Giulio Monga (dottore di ricerca)

Introduzione

Lo scorso 11 gennaio 2024 è entrato in vigore il Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (c.d. «Data Act»). Lo strumento sarà pienamente applicabile dal 12 settembre 2025, salvo alcune disposizioni che lo diverranno nel 2026 e nel 2027.

Obiettivo del Data Act è quello di migliorare l’economia dei dati dell’Unione e di promuovere un mercato dei dati competitivo, rendendo i dati (in particolare quelli industriali) più accessibili e utilizzabili, incoraggiando così l’innovazione basata sugli stessi ed aumentandone la disponibilità. A tal fine, il Data Act garantisce una maggiore equità dell’allocazione dei dati, chiarendo chi può utilizzare quali dati e a quali condizioni.

Il Data Act si colloca nel solco della «Strategia europea per i dati» lanciata dalla Commissione europea nel febbraio 2020 e, più in generale, di una serie di strumenti legislativi in materia di dati e nuove tecnologie adottati dall’Unione nell’ultimo decennio (su questo blog si vedano, ad esempio: Rossi; Ruotolo; sempre Ruotolo). Tra questi si possono citare, a livello esemplificativo, il Regolamento (UE) 2016/679 («General Data Protection Regulation» o «GDPR»), il Regolamento (UE) 2022/868 («Data Governance Act» o «DGA») o il Regolamento (UE) 2022/2065 («Digital Services Act» o «DSA»).

In questa sede interessa solo fornire una panoramica delle questioni di diritto internazionale privato sottese al Data Act.

In particolare, due sono gli aspetti del regolamento che suscitano maggior interesse dal punto di vista internazionalprivatistico. Il primo di essi è costituito dall’utilizzo del metodo unilateralista, in continuità con quanto fatto dal legislatore dell’Unione in diversi recenti regolamenti in materia di internet, dati e nuove tecnologie. Il secondo è, invece, rappresentato dallo spazio residuo per le tradizionali norme di conflitto bilaterali, che sembrano in grado di ricoprire un ruolo anche nelle questioni oggetto del Data Act, in particolare per quanto riguarda la materia contrattuale.

1. Unilateralismo e bilateralismo: caratteri generali

Con il termine «unilateralismo» la dottrina internazionalprivatistica (v., ad es., Romano; Franq, in Basedow e al., p. 1779) si riferisce ad una tecnica che ricerca la soluzione al problema della legge applicabile all’interno delle stesse norme di diritto materiale. Secondo tale tecnica, sono le norme di diritto sostanziale a determinare esse stesse – in maniera «unilaterale» – il proprio ambito di applicazione, sia materiale che territoriale. In altre parole, una norma unilateralista stabilisce autonomamente la propria «gittata», promettendosi di regolare tutte le fattispecie che ricadono nella stessa, a prescindere dall’operatività delle norme di conflitto. Per stabilire se ad una determinata fattispecie con elementi di internazionalità si applichi la norma dell’ordinamento giuridico X o dell’ordinamento giuridico Y, pertanto, il metodo unilateralista parte dall’analisi delle norme materiali degli ordinamenti in questione, chiedendosi se la fattispecie in esame rientri tra quelle che il primo o il secondo ordinamento abbia inteso regolare.

Al metodo unilateralista si contrappone, tradizionalmente, quello bilateralista, di stampo Savigniano, su cui si basa il moderno diritto internazionale privato europeo (v. ad es. Sonnentag, in Basedow e al., p. 1610). Questo metodo, al contrario di quella appena illustrato, parte dall’assunto per cui le norme di diritto materiale di un ordinamento giuridico nascono come applicabili, potenzialmente, a qualunque fattispecie, a prescindere dai relativi elementi di internazionalità. Pertanto, per stabilire quale sia la legge regolatrice del caso concreto, la tecnica bilateralista si fonda sulla c.d. «localizzazione» della fattispecie, ossia sull’individuazione dell’ordinamento giuridico con cui questa presenta il collegamento più stretto. Per compiere un simile esercizio sono però necessarie delle norme a ciò specificamente preposte. Si tratta, per l’appunto, delle norme di conflitto, fulcro del moderno diritto internazionale privato.

2. Il metodo unilateralista nel Data Act: continuità con le recenti tendenze e problematiche sottese

Come anticipato, il Data Act fa impiego della tecnica unilateralista. Il regolamento, infatti, contiene una disposizione (l’art. 1) che ne determina unilateralmente l’ambito di applicazione, tanto materiale quanto territoriale.

2.1. I criteri di collegamento previsti dall’art. 1, par. 3 Data Act e gli effetti «extraterritoriali» del regolamento

I primi due paragrafi dell’art. 1 Data Act elencano nel dettaglio gli ambiti a cui si applicano le norme del regolamento, oltre che i tipi di dati interessati dalle stesse (ossia dati personali e non, che si prestano a vari utilizzi elencati dal regolamento).

Il terzo paragrafo è il più rilevante dal punto di vista internazionalprivatistico, in quanto determina l’ambito di applicazione territoriale del regolamento, fornendo un elenco di soggetti a cui il Data Act si applica in presenza di determinati criteri di collegamento. Ai sensi di tale norma, il Data Act si applica, innanzi tutto, «ai fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati», indipendentemente dal luogo di stabilimento di entrambi, che potrebbe anche situarsi in uno Stato terzo (art. 1, par. 3, lett. a) Data Act). Oltre che ai fabbricanti e ai fornitori, il regolamento si applica anche agli «utenti» dei prodotti e dei servizi appena citati, a condizione che si trovino nell’Unione (art. 1, par. 3, lett. b Data Act).

La norma continua col prevedere che il regolamento si applichi ai «titolari dei dati, indipendentemente dal loro luogo di stabilimento, che mettono dati a disposizione dei destinatari dei dati nell’Unione» (art. 1, par. 3, lett. c) Data Act). Simmetricamente, il Data Act trova, quindi, applicazione ai «destinatari dei dati» che sono nell’Unione e ai quali vengono messi a disposizione i dati (art. 1, par. 3, lett. d) Data Act).

L’art. 1, par. 3, lett. e) Data Act cita, poi, una serie di enti pubblici e di istituzioni dell’Unione a cui, a determinate condizioni, il regolamento si applica. L’elenco continua, quindi, con i «fornitori di servizi di trattamento di dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione» (art. 1, par. 3, lett. f) Data Act). Infine, come ultimi soggetti a cui si applica il regolamento, compaiono i «partecipanti agli spazi di dati» e i «venditori di applicazioni che utilizzano contratti intelligenti» (c.d. «smart contract»), oltre che le persone la cui attività commerciale, imprenditoriale o professionale comporti «l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo».

Senza entrare nel merito – non essendo questa la sede per poterlo fare – delle nozioni richiamate dalla norma in commento, dall’analisi di quest’ultima emerge come il legislatore dell’Unione, nel determinare unilateralmente la gittata del Data Act, abbia utilizzato dei criteri di collegamento che si fondano, principalmente, sulla circostanza che uno dei soggetti considerati dal regolamento si rivolga verso il mercato dell’Unione o, a seconda dei casi, verso utenti, destinatari, o clienti ivi situati. Non è rilevante, invece, che i soggetti in questione – vale a dire, fabbricanti di prodotti connessi, fornitori di servizi correlati, titolari dei dati o fornitori di servizi di trattamento dei dati – siano stabiliti all’interno dell’Unione. Questi, infatti, anche se stabiliti in paesi terzi, dovrebbero conformarsi al Data Act nella misura in cui le loro attività rientrino tra quelle descritte dall’art. 1, par. 3 Data Act e si rivolgano, rispettivamente, al mercato dell’Unione europea ovvero agli utenti, ai destinatari o ai clienti ivi stabiliti.

Conseguenza di tale impostazione è quella per cui il Data Act, in determinati casi, appare suscettibile di avere, se non un’applicazione vera e propria, quanto meno degli effetti «extraterritoriali», inducendo dei soggetti che non si trovano nell’Unione a conformare le proprie condotte alle regole da esso stabilite.

2.2. Il Data Act tra continuità unilateralista, extraterritorialità e rischi di «regulatory overreaching»

Come detto, il moderno diritto internazionale privato europeo, incluso quello previsto dai regolamenti dell’Unione, si fonda sul metodo bilateralista. In questo senso, pertanto, il ricorso alla tecnica unilateralista effettuato dal legislatore nel Data Act potrebbe sembrare un momento di rottura.

In realtà l’utilizzo di tale tecnica si pone in continuità con le scelte che hanno caratterizzato numerosi strumenti in materia di dati e nuove tecnologie adottati nell’ultimo decennio dall’Unione europea (v. ad esempio Ruotolo). Tra questi, ad esempio, si possono menzionare i già richiamati GDPR e Digital Services Act, così come il Regolamento (UE) 2019/1150 («Regolamento P2B») o il Regolamento (UE) 2022/1828 («Digital Markets Act» o «DMA»). Tutti questi strumenti, al pari del Data Act, contengono, infatti, disposizioni che ne determinano unilateralmente l’ambito di applicazione, sia materiale che territoriale, a prescindere dalle norme di conflitto dell’Unione e degli Stati membri (v. sul punto, ad esempio: Ho-Dac e Lehman; De Miguel Asensio).

La segnalata tendenza unilateralista, nel solco della quale si colloca il Data Act, sembra figlia di una precisa strategia di «politica» legislativa, volta ad estendere in maniera sempre più marcata la sovranità dell’Unione europea sulla rete e in materia di dati. Esemplificativo di questa volontà è proprio il già illustrato tentativo, effettuato del Data Act così come degli altri strumenti richiamati, di estendere il proprio ambito di applicazione in maniera «extraterritoriale».

Questa impostazione non appare, tuttavia, priva di criticità. In primo luogo, infatti, essa risulta potenzialmente foriera di generare conflitti con altri ordinamenti giuridici, interessati, al pari dell’Unione europea, ad estendere la propria sovranità e la propria disciplina sulla rete e sul trattamento dei dati. Si tratta di un problema piuttosto comune in materie come il diritto dei dati o delle nuove tecnologie, contraddistinte da sensibilità politiche spesso collimanti, che si concretizzano in normative di stampo unilateralista che pretendono di regolare le medesime fattispecie in maniera radicalmente differenti. Esempio di questo è rappresentato dal conflitto regolatorio che, di recente, ha interessato l’Unione europea relativamente al tema del trasferimento dei dati personali verso gli Stati Uniti d’America, segnato da profonde tensioni tra la tutela alla riservatezza accordata dall’Unione e la salvaguardia della sicurezza nazionale perseguita dall’ordinamento statunitense (su questo tema v. ad esempio Nino; Oldani; Christakis).

I conflitti in questione riguardano, come accennato, normative che, al pari del Data Act, determinano unilateralmente la propria gittata, prevedendo ambiti di applicazione «extraterritoriale». Questa caratteristica appare in grado di acuire i contrasti tra l’Unione e gli ordinamenti terzi in cui uno strumento come il Data Act è invocato. Si pensi, ad esempio, ad uno Stato extra-UE le cui norme a tutela della proprietà intellettuale siano, inesorabilmente, in contrasto con le regole del Data Act sul libero accesso e utilizzo dei dati (questione analoga si pone con riferimento all’applicazione delle norme in materia di diritto all’oblio, su cui v. Rossi).

I conflitti in questione appaiono difficilmente risolvibili attraverso le regole e i metodi tradizionali del diritto internazionale privato, anche perché strumenti come il Data Act risultano fortemente impregnati da logiche di tipo pubblicistico. Esemplificativo, in questo senso, il fatto che ciascuno Stato membro abbia l’obbligo di designare un’autorità (amministrativa) competente per l’applicazione e l’esecuzione del regolamento nel proprio Stato di riferimento. Autorità che, al sussistere dei criteri di cui all’art. 1, applicheranno il Data Act, verosimilmente senza addentrarsi in questioni internazionalprivatistiche.

Il problema della relazione tra il Data Act e le norme di conflitto di diritto internazionale privato si pone, invece, nel caso dei rapporti tra privati. Se sulla materia contrattuale si dirà in seguito (v. par. 3), su quella non contrattuale viene qui in rilievo il rapporto con il Regolamento (CE) n. 864/2007 («Regolamento Roma II»). Si pensi, ad esempio, al caso di un’azione per risarcimento danni per responsabilità tipo extracontrattuale, intentata sulla base di presunte violazioni del Data Act (es. una violazione di diritti di proprietà industriale su una banca dati oggetto di comunicazione a terzi sulla base del Data Act). A parere di chi scrive, il problema della legge applicabile potrebbe, in questo caso, trovare soluzione proprio nell’art. 1 Data Act. In forza di tale previsione, infatti, nelle materie da esso disciplinate il Data Act troverebbe applicazione qualunque sia la legge eventualmente individuata dal Regolamento Roma II. Di conseguenza, l’art. 1 si troverebbe, in questo caso, ad agire come una sorta di norma di conflitto «speciale», che nelle materie di propria pertinenza prevarrebbe su uno strumento di pari rango normativo, quale è il Regolamento Roma II. In coerenza, quindi, con un approccio di tipo unilateralista (considerazioni simili, in relazione al GDPR, sono espresse da Benini in Casolari e al.).

Quest’ultimo ragionamento appare, tuttavia, attuabile soltanto nell’ambito dell’ordinamento dell’Unione europea. Al contrario, nel caso di controversie di fronte ad autorità giudiziarie di paesi terzi, risulterebbe difficile pensare che un giudice possa assegnare, in qualsiasi caso, prevalenza al Data Act rispetto alle norme appartenenti al proprio ordinamento. Questo non significa che il Data Act non possa essere applicato da un’autorità giudiziaria sita al di fuori dell’Unione europea, ma che potrebbe esserlo, eventualmente, soltanto se individuato come «legge applicabile» dalle norme dell’ordinamento giuridico terzo considerato.

Quest’ultima considerazione permette di poter dar conto di un’altra problematica connessa all’utilizzo del metodo unilateralista e alla possibile applicazione extraterritoriale del Data Act, rappresentata dal fenomeno del c.d. «regulatory overreaching». Con questa espressione la dottrina (v. ad esempio: Bygrave, p. 252; Svantesson, p. 286; sempre Svantesson ha poi espresso il medesimo concetto utilizzando la formula «jurisdictional overreach») si riferisce ad una caratteristica propria di norme che, al pari del Data Act, configurano, in astratto, un ambito di applicazione (extra)territoriale molto esteso, a cui fanno, però, da contraltare le scarse possibilità di applicazione reale di tali norme alle fattispecie che queste si propongono di disciplinare. Il rischio, in altre parole, è che le disposizioni del Data Act restino applicabili soltanto «sulla carta» ad una serie di fattispecie che, al contrario, il legislatore dell’Unione mirava a disciplinare attraverso tale strumento.

3. Il Data Act e gli spazi residui per il metodo bilateralista: la ricerca del «diritto contrattuale nazionale» applicabile

Chiarita l’impostazione unilateralista del Data Act, occorre ora domandarsi se, nell’applicazione del regolamento, possano residuare degli spazi per il bilateralismo e, quindi, per il diritto internazionale privato tradizionale, al netto dei ragionamenti sopra svolti in merito al possibile rapporto tra Data Act e Regolamento Roma II.

Punto di partenza per rispondere a questo interrogativo è, ancora una volta, l’art. 1 Data Act. In particolare, nei paragrafi 5-10, la disposizione elenca una serie di strumenti normativi di diritto dell’Unione e nazionale la cui applicazione è, a seconda dei casi, fatta salva, non pregiudicata o integrata dal Data Act. Tra questi, vengono citati una serie di strumenti in materia di protezione dei dati personali (GDPR, Regolamento (UE) 2018/1725, Direttiva 2002/58/CE, tutti richiamati dal par. 5), di tutela dei diritti di proprietà intellettuale (par. 8) e di protezione dei consumatori (par. 9).

Soprattutto, per quanto qui interessa, l’art. 1, par. 10 chiarisce come il Data Act non precluda la conclusione di contratti di condivisione dei dati «volontari e legittimi», purché «conformi» ai requisiti del regolamento. La disposizione va letta in combinato disposto con il considerando 5, secondo cui il Data Act adegua «le norme di diritto contrattuale» nelle materie da esso disciplinate, e il considerando 9, il quale chiarisce che: «salvo che disponga altrimenti, il presente regolamento non pregiudica il diritto contrattuale nazionale, comprese le norme sulla formazione, la validità o l’efficacia dei contratti, o le conseguenze della risoluzione di un contratto».

Dalle disposizioni in ultimo citate emerge, quindi, come i contratti siano considerati dal legislatore come lo strumento principale per la condivisione e lo scambio di dati disciplinati dal Data Act. Di conseguenza, il regolamento stabilisce una serie di regole e requisiti di diritto sostanziale che dovrebbero essere rispettati dai contratti in questione, senza tuttavia pregiudicare il «diritto contrattuale nazionale». Quest’ultimo, pertanto, nelle intenzioni del legislatore dell’Unione, dovrebbe continuare a ricoprire un ruolo rilevante nella disciplina dei contratti considerati dal Data Act, in particolare per quanto riguarda la formazione, la validità e l’efficacia di tali contratti, così come le conseguenze della loro risoluzione.

Per applicare il «diritto contrattuale nazionale» ad un contratto regolato dal Data Act è però necessario, da un punto di vista internazionalprivatistico, individuare quale sia il diritto nazionale applicabile al contratto in questione. Per farlo, nell’assenza di indicazioni sul punto all’interno del Data Act, appare necessario ricorrere alle norme di diritto internazionale privato dell’Unione, rintracciabili nel Regolamento (CE) n. 593/2008 («Regolamento Roma I») per i contratti ricadenti nell’ambito di applicazione di quest’ultimo, oltre che alla norme di conflitto dei vari Stati membri, per quanto non ricompreso all’interno dello stesso. È questo, in altre parole, uno spazio residuo che il Data Act sembra lasciare alle norme di conflitto bilaterali. Spazio che, a ben vedere, non sembra poi così ridotto.

Ciò detto, va infine aggiunto il rilievo per cui sia l’art. 1, par. 10 che i considerando 5 e 9 chiariscano come il «diritto contrattuale nazionale» si applichi salvo che il Data Act non disponga altrimenti, ovvero nella misura in cui il diritto nazionale applicabile non contrasti con il regolamento. Da un punto di vista pratico si pensi, ad esempio, alla conclusione di un contratto per la messa a disposizione di dati da parte di un titolare dei dati (come un’impresa produttrice di veicoli connessi) ad un destinatario (ad esempio una compagnia assicurativa) che preveda, a favore del titolare, un compenso giudicato lecito dalla legge dello Stato membro il cui diritto è applicabile e che, invece, sia da ritenersi «discriminatorio» e non «ragionevole» ai sensi dell’art. 9 Data Act. In questo caso, nonostante che il pagamento del compenso in questione sia considerato lecito dal diritto contrattuale applicabile, in virtù della prevalente applicazione dell’art. 9 Data Act, lo stesso non potrà essere corrisposto al titolare dei dati.

In una prospettiva di teoria generale di diritto dell’Unione e di diritto internazionale privato, la specificazione appena esaminata può assumere diversi significati. Innanzi tutto, essa potrebbe essere intesa come una semplice affermazione, da parte del legislatore dell’Unione, del principio del primato del diritto dell’Unione su quello degli Stati membri, declinato all’interno del nuovo Data Act.

In un’ottica internazionalprivatistica, invece, due sono le possibili letture assegnabili alla stessa. In primo luogo, affermare che il «diritto contrattuale nazionale» si applichi soltanto nella misura in cui non contrasta con il Data Act potrebbe voler conferire a quest’ultimo una rilevanza ai sensi dell’art. 3, par. 4 Regolamento Roma I. Tale norma, in particolare, stabilisce che, nel caso in cui la parti di un contratto scelgano come «applicabile» al suddetto contratto una legge diversa da quella di uno Stato membro, tale scelta non andrebbe ad inficiare «l’applicazione delle disposizioni di diritto comunitario, se del caso, come applicate nello Stato membro del foro, alle quali non è permesso derogare convenzionalmente». Ciò, peraltro, a condizione che tutti gli altri elementi della fattispecie siano ubicati, nel momento in cui si opera la scelta, in uno o più Stati membri. In altre parole, secondo questa interpretazione, il nuovo regolamento potrebbe andare ad influire sull’autonomia contrattuale delle parti, dal momento che la scelta di legge contenuta in un contratto regolato dal Data Act non permetterebbe di derogare alle regole stabilite quest’ultimo, a condizione che tutti gli elementi pertinenti del contratto in questione si trovino all’interno dell’Unione europea.

Altro possibile significato assegnabile alle disposizioni poco sopra richiamate è quello per cui il Data Act debba essere considerato come uno strumento che contiene al proprio interno alcune «norme di applicazione necessaria», rilevanti ai sensi dell’art. 9 Regolamento Roma I e del diritto internazionale privato nazionale. Le norme di applicazione necessaria sono definite dal citato art. 9 Regolamento Roma I come «disposizioni il cui rispetto è ritenuto cruciale da un paese per la salvaguardia dei suoi interessi pubblici, quali la sua organizzazione politica, sociale o economica, al punto da esigerne l’applicazione a tutte le situazioni che rientrino nel loro campo d’applicazione, qualunque sia la legge applicabile al contratto secondo il presente regolamento». Esse costituiscono uno dei tradizionali correttivi alle norme di conflitto, in quanto intervengono in un momento logico precedente, disinnescandone alla radice l’applicazione. Le norme di applicazione necessaria si applicano, nelle fattispecie da esse individuate, per una precisa scelta di politica legislativa, senza che l’interprete – a cui spetta il compito di identificarle in assenza di esplicite qualificazioni – debba fare ricorso alle norme di conflitto per individuare il diritto applicabile nel caso concreto. Si tratta, a ben vedere, di norme improntate su logiche fortemente unilateraliste. Logiche che, come abbiamo visto, appaiono permeare il Data Act.

4. Conclusioni

Come si è potuto vedere, nella prospettiva del diritto internazionale privato il Data Act costituisce un esempio di utilizzo del metodo unilateralista, in quanto determina autonomamente il proprio ambito di applicazione territoriale e materiale, a prescindere dall’operatività delle norme di conflitto.

Non si tratta di un esempio isolato ma, al contrario, di uno strumento che, da questo punto di vista, si colloca nel solco di una serie di strumenti normativi in materia di internet, dati e nuove tecnologie adottati negli ultimi anni all’interno dell’Unione europea. Esso rappresenta un ulteriore tassello di una strategia regolatoria del legislatore dell’Unione che pare volta ad estendere la propria sovranità sulla rete. Come si è visto, peraltro, questo approccio non è privo di criticità, soprattutto per quanto riguarda gli effetti extraterritoriali della nuova disciplina e il rischio del c.d. «regulatory overreaching».

Infine, non è trascurabile il fatto che il Data Act lasci degli spazi al diritto nazionale contrattuale e, di conseguenza, al metodo alle norme di conflitto bilaterali allo scopo di individuare quale sia, di volta in volta, il diritto nazionale applicabile. Si tratta di spazi non ridotti, anche se alle disposizioni del Data Act deve essere comunque garantita prevalenza in caso di contrasti con il diritto nazionale applicabile.