Comprendere a chi spetti la titolarità dei Big Data è tanto importante quanto difficile. Individuare il titolare del data set consente di stabilire chi abbia il diritto di sfruttare economicamente i dati, direttamente (all’interno della propria attività economica, ad es. migliorando l’efficienza dei propri processi produttivi o commerciali), o indirettamente (cedendoli a terzi o dandoli in licenza a costoro). Individuare il titolare del data set, d’altra parte, non è compito agevole perché il fenomeno dei Big Data è complesso sia da un punto di vista oggettivo, sia da un punto di vista soggettivo: da un lato, i dati presentano natura variegata (personali, o di altro tipo; grezzi o organizzati; a monte o a valle del processo di analytics); dall’altro, i fenomeni misurati dai dati, le tecnologie impiegate per la loro produzione, raccolta, archiviazione, organizzazione o analisi, e gli investimenti destinati al loro finanziamento, possono provenire da soggetti differenti.
Per quanto riguarda i dati personali, occorre distinguere tra titolarità dei dati e titolarità del “trattamento” dei dati. La titolarità dei dati spetta alla persona fisica alla quale si riferiscono (il c.d. interessato). La titolarità del trattamento, invece, spetta al soggetto che ha una base giuridica che gli conferisce il potere di determinare le finalità e i mezzi del trattamento; base giuridica è, di norma, il consenso dell’interessato216. L’imputazione della titolarità del trattamento non è sempre agevole: il servizio di cloud
computing affidato in outsourcing è uno dei casi controversi sotto tale profilo, ma
ragionevolmente la titolarità del trattamento deve essere ravvisata in capo al cliente della società di cloud, cui invece competerà la qualifica di responsabile del trattamento217.
Non può escludersi che la titolarità del trattamento dei dati personali competa contemporaneamente a più soggetti. In tali casi, occorre distinguere secondo che la
216 Ibidem, p. 596.
217 Cfr., BANTERLE F., op. ult. cit., pp. 585 ss., il quale sottolinea come la qualifica del fornitore come
mero responsabile del trattamento implichi che il fornitore non sia legittimato a trattare i dati degli utenti del proprio cliente per una propria finalità in difetto dell’autorizzazione di quest’ultimo.
114 titolarità in capo a più soggetti sia il frutto del caso, oppure dipende da un accordo tra i titolari. Nel primo caso, ciascuno dei titolari del trattamento potrà decidere finalità e mezzi del trattamento in autonomia, per gli ambiti di rispettiva competenza. Nel secondo caso, invece, si determinerà una situazione di contitolarità, per cui le finalità e i mezzi del trattamento dei dati dovranno essere decisi congiuntamente dai contitolari. A questo proposito, la disciplina di settore prevede alcuni obblighi relativi al contenuto dell’accordo di contitolarità, e una disciplina apposita per quanto riguarda la responsabilità dei contitolari nei confronti dell’interessato218. Il problema più delicato è, comunque, quello della disciplina delle decisioni relative a fini e mezzi del trattamento: sotto questo profilo, il riferimento normativo alla necessità di decisioni congiunte dei contitolari rischia di complicare l’attività dei contitolari, sicché è opportuno che l’accordo di contitolarità regoli preventivamente il tema (eventualmente autorizzandosi reciprocamente a sfruttare in autonomia i dati in comune, nei confini definiti per contratto).
Per quanto riguarda i dati di altra natura, occorre distinguere tra data set “a monte” del processo di analytics (dati grezzi o organizzati ma non ancora analizzati), e dati “a valle” del processo. Per altro verso, occorre distinguere tra dati oggetto di diritti di proprietà intellettuale, e dati la cui protezione si basa esclusivamente sulla disciplina di tutela contro la concorrenza sleale, sugli strumenti contrattuali e, eventualmente, sulle misure fisiche o tecnologiche di protezione.
Limitando per ora il discorso ai dati coperti da diritti di proprietà intellettuale, e cominciando dai data set non ancora oggetto di analisi, è da ritenere ragionevolmente che la titolarità spetta a chi ha investito nella produzione, raccolta, archiviazione e/o organizzazione del data set. Questo sia con riferimento ai dati protetti tramite diritto
sui generis, sia con riferimento ai dati protetti tramite segreto aziendale. Per i primi, è
la legge a stabilire direttamente che il diritto sui generis spetta a colui che ha effettuato l’investimento necessario per la costituzione della banca dati219. Per il diritto sulle informazioni aziendali riservate, la stessa conclusione si raggiunge in via
218 Art. 26, Reg. UE 2016/679.
115 interpretativa, in applicazione dei principi estrapolabili dalla disciplina del diritto sui generis220.
In questa prospettiva, non conta se la tecnologia (di raccolta, archiviazione o organizzazione) sia interna all’organizzazione che ha effettuato l’investimento, sia fornita da terzi in outsourcing (come avviene tipicamente, ad esempio, per i servizi di
cloud computing) o comunque sia di proprietà di terzi (come avviene spesso nel campo
dell’IoT: si pensi ad esempio ai dispositivi attraverso i quali si raccolgono e trasmettono i dati relativi ad un veicolo, ad un macchinario industriale o a quelli rilevati tramite beacons). Non conta, inoltre, se i dati si riferiscano a fenomeni interni all’organizzazione che ha effettuato l’investimento, oppure si riferiscano a terzi (cioè a loro comportamenti, situazioni, posizioni, ecc.: si pensi, ad esempio, ai consumi di energia rilevati tramite smart meters). Nei contratti in questione è comunque opportuno chiarire tramite apposite clausole questi aspetti.
Per quanto riguarda la titolarità dei dati o informazioni “a valle” del processo di
analytics, invece, è ragionevole ritenere che essa spetti a chi ha investito nella
elaborazione del data set221. Anche in questo contesto, il principio è da ritenersi applicabile sia ai dati o informazioni protetti dal diritto sui generis sulla banca dati sia quelli coperti dal segreto aziendale. Ancora una volta, non conta se la tecnologia e l’expertise impiegate per l’elaborazione del data set, sia interna all’organizzazione che ha effettuato l’investimento per il processo di analisi oppure sia fornita da terzi in outsourcing: anche in quest’ultimo caso, la titolarità dei dati o delle informazioni risultati dalla elaborazione dovrà imputarsi a chi ha investito nel processo (salvo pattuizione contraria). Nei contratti in questione è comunque opportuno chiarire tramite apposite clausole questi aspetti.
Anche nel campo dei dati di carattere non personale sono possibili situazioni di contitolarità del data set: si pensi, ad esempio, all’ipotesi in cui gli investimenti necessari per la produzione, raccolta, archiviazione o organizzazione del data set provengano da imprese differenti; oppure al caso, in cui più soggetti abbiano concorso agli investimenti necessari per l’effettuazione del processo di analytics sul data set.
220 BANTERLE F., Brevi cenni sulla titolarità dei dati comportamentali nei Big Data tra privacy e
proprietà intellettuale, op. cit., pp. 593 ss.; BERTANI M., Proprietà intellettuale e nuove tecniche di appropriazione delle informazioni, in AIDA, 2005, p. 322; OTTOLIA A., Big Data e innovazione computazionale, op. cit., pp. 57 ss.
116 In tutte queste ipotesi, si determina una situazione di contitolarità (originaria) sui dati, che è fonte di problemi delicati e complessi: a cominciare dal problema di chi e come può sfruttare economicamente i dati e le informazioni comuni. A differenza di quanto avviene in altre esperienze giuridiche, nell’ordinamento italiano non è prevista una disciplina specifica per le situazioni di contitolarità di diritti di proprietà intellettuale, a parte un rinvio222 generico e di difficile interpretazione alla disciplina generale della comunione223, che però è pensata per la proprietà di beni materiali, ed è difficilmente adattabile al contesto di beni immateriali. È così, ad esempio, che, mentre è chiaro che, in una situazione di comunione di un immobile (un terreno, un’abitazione o altro), ciascuno dei comproprietari abbia il diritto di utilizzare liberamente il bene comune (ad es. per passeggiarvi, abitarvi, ecc.) purché non impedisca agli altri di fare altrettanto224, nel caso dei beni immateriali (come un brevetto, un marchio o, per quel che qui interessa, un data set), non è altrettanto semplice stabilire se (ed è probabilmente da escludere che) ciascuna delle imprese contitolari abbia analoga facoltà di impiegare liberamente la risorsa comune all’interno della propria attività oppure debba concordare preventivamente con le altre se, come e in che misura tale sfruttamento possa avvenire. In questi contesti lo sfruttamento della risorsa comune è questione assai più delicata, ad esempio perché una delle imprese ha un’organizzazione e una posizione di mercato tali da permetterle saturare il mercato nel quale può essere sfruttato il bene comune, e lasciando così l’altra impresa contitolare… a bocca asciutta. Anche da questo punto di vista, quindi, è di fondamentale importanza che i contitolari raggiungano un accordo sin da subito al fine di scongiurare possibili conflitti successivi: ad esempio concedendosi delle licenze reciproche che autorizzino e regolamentino lo sfruttamento indipendente dei dati comuni.
Un discorso a parte va fatto per quanto riguarda i dati che non godano della protezione del diritto sui generis né di quella del segreto aziendale, quali sono tipicamente i dati “grezzi” non ancora sottoposti a trattamento analitico né organizzati o segretati. In tal caso, non essendo in questione il riconoscimento di un vero e proprio diritto di proprietà intellettuale, il tema della titolarità dei dati diventa di soluzione più
222 Art. 6 c.p.i. 223 Artt. 1100 ss. c.c. 224 Art. 1102 c.c.
117 complessa. A tal fine, dovrà inevitabilmente farsi riferimento ai caratteri e ai principi tipici dello strumento (giuridico e/o tecnico) cui, di volta in volta, si affida la protezione dei dati. Così ragionando, può allora schematicamente ipotizzarsi che:
- i dati protetti tramite accordi contrattuali che ne disciplinano l’accesso e l’utilizzo spetteranno a chi è individuato come titolare all’interno dell’accordo, e sempre che, in relazione al profilo della titolarità dei dati, l’accordo possa ritenersi espressione di interessi meritevoli di tutela secondo l’ordinamento giuridico. Tale giudizio di meritevolezza sarà questione da risolversi di volta in volta alla luce di una complessiva valutazione delle circostanze del caso concreto. È ragionevole presumere, tuttavia, che debbano ritenersi valide clausole contrattuali che attribuiscano la titolarità dei dati grezzi al soggetto (o ai soggetti) che ha (o abbiano) effettuato gli investimenti necessari per la loro produzione, raccolta e/o archiviazione: alla luce delle considerazioni esposte a proposito dei data set protetti da diritti di proprietà intellettuale, può infatti prospettarsi la tesi che l’investimento nelle attività citate esprima un interesse sufficientemente meritevole di tutela secondo l’ordinamento giuridico;
- i dati protetti mediante i rimedi contro gli atti di concorrenza sleale spettino all’impresa nel cui complesso aziendale i dati siano inseriti e che abbia sostenuto i costi necessari alla produzione, raccolta, archiviazione e/o analisi. Anche in questo contesto, pertanto, il profilo dell’investimento nelle attività di Big Data assume probabilmente un ruolo chiave;
- i dati protetti mediante misure tecnologiche di protezione - misure che, in sé e per sé, hanno carattere fattuale e non giuridico - dovrebbero spettare a chi, in concreto, abbia adottato tali misure. È ragionevole ipotizzare, tuttavia, che la titolarità assicurata mediate tali misure non possa condurre a risultati in contraddizione con quelli derivanti da eventuali tutele contrattuali o concorrenziali: è chiaro, ad esempio, che dati acquisiti con modalità illegittime (ad esempio tramite spionaggio industriale, o in violazione di accordi contrattuali pregressi) non potranno considerarsi di titolarità dell’autore dell’illecito o dell’inadempimento sol perché costui abbia avuto l’accortezza di proteggersi mediante misure tecnologiche.
118