Il Data Act (Regolamento UE 2023/2584) stabilisce nuove regole per un accesso e un utilizzo equi dei dati nell'UE. La Commissione europea ha pubblicato una nuova FAQ sulle questioni tecniche e legali relative all'attuazione del Data Act. Forniamo una panoramica delle disposizioni più importanti e spieghiamo le sfide per le aziende.
Interazioni tra la legge sui dati e il GDPR
Il Legge sui dati persegue l'obiettivo di incrementare le dinamiche di mercato nella Internet delle cose (IoT), facilitare la portabilità dei dati e migliorare lo scambio di dati tra aziende (B2B) e tra aziende e settore pubblico (B2G). È progettato come Controllo orizzontale che si applica a tutti i settori.
Il Legge sui dati è Nessuna legge sulla protezione dei dati! Regola il Accesso e utilizzo dei dati. Il Regolamento generale sulla protezione dei dati (GDPR) rimane pienamente applicabile per quanto riguarda i dati personali.
Articolo 1, paragrafo 5, del Legge sui dati chiarisce che in caso di conflitto tra le due normative, prevale il GDPR. Ciò significa che i dati personali possono essere trattati e trasmessi solo in conformità al GDPR.
Un'altra importante differenza:
- GDPR (articolo 20) garantisce agli interessati il diritto alla portabilità dei dati in determinate condizioni (solo per i dati personali e se sono stati trattati sulla base del consenso o di un contratto).
- Legge sui dati (articoli 4 e 5) estende notevolmente questo diritto sono inclusi anche i dati non personali e Nessuna restrizione della base giuridica esiste.
Ambito di applicazione e categorie di dati della Legge sui dati
Il Legge sui dati preoccupazioni in particolare Dati grezzi e pre-elaboratigenerati da prodotti connessi o servizi digitali associati. Esistono diversi tipi di dati che rientrano nell'ambito di applicazione del regolamento:
I dati di prodotto sono dati generati da dispositivi IoT. Ad esempio, attraverso sensori che registrano informazioni sull'uso, le prestazioni o l'ambiente del prodotto. Questi dati possono essere utilizzati per migliorare l'efficienza e la funzionalità dei prodotti o per sviluppare nuovi modelli di business basati su di essi.
I dati relativi ai servizi, invece, sono generati durante l'utilizzo di un servizio in rete. Si tratta, ad esempio, dei dati generati nelle app o nelle piattaforme basate su cloud quando gli utenti utilizzano questi servizi. Questi dati sono spesso fondamentali per l'ottimizzazione dei servizi e la fornitura di esperienze personalizzate agli utenti.
Inoltre, ci sono dati che rientrano nei segreti commerciali e che quindi godono di una protezione speciale. Tali dati hanno un elevato valore economico in quanto possono contenere informazioni strategiche sulle aziende. Il Legge sui dati garantisce la protezione di queste informazioni. Allo stesso tempo, viene facilitato l'accesso a dati meno sensibili ma di valore commerciale.
Accesso diretto o indiretto
La legge sui dati distingue inoltre tra accesso diretto e indiretto ai dati. Questa distinzione è di fondamentale importanza in quanto crea quadri tecnici e giuridici diversi per l'utilizzo dei dati.
Accesso diretto significa che l'utente può accedere direttamente ai dati generati, senza ulteriori autorizzazioni o mediazioni. Ciò può essere reso possibile, ad esempio, da un'API o da un'interfaccia utente attraverso la quale l'utente può accedere ai dati in tempo reale. L'accesso diretto promuove la trasparenza e facilita l'elaborazione immediata dei dati da parte dell'utente o di terzi autorizzati.
L'accesso indiretto, invece, prevede che l'utente presenti una richiesta al titolare del trattamento per ottenere i dati. In questo caso, il titolare del trattamento decide in merito alla fornitura e può, ad esempio, richiedere il rispetto di determinate misure di protezione o accordi sull'utilizzo. Questa forma di accesso è particolarmente rilevante se è necessario proteggere i segreti aziendali o se esistono requisiti normativi specifici per il trasferimento dei dati.
La scelta tra accesso diretto e indiretto ha un impatto significativo sull'utilizzabilità economica dei dati, sulla protezione delle informazioni sensibili e sull'applicazione dei diritti degli utenti. Mentre l'accesso diretto consente un utilizzo più rapido e flessibile, l'accesso indiretto offre maggiori possibilità di controllo ai titolari dei dati, ad esempio per garantire i requisiti di sicurezza e protezione dei dati.
Interoperabilità e commutazione del cloud
Un obiettivo centrale del Legge sui dati è il Evitare il vendor lock-in per i servizi cloud. Interfacce aperte e formati standardizzati dovrebbero consentire alle aziende di migrare facilmente i propri dati tra diversi fornitori di servizi. Questo dovrebbe garantire che i clienti non siano legati in modo permanente a uno specifico fornitore di servizi cloud, ma possano decidere in modo flessibile dove i loro dati vengono archiviati ed elaborati.
Interoperabilità significa che i servizi cloud devono essere compatibili tra loro per consentire una transizione senza soluzione di continuità. I fornitori sono tenuti a fornire interfacce standardizzate che garantiscano un trasferimento dei dati sicuro e senza perdite. Questo facilita il passaggio delle aziende da una piattaforma cloud all'altra e promuove la concorrenza nel mercato dei servizi cloud.
Inoltre, il Legge sui dati stabilisce che i fornitori di cloud devono ridurre gradualmente i costi di cambio di fornitore entro il 2027 e infine abolirli completamente. L'obiettivo è quello di evitare che gli elevati costi di passaggio impediscano alle aziende di cambiare il proprio fornitore di cloud. In questo modo si creerà una maggiore flessibilità, soprattutto per le PMI che in precedenza erano legate a un unico fornitore a causa di ostacoli finanziari.
Diritti e obblighi degli attori del mercato
Il regolamento definisce chiari diritti per gli utenti dei prodotti connessi e obblighi specifici per i proprietari dei dati e le terze parti. Gli utenti hanno il diritto di accedere ai dati che generano e di condividerli con terzi. Ciò è particolarmente importante per i servizi di manutenzione alternativi o per i fornitori di servizi che possono accedere ai dati richiesti indipendentemente dal produttore del prodotto connesso. Una protezione speciale si applica alle piccole e medie imprese (PMI). Esse sono protette da tariffe irragionevolmente elevate per l'accesso ai dati.
I proprietari dei dati, ossia i produttori o i fornitori di servizi che gestiscono i dati generati, devono trasmettere i dati agli utenti autorizzati e a terzi a determinate condizioni. Possono chiedere un compenso ragionevole, a condizione che il destinatario non sia una PMI o un'organizzazione non profit. Tuttavia, la protezione dei segreti aziendali rimane intatta: se la divulgazione dei dati comporterebbe notevoli svantaggi economici, le aziende possono rifiutarsi di rivelarli. Questa misura di protezione è nota come Segreti commerciali Handbrake e serve a non mettere a repentaglio la tutela dell'innovazione.
I terzi che ricevono dati dagli utenti o dai titolari dei dati sono soggetti a condizioni rigorose. Possono utilizzare i dati solo per gli scopi concordati con l'utente. In particolare, è vietato utilizzare questi dati per sviluppare un prodotto concorrente o per venderli a grandi operatori di piattaforme (Guardiano del cancello nel senso della Legge sui mercati digitali). Questo regolamento ha lo scopo di impedire agli operatori di mercato dominanti di ottenere vantaggi competitivi sleali attraverso un accesso preferenziale ai dati.
Suggerimento di lettura: Parere dell'EDPB sull'uso dei dati personali nei modelli di IA
Applicazione e sanzioni
Ogni Stato membro dell'UE ha l'obbligo di designare un'autorità competente per garantire la conformità con la direttiva. Legge sui dati monitorato. Questa autorità ha il compito di garantire che le aziende adempiano ai loro obblighi e che agli utenti vengano riconosciuti i diritti legalmente garantiti. Le violazioni del Legge sui dati possono comportare conseguenze legali, il cui livello di sanzioni dipende dalle normative nazionali dei rispettivi Stati membri. Le autorità sono autorizzate a imporre sanzioni, che possono includere misure finanziarie e amministrative.
Le aziende devono assicurarsi che i loro sistemi di elaborazione dei dati soddisfino i requisiti della legge. Legge sui dati al fine di evitare sanzioni. In particolare, ciò include la fornitura di opzioni di accesso ai dati per gli utenti autorizzati e la conformità ai regolamenti sull'interoperabilità e sulla portabilità dei dati. L'inosservanza dei requisiti può comportare per le aziende multe salate o restrizioni alle attività commerciali.
Le autorità nazionali lavorano in stretta collaborazione con la Commissione europea per garantire un'applicazione uniforme dei regolamenti. La Commissione controlla l'applicazione generale dei Legge sui dati a livello europeo e possono prendere provvedimenti in caso di violazioni sistematiche. Le aziende dovrebbero quindi adattare i loro processi interni e assicurarsi di implementare i requisiti normativi in tempo utile per evitare sanzioni.
Ogni Stato membro deve avere un Autorità competente che garantiscono la conformità con il Legge sui dati monitorato.
Data Act e sfide per le aziende
Il Legge sui dati rappresenta un provvedimento normativo completo che pone le aziende di fronte a numerose nuove sfide. Per soddisfare i nuovi requisiti di legge, le aziende devono adottare misure fin dalle prime fasi. In particolare, i produttori e gli operatori di piattaforme sono obbligati a fornire interfacce tecniche che consentano l'accesso diretto e indiretto ai dati. Ciò può richiedere notevoli investimenti in infrastrutture IT e misure di sicurezza per soddisfare i requisiti di accesso e trasferimento dei dati senza mettere a rischio la protezione dei segreti aziendali o la sicurezza dei sistemi.
Per le aziende che offrono prodotti in rete o servizi digitali, la Legge sui dati un maggiore obbligo di fornire i dati agli utenti e ai terzi che agiscono sulla base del consenso dell'utente. Devono garantire che i dati siano resi disponibili in un formato standardizzato e interoperabile per promuovere la concorrenza e consentire la portabilità dei dati. Allo stesso tempo, sono obbligati a introdurre meccanismi di protezione adeguati per i dati sensibili o protetti e ad autorizzarne la divulgazione solo a condizioni chiaramente definite.
Per le PMI in particolare, il Legge sui dati nuove opportunità. Possono espandere i loro modelli di business e sviluppare servizi innovativi basati sui dati facilitando l'accesso a questi ultimi. Allo stesso tempo, devono fare attenzione a non sostenere costi eccessivi per l'utilizzo di questi dati, poiché il legislatore ha stabilito regole chiare per una remunerazione equa e adeguata. Per i titolari dei dati, ciò significa che devono adattare le loro strutture tariffarie e stabilire condizioni trasparenti e non discriminatorie per l'utilizzo dei dati.
Anche i fornitori di cloud devono far fronte a nuovi obblighi. Devono rendere più facile il passaggio da un servizio all'altro. Ciò include la fornitura di interfacce aperte e la riduzione dei costi di passaggio entro il 2027. Le aziende che si affidano ai servizi cloud possono così agire in modo più flessibile e ridurre la dipendenza da fornitori specifici.
Il tempo sta per scadere: Il Data Act sarà in vigore da settembre
Il La legge sui dati porterà cambiamenti di vasta portata per l'economia dei dati europea. Poiché il regolamento sarà pienamente applicabile dal 12 settembre 2025, il tempo di preparazione per adattare i processi e le soluzioni tecniche di conseguenza sarà limitato. È quindi essenziale adottare misure tempestive per implementare i nuovi requisiti, al fine di evitare rischi legali e trarre vantaggio dalle nuove opportunità offerte dall'economia dei dati.
Avete ancora domande sul Data Act? Saremo lieti di consigliarvi! Contattateci semplicemente:
Tel: +39 045 475 7198
E-mail: verona@2b-advice.com
Fonte: FAQ sulla legge sui dati della Commissione UE (versione 1.2)
Italian 
German 
English 
French