Qualsiasi discorso su titolarità e circolazione della proprietà dei dati non può fare a meno di indicare in che senso è possibile parlare di un diritto di proprietà sui dati, pena l’assoluta indeterminatezza del ragionamento.
In mancanza di una disciplina specifica del fenomeno dei Big Data, è inevitabile dover ricorrere a discipline della proprietà intellettuale di carattere generale, operazione non sempre agevole trattandosi di forme pensate per fenomeni diversi o comunque non del tutto sovrapponibili a quello qui esaminato.
In verità, per alcuni aspetti o momenti del fenomeno complesso che indichiamo con l’espressione Big Data non è difficile indicare gli strumenti di proprietà intellettuale utilizzabili al fine di assicurare una forma di sfruttamento esclusivo. Questo è vero, in particolare, per il software e l’hardware impiegati per l’elaborazione dei data set: sotto questo profilo, è possibile ricorrere agli strumenti del diritto d’autore e/o del diritto di brevetto, senza particolari difficoltà.
Molto più complesso è invece il tema della proprietà dei dati in sé, sia con riferimento al data set alla base del procedimento di elaborazione, sia - sebbene in misura minore - per quel che riguarda i dati risultanti da tale procedimento. Sotto questo profilo la mancanza di una disciplina apposita fa sentire tutto il suo peso.
110 Al riguardo occorre innanzitutto distinguere i dati personali dai dati di tipo non personale (perché afferenti a fenomeni industriali, tecnici o naturali, o perché anonimizzati).
Nel primo caso, non è certo che si possa configurare un vero e proprio diritto di proprietà sui dati, perché la legge203 riconosce inderogabilmente alla persona cui sono riferibili (il c.d. interessato) dei diritti che limitano o condizionano la libera trasferibilità dei dati. Ciononostante, la legge ammette che un terzo (impresa o ente) possa, a certe condizioni, essere titolare del “trattamento” di tali dati, il che può consentirgli di conseguire anche il potere di sfruttarli economicamente (nell’ambito commerciale, il trattamento consiste nel marketing diretto, nella profilazione, nella cessione o comunicazione a terzi affinché usino i dati per fini commerciali)204.
Nel caso dei dati non personali, invece, sono senz’altro possibili forme di appropriazione vera e propria dei dati. Due sono gli strumenti che si prestano immediatamente allo scopo: in primo luogo, il diritto di proprietà intellettuale sulle banche dati e, più precisamente, il diritto sui generis, previsto e disciplinato dall’art. 102-bis, L. n. 633/1941 (o LDA); in secondo luogo, il segreto aziendale (o commerciale) di cui agli artt. 98 e 99, D.Lgs. n. 35/2004 (codice della proprietà industriale o CPI)205. Peraltro, queste tecniche possono essere utilizzate anche con riferimento ai data set composti (anche o solo) da dati personali, per rafforzare il controllo che deriva dalla titolarità del trattamento206.
Va comunque notato che questi strumenti non si prestano facilmente allo scopo, né consentono di dare copertura a tutte le situazioni-tipo che possono verificarsi nella realtà. Basti rilevare che:
- il diritto sui generis sulle banche dati presuppone che il data set possa essere qualificato come “banca dati” in senso tecnico-giuridico, e cioè come un insieme di informazioni che risponde a determinati requisiti, il primo dei quali
203 D.Lgs. n. 196/2003; Reg. UE 2016/679.
204 BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e
proprietà intellettuale, in AIDA, 2016, pp. 579 ss.
205 Cfr., F.BANTERLE, op. ult. cit., pp. 589 ss.; OTTOLIA A., Big Data e innovazione computazionale,
Utet, Torino, 2017, pp. 43 ss.; GALLI C.-BOGNI M., I requisiti per la tutela IP dei Big Data, in FALCE
V.-GHIDINI G.-OLIVIERI G., Informazione e Big Data tra innovazione e concorrenza, Giuffrè Editore, Milano, 2018, pp. 96 ss.; M.LIBERTINI, Le informazioni aziendali riservate (segreti commerciali) come oggetto di diritti di proprietà industriale, in Dir. ind., 2017, pp. 566 ss.
206 BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e
111 consiste nel fatto che si tratti di informazioni disposte in modo metodico o sistematico, e quindi ordinato secondo un qualche criterio: il che non avviene nel caso delle raccolte di dati disposti in modo casuale, che quindi non possono beneficiare della protezione del diritto sui generis207;
- il diritto sui generis richiede che il data set (qualificabile come banca dati) sia il frutto di un investimento rilevante del costitutore nel conseguimento, nella verifica o nella disposizione dei dati: presupposti che non ricorrono nel caso di investimenti (anche importanti ma) non specificamente finalizzati alla costituzione della banca dati; il che preclude la tutela del diritto sui generis per i dati la cui produzione o raccolta siano degli aspetti necessari dell’attività di fornitura di prodotti o servizi svolta dal costitutore208;
- il diritto sui generis riserva al titolare di impedire la riproduzione e il reimpiego della banca dati nel suo complesso o di parti sostanziali della stessa, ma non dà alcuna esclusiva sui singoli dati o comunque su parti non sostanziali dell’aggregato209;
- il segreto aziendale (o commerciale), da un lato, presuppone che il titolare adotti misure adeguate di segretazione delle informazioni, il che non è sempre possibile o agevole210; dall’altro, è applicabile solo a informazioni che abbiano
207 In proposito, v. ad es. OTTOLIA A., Big Data e innovazione computazionale, op. cit., p. 75, il quale
osserva come tale aspetto della disciplina delle banche dati “esclude, in particolare, che si possano considerare proteggibili i meri flussi di dati indistintamente rilevati, per esempio, da un social network o dal comportamento di una macchina o da un fenomeno naturale”.
208 Il che, però, secondo la migliore dottrina, non esclude necessariamente che possano beneficiare della
tutela sui generis le banche dati che siano costituite nello svolgimento di un’attività più ampia o diversa (come è tipico dei dati raccolti tramite strumenti IoT): in tali casi occorrerà, piuttosto, verificare se il costitutore abbia sostenuto degli investimenti esorbitanti rispetto a quelli strettamente necessari per lo svolgimento dell’attività principale, oppure no (cfr., BERTANI M., Big Data, proprietà intellettuale e
mercati finanziari, in FALCE V.-GHIDINI G.-OLIVIERI G., Informazione e Big Data, op. cit., pp. 35 ss.; Id., Banche dati e appropriazione delle informazioni, in Eur. e dir. priv., 2006, pp. 319 ss.; OTTOLIA
A., Big Data, op. cit., pp. 80 ss.).
209 BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e
proprietà intellettuale, op. cit., pp. 589 ss.
210 “Although there might be very different kinds of data and therefore the costs and the difficulty of
keeping them secret might vary, most privately produced and held data can be (and are) kept secret by the data holders. On the contrary, trade secret law could apply very hard when taking external datasets. Gathered or obtained data is often publicly available and once the dataset is published, or disclosed for Big Data analytics or in any other way, the protection can no longer be claimed”: così, CIANI J., Property rights model v. contractual approach: how protecting non personal data in cyberspace?, op. cit., pp. 831 ss.; cfr., anche, BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e proprietà intellettuale, op. cit., pp. 591.
112 un valore commerciale, il che è difficilmente asseribile per i singoli dati che compongono il data set211.
Pertanto, si possono verificare situazioni nelle quali il data set non può accedere o non può accedere con sicurezza alla tutela del diritto sui generis né a quella del segreto aziendale. Garantire una qualche forma di protezione ai dati in tali situazioni non è affatto un’operazione banale, anche perché, secondo un orientamento ad oggi consolidato in giurisprudenza e dottrina (anche straniere), non è possibile considerare l’informazione o il dato in sé come oggetti di un diritto di proprietà212. In questo contesto, le tecniche più prontamente disponibili sono le seguenti:
a) gli accordi attraverso i quali disciplinare l’accesso e l’utilizzo dei data set, ovviamente applicabili solo nei rapporti con le controparti del contratto (come clienti o partners)213;
b) i rimedi (richieste di inibitoria, rimozione degli effetti e/o di risarcimento del danno) contro eventuali atti di concorrenza sleale (tipicamente per violazione dei principi di correttezza professionale: art. 2598, n. 3, CC), utilizzabili peraltro solo nei confronti di atti di acquisizione o impiego illeciti posti in essere da (o nell’interesse di) imprese concorrenti214;
c) le misure tecnologiche di protezione, come strumenti di tutela di fatto contro accessi e/o utilizzi non autorizzati dei dati215.
211 “Even more difficult it could be to demonstrate that an individual data has commercial value because
it is secret. Indeed, data by itself, if not part of a bigger dataset, is often of low value”: così, ancora, CIANI J., Property rights model v. contractual approach: how protecting non personal data in cyberspace?, op. cit., pp. 831 ss.
212 Cfr., ZENO ZENCOVICH V., voce Cosa, in Dig. disc. priv., Sez. civ., III, 438; CIANI J., Property rights
model v. contractual approach: how protecting non personal data in cyberspace?, op. cit., pp. 831 ss. Non mancano, peraltro, aperture in giurisprudenza sotto il profilo della tutela penale della proprietà dei dati in sé: alcune pronunce straniere hanno riconosciuto che il download o la cancellazione non autorizzati di dati aziendali da parte del dipendente di una società può integrare il reato di furto ed essere come tal sanzionato: cfr., Cour de cassation, 20 may 2015, No. 14-81336; Oberlandsgericht Nürnberg, 23 Januar 2013. È fortemente dubbio, peraltro, se tali interpretazioni possano essere estese alla tutela civilistica dei dati.
213 Cfr., Corte di Giustizia dell’Unione Europea, 15/01/2015, C-30/14, Ryanair v. PR Aviation, la quale
ha statuito che gli accordi che disciplinano l’accesso a dataset che non godano delle protezioni specifiche sulle banche dati non sono soggetti all’applicazione dei limiti alle restrizioni contrattuali a carico dell’utilizzatore della banca dati previste dagli artt. 7 e 15 della Dir. 96/9/CE: su questa base, potrebbero legittimamente restringersi anche gli utilizzi di parti non sostanziali del dataset; cfr., anche, BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e proprietà intellettuale, op. cit., p. 594.
214 BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e
proprietà intellettuale, op. cit., pp. 594 ss.
113 Alla luce di queste pur sommarie considerazioni, è evidente che più che di un diritto di proprietà sui dati, dovrebbe parlarsi di più diritti di proprietà sui dati e, per alcune tipologie di data set, non è forse corretto parlare di proprietà tout court.