in materia di accessibilità sono applicabili a tutti i “soggetti (…) che offrono servizi al pubblico attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a cinquecento milioni di euro” (art. 3, commi 1 e 1 bis della legge 9 gennaio 2004, n. 4, nella versione vigente dopo le modifiche introdotte dal d.l. 16 luglio 2020, n. 76, recante “Misure urgenti per la semplificazione e l’innovazione digitale”).  La Legge Stanca era già stata modificata dal D. Lgs. n. 106/2018, che ha attuato la Direttiva (UE) 2016/2102 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici. L’adeguamento dei siti web e delle applicazioni mobili ai requisiti di accessibilità doveva avvenire entro il 5 novembre 2022, secondo le modalità definite dall’Agenzia per l’Italia digitale con le linee guida del 26 aprile 2022.

[94] La normativa interessa solo alcuni prodotti quali sistemi hardware informatici generici per consumatori (ad esempio, pc, notebook, smartphone, tablet) e i loro sistemi operativi; terminali self-service di pagamento e terminali destinati alla fornitura dei servizi disciplinati dal Decreto (sportelli automatici, macchine per l’emissione di biglietti, terminali per il check-in); apparecchiature terminali con capacità informatiche interattive per consumatori utilizzate per i servizi di comunicazione elettronica e quelle utilizzate per accedere a servizi di media audiovisivi; lettori di libri elettronici (e-reader). Quanto ai servizi, rientrano nell’ambito di applicazione della disciplina i servizi di comunicazione elettronica, comprese le comunicazioni di emergenza effettuate verso il numero unico di emergenza europeo 112, ma esclusi i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina; servizi che forniscono accesso a servizi di media audiovisivi; servizi relativi al trasporto passeggeri aerei, con autobus, ferroviari e per vie navigabili, ivi compresi i servizi di trasporto urbani, extraurbani e regionali (siti web, servizi per dispositivi mobili, comprese le applicazioni mobili, biglietti elettronici e servizi di biglietteria elettronica, fornitura di informazioni relative a servizi di trasporto, comprese le informazioni di viaggio in tempo reale, terminali self-service interattivi situati nel territorio dell’Unione); servizi bancari per consumatori; libri elettronici (e-book) e software dedicati; servizi di commercio elettronico. Restano fuori dal perimetro di applicazione i contenuti di siti web e le app mobili enumerati all’ Art. 1, co. 5, del Decreto: a mero titolo esemplificativo, carte e servizi di cartografia online, qualora per le carte destinate alla navigazione le informazioni essenziali siano fornite in modalità digitale accessibile, o ancora, archivi contenenti dati non aggiornati o rielaborati successivamente al 28 giugno 2025.

[95] Pubblicato sulla Gazzetta Ufficiale italiana il 1luglio 2022 e entrato in vigore il 16 luglio 2022. L’articolo 1 dell’Accessibility Act definisce l’ambito di applicazione stabilendo i requisiti di accessibilità di alcune categorie di prodotti e servizi immessi sul mercato a partire dal 28 giugno 2025.

[96] Ex multis si vedano le Linee Guida sull’accessibilità degli strumenti informatici di AGID del 21 dicembre 2022.

[97] I requisiti tecnici per l’accessibilità degli strumenti informatici, ai sensi della Direttiva UE 2016/2102, sono referenziati alla norma tecnica europea EN 301 549 v. 3.2.1, disponibile con traduzione ufficiale in lingua italiana come norma UNI CEI EN 301549.

[98] RODOTÀ S., La crisi economica comprime i diritti fondamentali, CNF, Atti del VII Congresso di aggiornamento fornese, Roma, 2012 e ne Il diritto di avere diritti, Roma-Bari, 2012, 41 ss.