Big data: senza tutele giuridiche a rischio l’economia digitale Ue
Big Data sono considerati il motore dell’economia digitale, in grado di manifestare il loro enorme potenziale economico non tanto nel singolo dato, quanto nella possibilità di elaborare, organizzare e analizzare i dati nel loro complesso attraverso l’utilizzo di software e algoritmi i quali, di volta in volta, possono generare un’informazione diversa e nuova rispetto a quella di partenza la quale concede, a chi la detiene, un vantaggio economico potenzialmente immenso.
Ad oggi però, gli strumenti di tutela predisposti dal nostro ordinamento non sembrerebbero in grado di tutelare i Big Data e i risultati che sono diretta conseguenza dell’elaborazione degli stessi.
Questo potrebbe comportare l’irrigidimento della libera circolazione dei dati, nonché il mancato sviluppo dell’economia digitale.
Il valore economico dei Big Data
economico sotteso ai Big Data ci permette di classificarli come bene commerciabile inteso come asset dell’impresa. Il legame tra il bene (i Big Data) e l’utilità economica che ne deriva dalla loro elaborazione si traduce in un’esigenza di protezione della loro proprietà.
Tradizionalmente, il nostro ordinamento tutela le seguenti categorie di beni:
- quella dei “beni materiali” nel caso in cui si tratti di beni tangibili, i quali sono tutelati dalle regole della proprietà civilistica;
- e quella dei “beni immateriali” ovvero le creazioni intellettuali o le opere dell’ingegno, protetti dai diritti di privativa che assicurano (al pari della proprietà) un diritto reale e assoluto.
I Big Data rientrano nella categoria di beni immateriali, da intendersi non in senso tradizionale ma “nuovo”, ovvero in grado di fornire utilità e vantaggi economici a chi ne ha il controllo.
Strumenti giuridici inadeguati alla tutela dei big data
Come si evince dalla comunicazione della Commissione Europea, l’intento di costruire un’economia dei dati europea risulta penalizzata dal fatto che le imprese titolari di grandi quantità di dati tendono, generalmente, a generare e analizzare i dati al proprio interno oppure a tenere per sé i dati generati dai propri macchinari o mediante i loro prodotti o servizi, non favorendone lo scambio.
Motivo di questa prassi è da rintracciarsi nell’inadeguatezza degli strumenti giuridici nell’assicurare protezione al patrimonio derivante dai dati, la quale comporta – come conseguenza inevitabile – la tendenza delle imprese a non rendere disponibili tali dati [1].
Di seguito un’analisi delle principali criticità che si incontrano nel tentativo di tutelare astrattamente ciò che viene definito come il “petrolio del XXI secolo” con i seguenti strumenti giuridici:
- la normativa sul diritto d’autore (Legge 22 aprile 1941 n. 633, recante Protezione del diritto d’autore e di altri diritti connessi al suo esercizio: di seguito “Legge Autore”), che protegge le banche di dati sia ai sensi degli artt. 1, 2 n.9 e 64-quinquies e sexies, sia ex art. 102-bis come diritto sui generis;
- la normativa sul segreto aziendale, disciplinato in particolare dagli artt. 98 e 99 del D.lgs. 21 gennaio 2004, n. 35 (Codice della proprietà industriale, di seguito “CPI”).
Diritto d'autore e banche di dati
La Legge sul diritto d’autore tutela “le banche di dati che per la scelta o la disposizione del materiale costituiscono una creazione intellettuale dell’autore” (art. 1), e definisce le banche di dati come le “raccolta di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili mediante mezzi elettronici o in altro modo (art. 2, n. 9), precisando che “la tutela delle banche dati non si estende al loro contenuto e lascia impregiudicati diritti esistenti su tale contenuto” [2]. Il legislatore tutela dunque la forma espressiva delle banche dati, non il loro contenuto, quando queste posseggano il requisito della creatività [3]: qualora esse siano cioè il frutto di una creazione intellettuale del loro autore, desumibile dalla scelta o dalla disposizione sistematica e metodica del materiale all’interno della banca dati stessa. Si tenga presente che nella maggior parte dei sistemi giuridici, il diritto d’autore protegge le sole opere che siano “espressione della creazione intellettuale del loro autore”, vale a dire le opere realizzate da una o più persone fisiche [4].
Da quanto detto pare difficile sostenere che i Big Data possano rientrare nella tutela autorale prevista per le banche dati.
In primo luogo, infatti, la raccolta dei Big Data non è classificabile né come “sistematica”, né come “metodica”. I Big Data sono raccolti in modo automatico da varie fonti (tra cui persone, macchine e sensori) e in tempo reale, senza alcuna applicazione di criteri di selezione e senza alcun tipo di ragionamento logico sottostante, risultando inesistente l’intervento dell’ingegno umano nel processo di raccolta. La banca dati dunque sembrerebbe essere uno strumento statico rispetto alle necessità di raccolta incontrollata dei Big Data e pertanto inidoneo a fronte delle esigenze di elaborazione e analisi intrinseche nelle operazioni di analytics degli stessi.
Ma a ben vedere, ciò che sembra a priori escludere la tutela autorale è l’assenza del requisito della creatività, così come sopra definita. Sebbene infatti la Direttiva 96/9/CE tuteli le banche dati “in ogni loro forma” [5] e dunque, potenzialmente, anche i Big Data raccolti con processi automatizzati e non controllati, nel processo di raccolta dati infatti non vi è infatti alcun contributo da parte dell’autore, né relativamente alla scelta dei dati da raccogliere, né quanto alla loro disposizione. La Corte di Giustizia dell’UE si è peraltro già espressa nel senso che la banca dati “è protetta dal diritto d’autore […] a condizione che la scelta o la disposizione dei dati in essa contenuti costituisca un’espressione originale della libertà creativa del suo autore” [6], risultato dunque necessario che la memorizzazione informatica degli elementi sia espressione della creazione intellettuale dell’autore e dunque, come abbiamo visto, di una persona fisica [7].
Il diritto sui generis sulle banche di dati
Posto che non tutte le banche dati possono considerarsi creative, la Legge Autore tutela anche delle banche dati non creative attraverso un diritto c.d. sui generis, disciplinato dagli artt. 102-bis e ter. Questo diritto riconosce al suo costitutore, ovvero a colui che “effettua investimenti rilevanti per la costituzione della banca dati o per la sua presentazione impiegando, a tal fine, mezzi finanziari, tempo e lavoro”, il diritto di vietare le operazioni di “estrazione” e cioè “trasferimento permanente o temporaneo della totalità o di una parte sostanziale del contenuto della banca dati”, e “reimpiego” ovvero “qualsivoglia forma di messa a disposizione del pubblico della totalità o di una parte sostanziale del contenuto della banca dati”.
Il fine ultimo della norma è dunque quello di assicurare protezione all’investimento economico sostenuto dal costitutore per la creazione della banca dati. Per questa ragione, l’attenzione va posta sul concetto di “investimento rilevante” in quanto condizione necessaria per accedere alla tutela. La sua definizione è oggetto di incertezza giuridica nonché un punto di costante confronto in dottrina, divisa nell’interpretazione del concetto di “profilo quantitativo” inteso come investimento finanziario e “qualitativo” concepito come sforzo intellettuale posto alla base dell’organizzazione dei dati nella banca dati [8].
Se sono protetti dal diritto sui generis i soli dati raccolti dal costitutore grazie a investimenti economici e sforzi organizzativi, evidentemente esclusi dalla tutela sono i dati generati in modo incidentale a seguito della raccolta. Tale assunto è stato confermato anche dalla giurisprudenza della Corte di Giustizia [9], la quale ha statuito che devono ritenersi escluse dalla tutela le banche di dati che costituiscono solo un sottoprodotto dell’attività primaria svolta dal costitutore [10].
Detto ciò, pare difficile poter tutelare i Big Data anche attraverso il diritto sui generis, posto che l’attività di gathering degli stessi è il prodotto di una raccolta automatica da fonti diversificate quali, ad esempio, sensori o macchinari, e non certo oggetto di un investimento economico rilevante.
Il segreto industriale
Il segreto aziendale è disciplinato dagli articoli 98 e 99 del CPI. In particolare l’articolo 98 specifica che per segreto industriale si intendono “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore”. Per accedere alla tutela, è necessario che le predette informazioni presentino le seguenti caratteristiche:
- siano segrete, ovvero non generalmente note o accessibili al pubblico nel loro insieme o nella precisa configurazione dei loro elementi;
- abbiano un valore commerciale in quanto segrete;
- siano sottoposte a misure ragionevolmente adeguate a mantenerle segrete.
I Big Data possono presentare queste caratteristiche e dunque accedere alla tutela?
Quanto alla segretezza, non sembrerebbero porsi particolari problemi: il requisito ha infatti carattere relativo e non richiede che le informazioni siano totalmente inaccessibili al di fuori dell’azienda, essendo solo sufficiente che siano difficilmente conoscibili agli esperti o agli operatori del settore nel loro complesso o nella loro precisa configurazione.
Quanto al secondo profilo, abbiamo già detto che i Big Data sono definiti come il “petrolio del XXI secolo”: il loro potenziale economico si manifesta nella loro aggregazione e interazione, che sono in grado di predire risultati o comportamenti suscettibili di una valutazione economica a seguito di attività di analisi automatizzata, che genera un’informazione qualitativamente diversa rispetto a quelle di partenza, in grado di dare certamente un vantaggio competitivo al suo detentore.
Anche il terzo requisito, vale a dire che i Big Data siano sottoposti a misure ragionevolmente adeguate a mantenerli segreti, non pare porre particolare ostacoli, potendo il detentore agevolmente sottoporre gli stessi a misure di sicurezza logica al fine di prevenire l’accesso ad applicativi e ad ambienti digitali (come server, database e computer) dove i dati sono contenuti da parte di persone non autorizzate (es. tramite credenziali di accesso e password a più livelli di autenticazione, sistemi di attribuzione di limitazioni o permessi di accesso agli utenti, etc.), o ancora a misure di sicurezza organizzative e di natura legale al fine di attribuire i compiti e le responsabilità dei soggetti autorizzati all’accesso ai dati (es. attribuzione di ruoli di responsabilità e supervisione delle risorse che hanno accesso ai dati; sottoscrizione di accordi di riservatezza attraverso cui i soggetti autorizzati si impegnino a mantenere riservate le informazioni).
Un profilo critico potrebbe essere rappresentato dall’individuazione del detentore del segreto, che, in base all’articolo 2 della Direttiva 2016/943[11], è colui che “controlla legittimamente un segreto commerciale”. Tale definizione impone al detentore di esser venuto in possesso dei dati in modo lecito, senza violare diritti di terze persone. Estendere questo principio al processo di raccolta dei Big Data potrebbe essere rischioso. Si pensi infatti a eventuali conflitti di interessi tra un costruttore e un utilizzatore di un dispositivo quale, ad esempio, il GPS. In questo caso, il costruttore sembrerebbe titolato ad accedere legittimamente ai dati raccolti dal dispositivo ma, allo stesso tempo, anche l’utilizzatore potrebbe essere legittimato. In simili casi, stabilire chi abbia il controllo legittimo dei dati è questione ardua.
Da rilevare infine che la disciplina del segreto si riferisce espressamente a esperienze tecniche, informazioni commerciali e in generale alle informazioni dell’azienda, sicché i Big Data potrebbero essere tutelati per questa via solo nel caso in cui siano stati raccolti e archiviati nell’ambito dell’attività dell’azienda.
Conclusioni
Da quanto detto, si evince che, data la peculiarità dei dati in oggetto, i diritti posti a garanzia della proprietà intellettuale e di quella industriale non sembrerebbero in grado di garantire un livello adeguato di protezione ai Big Data e ai possibili fenomeni che, grazie a processi automatizzati, possono verificarsi.
Considerando che il XXI secolo è il palcoscenico della cosiddetta quarta rivoluzione industriale, dove i dati digitali sono i protagonisti indiscussi, è necessario trovare un giusto equilibrio che permetta sia all’economia di sfruttare il potenziale della digitalizzazione, sia alla normativa di evolversi nella direzione più opportuna per garantire un’adeguata tutela ai nuovi fenomeni che la tecnologia può generare.
A tal riguardo infatti, sembrerebbe che l’attuale complessità del sistema giuridico, sebbene i numerosi sforzi a livello europeo finalizzati all’armonizzazione delle normative dei paesi membri, non sia ancora in grado di rispondere alle sfide che i progressi tecnologici e i loro prodotti pongono all’ordinamento giuridico.
__________________________________________________________________
- COM (2017) “Costruire un’economia dei dati europea”, p. 10.
- La normativa nazionale sulle banche dati deriva dalla Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell’11 marzo 1996.
- Requisito che, in base all’art. 1 della Legge Autore, è richiesto per la protezione di tutte le opere dell’ingegno.
- Crf tra le tante Corte Giust. CE, 16 luglio 2009, caso C-5/08.
- Art. 1.
- CGUE C-604/10.
- CGUE C-5/08.
- Cfr. L. Ubertazzi, Commentario breve alle leggi su proprietà intellettuale e concorrenza, vi edizione, CEDAM, 2016. Art.102-bis p.1902 ss..
- CGUE C-444/02.
- Cfr. L. Ubertazzi, Commentario breve alle leggi su proprietà intellettuale e concorrenza, vi edizione, CEDAM, 2016. Art. 102-bis p.1904 ss..
- Direttiva del’8 giugno 2016 sulla protezione del know-how registrato e delle informazioni riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti.
L'articolo è stato pubblicato su Agenda Digitale e disponibile cliccando qui.