Regolamentazione Digitale di Prodotto, è in atto un nuovo trend normativo nella UE

Una delle tendenze più moderne del legislatore europeo è quella che potremmo definire come “regolamentazione digitale di prodotto” . Anche se al giorno d’oggi l’attenzione di tutti è focalizzata sull’AI Act, ci sono varie normative già in vigore (e di futura applicazione) o ancora in discussione, volte a disciplinare il design e/o le informazioni legate ai prodotti.

Il Regolamento (UE) 2023/2854, noto come Data Act, comporterà una rivoluzione nel settore dell’Internet delle Cose (IoT). Questo regolamento rende accessibili a utenti sia consumer sia business dati personali e non personali, generati e ottenuti dai dispositivi connessi. Inoltre, conferisce agli utenti il diritto di condividere questi dati con terzi, anche per finalità commerciali. Dispositivi come smartwatch, auto, trattori, droni, lavatrici e macchine industriali sono esempi di prodotti connessi soggetti al Data Act. In un paese manifatturiero come l’Italia, questo accesso ai dati può davvero fare la differenza, permettendo di ottimizzare processi produttivi e servizi. In linea generale, il legislatore europeo mira a porre le condizioni favorevoli per lo sviluppo di un mercato europeo dei dati, che permetterebbe lo sviluppo di nuovi modelli di business e servizi in concorrenza (ad esempio, lo sviluppo di un mercato secondario della riparazione dei prodotti, affinché questa attività non sia esclusivamente appannaggio del produttore).

La Direttiva (UE) 2019/882, nota come European Accessibility Act, mira a garantire che le persone con disabilità abbiano più facile accesso a determinati prodotti e servizi. Tra questi rientrano pc, tablet, cellulari, e-reader, siti di commercio elettronico, e-book, sportelli automatici per i servizi al pubblico e servizi bancari. Questa direttiva rappresenta un passo significativo verso una maggiore inclusività ed un equo accesso ai prodotti e servizi digitali per le persone con disabilità.

Un’altra normativa rilevante è il Regolamento (UE) 2024/1781 in materia di progettazione ecocompatibile dei prodotti. Questo regolamento prevede, tra le altre cose, l’introduzione di un “ passaporto digitale ” del prodotto. Tale passaporto consentirà la condivisione elettronica delle informazioni aggiornate sulle caratteristiche dei prodotti tra imprese (lungo tutta la catena produttiva), autorità e consumatori, promuovendo la trasparenza e la sostenibilità.

L’UE ha di recente adottato anche un nuovo regolamento sulla sicurezza generale dei prodotti. Il Regolamento (UE) 2023/988 rappresenta un’evoluzione della precedente direttiva sulla sicurezza dei prodotti, ormai datata (cioè del 2001). Esso si applica laddove non vi sia altra normativa verticale a disciplinare la sicurezza dei prodotti e, rispetto alla precedente direttiva, disciplina espressamente anche la distribuzione online dei prodotti. Inoltre, prevede degli obblighi specifici anche per i fornitori di marketplace online, integrando e specificando il Regolamento (UE) 2022/2065 (Digital Services Act).

FUTURI REGOLAMENTI IN DISCUSSIONE

Un’altra normativa attualmente in discussione potrebbe incidere sulla regolamentazione digitale dei prodotti. Si tratta della proposta di Direttiva in materia di responsabilità per danno da prodotti difettosi, per la quale la procedura legislativa non è ancora conclusa.

Come il Regolamento sulla sicurezza generale dei prodotti, anch’essa discende da una precedente Direttiva (la Direttiva 85/374/CEE, oggi ancora vigente), la quale era pensata per un mondo tendenzialmente non digitale. Questa nuova normativa, ancora in fase di discussione come si è detto, presenta una serie di novità molto rilevanti. In primo luogo, vale la pena evidenziare che ne risulterebbe ampliata considerevolmente la definizione di “danno”, sì da rendere espressamente oggetto di tutela anche i “ danni psicologici riconosciuti da un punto di vista medico ” e i danni derivanti da “ perdita o corruzione di dati non usati esclusivamente a fini professionali ” (ferma restando la possibilità di agire per la tutela derivante da ulteriori normative, quale il GDPR). Inoltre, la Direttiva, per come proposta, si applicherebbe non soltanto a prodotti intesi come beni fisici, ma anche ai software che li compongono, nonché a software cosiddetti standalone. In altre parole, una grande novità di questa Direttiva è che i software stessi sono intesi come autonomi prodotti, non solo in quanto connessi a un prodotto fisico.

Ad arricchire questo quadro frammentato si aggiunge anche la proposta di regolamento in materia di cybersicurezza dei prodotti, il cosiddetto Cyber Resilience Act. Secondo il testo della proposta, i beni con elementi digitali, cioè i prodotti che hanno software integrati per funzionare, devono essere sicuri da attacchi esterni attraverso una serie di misure di progettazione.

Alcune di queste normative (in particolare, quelle in materia di accessibilità e sicurezza dei prodotti) hanno in comune la previsione di obblighi specifici per i fabbricanti dei prodotti. Vi sono poi obblighi anche per gli importatori, cioè coloro che importano i prodotti dell’Unione Europea, che sono considerati alla stregua di fabbricanti, nonché per i distributori (e persino per i marketplace online), i quali devono controllare che i prodotti messi in vendita siano conformi alle specifiche normative. In altre parole, tutta la filiera commerciale è in qualche modo responsabile per l’immissione di prodotti sicuri sul mercato.

Numerose sono le questioni interpretative, oltre che le potenziali sovrapposizioni tra questi testi normativi, che rischiano di creare non pochi problemi all’interprete.

A titolo esemplificativo, il Data Act sembrerebbe imporre per i dati non personali una tutela ancora maggiore rispetto a quella prevista dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali. Infatti, il Data Act stabilisce che i dati non personali ottenuti o generati tramite un prodotto connesso o un servizio correlato possano essere utilizzati dai data holder (nella maggior parte dei casi, i produttori dei dispositivi connessi) solo in quanto vi sia un accordo con l’utente. Ciò significa, tra le altre cose, che i produttori che intenderanno raccogliere dati sull’utilizzo del prodotto connesso da parte dell’utente ed utilizzarli per finalità proprie – ad esempio per analisi finalizzate al miglioramento del prodotto o allo sviluppo di un nuovo prodotto – dovranno prevedere espressamente questo diritto nel contratto con l’utente, altrimenti dovranno astenersi dallo svolgimento di queste attività. Ciò rappresenta una differenza significativa rispetto all’impostazione del GDPR, che prevede basi giuridiche ulteriori rispetto a quella contrattuale (per esempio, il legittimo interesse).

Anche laddove non vi siano sovrapposizioni evidenti, l’interprete dovrà avere un approccio olistico in sede di compliance di prodotto, cioè dovrà applicare in maniera coordinata i diversi obblighi scaturenti da più testi e, possibilmente, dotarsi di una check list per non dimenticare nessun requisito. Questa attività è tutt’altro che banale. Per fare un esempio, basti pensare che, da un lato, il Data Act prevede obblighi di rendere accessibili e condivisibili con terzi dati, anche non personali, generati da prodotti connessi e servizi correlati e, dall’altro lato, la proposta di Cyber Resilience Act prevede nell’Allegato I il “ principio di minimizzazione ” (basandosi sull’esperienza del GDPR), a mente del quale i beni con elementi digitali devono limitarsi a utilizzare dati “ adeguati, pertinenti e limitati a quanto necessario in relazione all’uso previsto del prodotto ”, siano essi dati personali o non personali. Inoltre, come si può notare, i problemi per l’interprete cominciano già con le definizioni: il rischio di identificare concetti simili con definizioni – anche solo lievemente – diverse è concreto (per rimanere sull’esempio precedente, se il Data Act parla di “prodotti connessi”, il Cyber Resilience Act si riferisce a “beni con elementi digitali”).

Un ulteriore elemento di complicazione è dato dalla diversa efficacia dello strumento legislativo adottato dal legislatore europeo. Se i regolamenti, infatti, sono applicabili tel quel in tutta l’Unione Europea, le direttive necessitano di leggi locali di recepimento. Ciò aumenta il rischio di mancanza di uniformità e armonia tra le regole di un determinato Stato Membro e un altro.

Inoltre, tutte queste norme spiegheranno completamente i propri effetti in tempi diversi, anche di molti anni, sovrapponendosi comunque a normative invece già applicabili (e più familiari) da anni, come per esempio il GDPR o la normativa a protezione dei consumatori. Questo rende, nella maggior parte dei casi, pressocché fisiologica una prioritizzazione da parte delle imprese degli obblighi da rispettare e un’assunzione di rischio rispetto a tutte quelle aree grigie in cui l’affollamento di norme, definizioni, obblighi di compliance, autorità di controllo, regimi sanzionatori producono e sempre più produrranno incertezze applicative.

Trattasi di alcuni esempi delle varie questioni che occorrerà gestire in un futuro, non così distante. Nel frattempo, vale la pena tenere monitorati i lavori delle normative ancora in discussione nonché l’adozione delle linee guida e degli atti di esecuzione di quelle già in vigore, per rintracciare delle risposte utili.

_____
*A cura di Gianluigi Marino, Head of Digitalisation, Osborne Clarke e Antonio Racano, Associate, Osborne Clarke

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più