Il tema della proprietà dei dati è oggi ancora molto controverso; è ormai noto a tutti che i dati sono una risorsa chiave molto preziosa per l’economia e la società moderna, ma la domanda nasce spontanea: è possibile esserne giuridicamente proprietari? Essendo un’azienda data-driven, in U-Hopper sappiamo che la questione non è affatto banale e con questo articolo vogliamo - o perlomeno ci proviamo - a dare una risposta.
Si sa, ormai viviamo in un mondo digitale, in cui le aziende adottano sempre più velocemente strategie volte a sfruttare i dati per migliorare e rendere più efficienti i processi e, allo stesso tempo, per offrire nuovi prodotti e servizi.
Il termine “economia dei dati” è ampiamente utilizzato per definire tutte quelle attività economiche in cui i dati svolgono un ruolo centrale. Secondo uno studio della Commissione Europea , si parla di un valore di quasi 325 miliardi di euro nel 2019, pari al 2,6% del PIL complessivo dei 27 Stati Membri dell’UE. La stessa stima prevede che tale valore aumenterà fino a superare i 550 miliardi di euro entro il 2025, pari al 4% del PIL. Al tempo stesso, l’economia dei dati genera 3,2 milioni di nuovi posti di lavoro destinati ai “professionisti dei dati”.
Cade a pennello, la (ormai trita e ritrita) frase “i dati sono il nuovo petrolio”, la quale allude senza troppa fantasia al fatto che, mentre il petrolio ha svolto un ruolo centrale nello sviluppo delle economie nel secolo della Seconda Rivoluzione Industriale, i dati giocheranno lo stesso ruolo decisivo nel XXI secolo. I dati sono infatti oggi una risorsa economica chiave molto preziosa per le economie e le società moderne. Tuttavia, c’è un aspetto importante che viene spesso trascurato:
possiamo essere considerati giuridicamente proprietari dei dati?
Nonostante la domanda possa sembrare apparentemente sciocca, in realtà la risposta non è per niente banale. Senza soffermarci troppo sulle svariate ragioni storiche per cui tale domanda non è facile (ebbene, giuridicamente parlando, la “proprietà” è un concetto di vecchia data e quando è stato definito, beh, i dati erano ben lungi dall’essere oggetto di attenzione da parte del legislatore), crediamo ci siano alcuni punti che vale la pena analizzare e chiarire.
In primis, “proprietà” è un termine piuttosto generico. Formalmente, dovremmo parlare di “diritti di proprietà”. Avere diritti di proprietà su una risorsa significa “avere diritti di possesso, uso e godimento, che il proprietario può concedere, garantire, gravare, ipotecare, vendere o trasferire e il diritto di escludere chiunque altro da ciò”. Sebbene sia abbastanza palese comprendere come tale concetto si applichi, per esempio, ad un pezzo di terra, un’auto, una mucca o una casa, potrebbe non essere altrettanto evidente come lo stesso concetto possa essere applicato ai dati. E in effetti, per come stanno oggi le cose, non può esserlo.
Il problema di per sé è di natura legale; tuttavia, da esso derivano anche grandi impatti economici. Se non esiste un quadro giuridico chiaro da applicare in questo contesto, tutte le imprese che basano le proprie attività economiche sull’utilizzo dei dati si ritrovano ad affrontare svariati rischi e controversie. Un esempio? Se non è possibile rivendicare il diritto di proprietà sui dati, non è possibile intraprendere azioni legali contro il furto di tali dati, poiché non ci sarebbe… nessun furto di beni di proprietà!!
In realtà, ad essere precisi, ci sono una miriade di leggi e direttive sul tema dei dati, le quali delineano tuttavia un quadro giuridico frammentato e non sempre coerente al 100%. Qui riportiamo i più rilevanti, a livello europeo:
Questa direttiva UE offre protezione legale per tutte quelle informazioni appartenenti ad un’impresa, che vengono ritenute “di valore commerciale”, trattate come riservate e che conferiscono a tale impresa un vantaggio competitivo. Nella fattispecie, si applica a qualsiasi risorsa che “è segreta (..), ha valore commerciale in quanto segreta (..) è soggetta a provvedimenti da parte del proprietario per mantenerla segreta”. Si potrebbe supporre che questa direttiva sia la risposta che cercavamo sulla tutela alla proprietà dei dati. Ma, ahinoi, non è così. Pensateci, potrebbe non essere banale dimostrare che un certo database (o anche un singolo dato) abbia “valore commerciale in quanto segreto”. Inoltre, l’interpretazione di tale direttiva a livello nazionale non è del tutto coerente e la prassi di considerare i dati come segreti commerciali di per sé (non come rappresentazione digitale di un segreto commerciale, come lo è per esempio la formula della Coca-Cola o il design di una macchina) non è del tutto accettato.
In questa macro categoria, includiamo tutta quella serie di strumenti volti a proteggere i risultati di un lavoro intellettuale (e, come suggerisce il nome, che definiscono una speciale forma di proprietà). In particolare, in questa sede ci sembra opportuno citare due leggi sulla proprietà intellettuale: il diritto d’autore e la direttiva sui database.
Diritto d’autore (copyright). Il copyright conferisce al creatore di un’opera originale il diritto esclusivo al suo utilizzo, compresa l’autorizzazione di concedere a terzi la realizzazione di copie). Sembrerebbe uno strumento ideale per i dati! Ma anche qui ci spiace smorzare l’entusiasmo: il copyright è stato storicamente introdotto per proteggere risorse tangibili e creative (come un libro, un dipinto, ecc.). È quindi estremamente difficile ottenere il copyright sui dati, poiché il richiedente dovrebbe dimostrare che tali dati (qui, la risorsa da proteggere) sono un’opera originale dell’autore. Inoltre, sebbene esistano anche trattati internazionali, i diritti d’autore sono tipicamente diritti territoriali, il che significa che il diritto è limitato a un dato Paese / Stato. Già, ci siamo capiti: è una partita persa in partenza.
Direttiva sulla protezione dei database (Database Directive). Questa direttiva della Commissione Europea protegge i database, definiti come “una raccolta indipendente di dati, elaborazioni o altri materiali disposti in modo sistematico o metodico e individualmente accessibili con mezzi elettronici o altri mezzi”. La direttiva non protegge i dati come singoli elementi di per sé, ma riconosce il loro valore come raccolta degli stessi, concentrandosi sul modo in cui essi sono stati strutturati. Pertanto, l’utilizzo degli stessi dati rappresentati con una diversa struttura non costituirebbe una violazione! Inoltre, la domanda sorge spontanea: la semplice archiviazione di dati generati, per esempio, da un dispositivo IoT, integrerebbe i requisiti previsti dalla direttiva sui database? La risposta è, molto probabilmente, negativa.
Il GDPR rappresenta il quadro normativo europeo di riferimento in materia di privacy e protezione dei dati personali; si applica a tutti i dati che si riferiscono ad una persona fisica e si sovrappone alle citate Direttive sulla protezione delle informazioni commerciali e dei database.
Il GDPR ha rafforzato i diritti delle persone e ne ha creati di nuovi al fine di aumentare la centralità dell’individuo. Tali diritti rappresentano per le imprese (denominate “Titolari del trattamento” o, in inglese “data controller") una significativa riduzione di potere sui loro asset di dati personali, incidendo sul concetto stesso di proprietà dei dati.
Il diritto del Titolare di detenere ed utilizzare i dati personali è limitato nel tempo e nella finalità dal regolamento stesso e dalla persona fisica la quale può ritirare il consenso oppure esercitare il diritto all’oblio o all’opposizione. La possibilità di vendere o trasferire i dati personali è subordinata ad una serie di presupposti legali che includono (spesso) il consenso dell’individuo. Il diritto di escludere soggetti terzi dall’uso dei dati personali detenuti è limitato dall’esercizio del diritto alla portabilità e di accesso. Inoltre, il regolamento esclude la possibilità per gli individui di cedere i propri dati personali rinunciando ad ogni diritto o pretesa sugli stessi; conseguentemente il diritto del Titolare sui dati personali non sarà mai assoluto come lo è il diritto di proprietà.
I dati personali, quindi, pur essendo un asset importante ed economicamente rilevante per le imprese, possono essere oggetto di trattamento da parte delle stesse ma non possono essere propriamente qualificati come beni di loro proprietà secondo la definizione tradizionale.
Back to business, è quindi tempo di preoccuparsi del valore dei nostri dati? Che sia il caso di provare a venderli (a condizione che si possa) per acquistare case, terreni o qualsiasi altra cosa che puoi legalmente possedere? (Non tiriamo in ballo i bitcoin per non accendere gli animi…).
La risposta (secondo noi) è: NO. Come spesso accade, la tecnologia è sempre un passo avanti (forse pure due) rispetto alla legge. Regolamenti e direttive seguono le invenzioni, naturalmente con un certo ritardo. Pertanto, anche se siamo consapevoli che al momento viviamo in una zona grigia da questo punto di vista, non c’è molto di cui preoccuparsi. Rilassiamoci, basta avere un po' di pazienza: un nuovo Data Act potrebbe arrivare presto e sconvolgere lo scenario appena descritto. Magari, inizialmente, potrebbe non risolvere tutti i problemi, ma si spera fornirà perlomeno una solida base per la costruzione sostenibile di attività economiche basate sui dati.