Data Act: cos’è e regolamento



 

I dati sono un elemento fondamentale in tutti i processi d’innovazione digitale. Qualsiasi attività tende a generare una crescente quantità di dati, che rimane molto spesso inutilizzata o che viene utilizzata in modo non corretto da parte di alcuni attori economici. La cronaca ci informa spesso in merito alle violazioni delle normative sulla privacy dei dati attive nello spazio economico europeo, su tutte quelle sancite dal GDPR, che dal 2016 è stato l’apripista di una serie di iniziative a livello comunitario. Più recentemente, abbiamo assistito all’approvazione del Data Governance Act e del Data Act, altrimenti noto come legge europea sui dati.

In questo articolo analizzeremo quali saranno le implicazioni previste dal Data Act nel settore pubblico e privato, per le imprese e per i privati cittadini, a partire dal 12 settembre 2025, data in cui diventerà a tutti gli effetti esecutivo.

Una premessa è doverosa. Al di là della sua valenza quale strumento normativo, il Data Act costituisce un vero e proprio framework, che le aziende dovranno fare proprio per consentire l’accesso dei propri dati nelle situazioni previste dal testo di legge comunitario.

Occorre dunque farsi trovare pronti su un duplice fronte d’azione: risultare conformi al regolamento e non esporre inutilmente a rischi i dati aziendali. 

Cos’è il Data Act

Il Data Act è traducibile nel pieno del suo significato in legge sui dati. Si tratta di un regolamento che il legislatore europeo ha concepito per supportare l’economia dei dati dell’UE. L’obiettivo è doppio: tutelare la competitività delle imprese e il diritto comune a disporre di dati più accessibili e utilizzabili, incoraggiando anche le attività del settore pubblico.

Almeno sulla carta, il Data Act si propone di chiarire chi può utilizzare determinati dati e soprattutto a quali condizioni potrà farlo senza incorrere in sanzioni.

In molti passaggi appare evidente come la legge miri a tutelare la concorrenza del mercato europeo del cloud, con misure che dovrebbero proteggere le PMI dal potere tecnologico e contrattuale imposto dai big tech.

Le recenti sanzioni inflitte a Google (antitrust), Meta (violazione GDPR) e Apple (violazione DMA e elusione fiscale) confermano questa intenzione da parte del governo europeo, dopo anni in cui i giganti della Silicon Valley hanno prosperato sfruttando in buona parte le zone grigie della normativa.

Un aspetto di novità del Data Act risiede nella possibilità, da parte degli enti pubblici, di richiedere dati a soggetti privati. Questo qualora si presenti un’esigenza eccezionale di interesse collettivo, illustrando una serie di regole che dovrebbero tutelare tutte le parti in causa, senza scoraggiare l’iniziativa imprenditoriale.

Sono altresì previste ulteriori misure di salvaguardia per normare le attività nello spazio economico europeo, per impedire alle nazioni extra UE (USA in primis) di accedere ai dati in condizioni non conformi con le normative comunitarie.

Il Data Act integra a tutti gli effetti il range d’azione del Data Governance Act, applicabile dal settembre 2023, cercando di offrire una risposta concreta in merito alle forme giuridiche che regoleranno l’accesso e l’utilizzo dei dati nello spazio economico europeo.

Regolamento del Data Act

Il regolamento del Data Act si articola in nove capi, di cui uno dedicato alle disposizioni generali, a cui seguono:

  1. Capo II: Condivisione dei dati tra imprese e consumatori nel contesto dell’IoT.
  2. Capo III: Condivisione dei dati tra imprese, nei casi in cui questo sia previsto per effetto di una legge europea.
  3. Capo IV: Limitazione delle clausole contrattuali abusive, per proteggere le imprese, con particolare attenzione per le PMI.
  4. Capo V: Condivisione dei dati tra imprese e amministrazioni pubbliche, compresi i casi in cui queste ultime potranno accedere a determinati dati in capo al settore privato.
  5. Capo VI: Passaggio tra servizi di trattamento dei dati, con particolare attenzione ai criteri di interoperabilità che i provider cloud e edge sono chiamati a garantire.
  6. Capo VII: Accesso illecito del governo di un paese terzo ai dati, per evitare l’accesso indiscriminato ai dati non personali facenti capo ad attività con giurisdizione nello spazio economico europeo.
  7. Capo VIII: Interoperabilità dei dati, con particolare attenzione per i servizi in cloud.
  8. Capo IX: Esecuzione del Data Act, con la designazione di un ente responsabile da parte di ogni stato membro dell’Unione.

Come nasce il Data Act

Il primo atto di quello che sarebbe diventato a tutti gli effetti il Data Act risale al 23 febbraio 2022, con la proposta della Commissione Europea.

Sin dalla sua prima versione, il testo andava ad incidere sulla direttiva 96/9/CE del Parlamento e del Consiglio Europeo (11 marzo 1996) che sanciva la tutela giuridica delle banche dati.

Dopo un iter non privo di punti di contrasto tra i paesi membri, il 27 giugno 2023 il Consiglio e il Parlamento europeo hanno raggiunto un accordo provvisorio sulla versione definitiva del Data Act.

La proposta, ulteriormente perfezionata, è stata definitivamente adottata dal Consiglio il 27 novembre 2023 e pubblicata nella Gazzetta ufficiale dell’Unione europea il 22 dicembre 2023.

Il grace period del Data Act cesserà il 12 settembre 2025, data entro cui tutti i soggetti interessati dovranno adeguarsi e risultare conformi al testo del regolamento che, in quanto tale, è già da ritenersi applicabile, senza dover essere recepito da nuove leggi nei singoli paesi membri, come avviene invece nel caso delle direttive comunitarie.

Come funziona il Data Act

Secondo quanto definito dalla Commissione Europea nei documenti esplicativi, il Data Act è un framework che: “Offre un modello alternativo alle pratiche di gestione dei dati delle piattaforme Big Tech, che hanno un alto grado di potere di mercato perché controllano grandi quantità di dati. In pratica, gli intermediari di dati funzioneranno come terzi neutrali che collegano individui e aziende con gli utenti dei dati. […] deve esistere una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito (vale a dire che devono essere legalmente separati)”.

In termini più semplici, il Data Act definisce come i dati generati dall’utilizzo di un servizio digitale appartengono in prima istanza all’utente stesso. Tale prospettiva ribalta il concetto che ha consentito ai big tech di prosperare grazie all’utilizzo indiscriminato degli user generated content.

Grazie al Data Act, gli utenti hanno il diritto di richiedere e ottenere una copia di tutti i dati che un’azienda ha da loro raccolto attraverso i suoi servizi. L’utente può quindi risalire alle informazioni che il provider ha raccolto, come le abitudini di acquisto, le preferenze di navigazione e i siti web visitati.

Il Data Act introduce inoltre il principio della portabilità dei dati, che consente, almeno sulla carta, di trasferire facilmente i dati da un servizio all’altro. L’esempio comune è dato dalla volontà di cambiare fornitore di servizi cloud. In questa circostanza, il fruitore del servizio deve essere messo nelle condizioni di trasferire i propri dati senza doverli ricreare da zero.

La terza grande novità del Data Act consiste nel già citato obbligo per le aziende di condividere i dati con terze parti, come le pubbliche amministrazioni, quando ciò si rivela necessario per il perseguimento di interessi pubblici, nei termini previsti dalla legge stessa.

I soggetti che giocano la partita dei dati sono gli utenti, le aziende, i fornitori di servizi e l’Unione Europea:

  1. Gli utenti: grazie al Data Act possono esercitare un maggiore controllo sui propri dati e rientrarne in possesso con maggior facilità rispetto al passato.
  2. Le aziende: in particolare quelle che producono prodotti connessi (smartphone, elettrodomestici smart e altri sistemi IoT) dovranno adeguarsi alle nuove norme, garantendo agli utenti sia l’accesso ai dati e che la portabilità.
  3. I fornitori di servizi (cloud provider): anche i fornitori di servizi cloud e di altri servizi online dovranno rispettare le nuove regole, consentendo agli utenti di trasferire i propri dati, senza creare di proposito situazioni di lock-in.
  4. L’Unione Europea: attraverso il Data Act, definisce le regole del gioco, garantendo un quadro normativo chiaro e uniforme in tutto lo spazio economico europeo. L’obiettivo è creare un mercato unico dei dati, stimolando l’innovazione e la crescita economica. L’UE dovrà inoltre collaborare con gli Stati membri per garantire una corretta applicazione della normativa a livello nazionale.

Data Act per le imprese

Il Data Act ordina una serie di aspetti relativi al trattamento dei dati all’interno dello spazio economico europeo, estendendo una scia di regolamenti intrapresa dal GDPR ormai quasi dieci anni fa. Nulla di rivoluzionario, ma esigenza di mettere ordine ad un quadro stratificato e frammentario.

Ambiti di applicazione 

Il Data Act si applicherà ai dati personali e non personali, compresi anche i metadati, trattati in tutti i settori economici, sia pubblici che privati, e riguarderà tutti i prodotti connessi immessi sul mercato europeo.

Nei casi di sovrapposizione, la CE ha già precisato come prevalgono le disposizioni del GDPR, a cui le aziende devono risultare conformi dal 2018.

Secondo quanto previsto dal testo del regolamento, i soggetti tenuti ad osservare il Data Act sono tre: l’interessato, il titolare dei dati e il destinatario dei dati, così definiti in vari commi dall’Articolo 2:

      1. L’interessato, ossia la persona fisica a cui si riferiscono i dati personali, come individuato dall’art. 4 del GDPR, nonché l’utente, ossia la persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato;
      2. Il titolare dei dati, ovverosia colui che vanta una posizione di diritto sui dati e che ha l’obbligo di mettere a disposizione i dati generati e/o raccolti dal prodotto connesso, o nel corso della fornitura di un servizio correlato, a favore dell’utente, o a favore del terzo eventualmente scelto da quest’ultimo;
      3. Il destinatario dei dati, cioè una persona fisica o giuridica che agisce per fini connessi alla sua attività, diversa dall’utente di un prodotto connesso, che riceve i dati dal titolare dei dati e che quindi può essere un terzo individuato a seguito di una richiesta da parte dell’utente al titolare dei dati stesso.

Obblighi e implicazioni 

Gli articoli 3 e 4 del Data Act descrivono gli obblighi a cui sono soggetti i titolari dei dati, per rendere accessibili all’utente i dati del prodotto e dei servizi correlati: “inclusi i metadati necessari ad interpretare tali dati, mettendoli a disposizione dell’utente, ed il conseguente diritto di quest’ultimo di accedere ed utilizzare i dati generati, in modo facile, sicuro, a titolo gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico”.

In relazione al trattamento dei dati, il Data Act si pone in linea di continuità con il GDPR e il Data Governance Act. Vengono indicate ulteriori disposizioni in merito all’accesso ai dati tra più imprese private.

I titolari devono garantire la protezione dei dati e adottare adeguate misure di sicurezza informatica, in conformità a quanto previsto da normative come GDPR e NIS 2. Vengono fornite particolari disposizioni per i settori fortemente normati, come il fintech e il medtech, oltre alla disciplina dei veicoli interconnessi.

Le aziende tenute al data sharing potranno comunque esercitare, secondo le modalità previste, il diritto di opposizione alle richieste di accesso e di portabilità da parte degli utenti.

Rispetto a quanto già noto, nessuna eccezione in merito alla sovranità dei dati, che andranno ancora conservati e trattati all’interno dello spazio economico europeo.

Maggiore efficienza operativa 

Se approcciato in maniera corretta, il Data Act assume una dimensione assolutamente propositiva, incoraggiando le aziende soggette a fare una serie di operazioni sui dati che dovrebbero aver svolto a prescindere.

È infatti necessario uno standard elevato di protezione e sicurezza dei dati, ancor prima di entrare nel merito degli aspetti legati al data sharing, che costituiscono la principale novità di questo regolamento europeo.

Va precisato come il Data Act non consista soltanto in una serie di adempimenti da soddisfare passivamente per non incorrere nelle pesanti sanzioni previste.

Il Data Act offre nuove opportunità di business alle imprese che sapranno valorizzare al meglio i servizi basati sui dati, considerando la direzione sempre più interconnessa verso cui stiamo tendendo.

Le aziende più virtuose sono quelle che, sin dai tempi del GDPR, anziché reagire colpo su colpo, hanno investito in una vera e propria data strategy, in grado di assicurare loro il pieno controllo sugli asset digitali.

Rimanendo volutamente ad alto livello, il Data Act suggerisce misure utili a rendere più efficienti i processi esistenti e a sviluppare nuovi scenari di business basati sulla connessione dei dati, tanti sono i servizi che si rendono necessari per la loro proficua valorizzazione.

Garantire una più efficace circolazione dei dati e una maggior portabilità, oltre che un onere, può infatti costituire una nuova opportunità sia per quanto riguarda il miglioramento dei processi interni che lo sviluppo di una nuova offerta commerciale, basata su servizi destinati a terzi.

Data Act per i consumatori

In vari articoli del Data Act, appare evidente l’intenzione del legislatore europeo di tutelare il consumatore su vari livelli. È necessario assicurare una miglior trasparenza e controllo sui dati, senza trascurare la privacy delle informazioni personali e non personali. A ciò vanno aggiunte tutte le misure atte a favorire l’accesso e la portabilità dei dati attraverso vari provider.

Maggior trasparenza e controllo sui dati 

Salvo differenti disposizioni normative, il titolare dei dati non può negare la totale trasparenza in merito all’utilizzo degli stessi nei confronti dei destinatari.

Il consumatore non può abusare di questa condizione, in quanto i provider di servizi, anche se non possono diniegare l’accesso ai dati, hanno a loro disposizione adeguati mezzi per tutelare i segreti commerciali e le proprietà intellettuali di cui dispongono.

Migliore protezione della privacy

Le Privacy Preserving Technologies (PPT) stanno dimostrando di avere un impatto significativo in diversi settori, garantendo la gestione sicura dei dati, senza compromettere la collaborazione e l’innovazione.

Sgombrando il campo da qualsiasi dubbio, il Data Act sancisce che i dati non personali vengano trattati come i dati personali, assoggettandoli alle stesse prescrizioni del GDPR.

In tal senso, l’investimento nelle tecnologie PPT potrebbe costituire un esempio pratico di opportunità di business introdotta dal Data Act stesso, essendo lecito attendersi una loro significativa diffusione nei prossimi anni.

Rimane più che mai attuale, e lungi dall’essere risolta, la questione legata all’anonimizzazione dei dati. Si tratta di una condizione difficile da assicurare in toto. Esistono molte applicazioni AI che consentono di correlare dati provenienti da varie fonti e identificare gli utenti precedentemente anonimizzati, a discapito delle condizioni di privacy previste dalle leggi comunitarie.

Accesso dati e portabilità 

Il Data Act impone ai provider di consentire l’accesso e il riutilizzo dei dati raccolti attraverso i loro prodotti e servizi.

Questo aspetto potrebbe cambiare in buona parte la logica con cui vengono progettati i servizi, con tutti i pro e i contro del caso. I provider non potranno trincerarsi per sempre dietro la tutela dei segreti commerciali, ma al tempo stesso non sono tenuti ad aprire indiscriminatamente i loro asset a terzi.

Potrebbero quindi aprirsi nuovi bracci di ferro tra l’UE e i big tech, ciascuno con le proprie ragioni, condivisibili o meno a seconda del punto di vista adottato.

In attesa di comprendere quale sarà l’effettiva portata del Data Act, è lecito attendersi che le sue disposizioni finiscano per favorire la crescita di iniziative basate sugli open data, incoraggiando anche lo sviluppo di nuovi servizi basati sulla collaborazione tra pubblico e privato.

Le sfide del Data Act

Le prime reazioni all’approvazione del Data Act, sulla scia di quanto sta avvenendo per il DMA (Digital Market Act) è che l’obbligo di apertura sancito dal regolamento scoraggi soprattutto i big tech a commercializzare alcuni servizi e prodotti all’interno del mercato Europeo.

Questo penalizzerebbe uno scenario di libera concorrenza, negando alle imprese e ai cittadini europei una serie di possibilità esclusive, offerte, soltanto da attori extra-UE, senza alternative percorribili sul piano pratico.

Il governo europeo dovrà gestire con equilibrio questa complessa condizione, sulla base del nobile intento di porre un freno allo strapotere delle big tech nello sfruttamento, spesso incondizionato, dei dati degli utenti che utilizzano i loro servizi su scala globale.

Complessità della conformità

Per alcune aziende, specie quelle appartenenti a settori fortemente normati, o che basano il loro business sull’esclusività del trattamento dei dati concesso dai loro clienti, potrebbe non risultare così semplice ottenere la piena conformità nel Data Act. Occorre considerare che il termine di adozione è piuttosto stringente, essendo fissato per il settembre 2025.

Andranno chiariti vari aspetti, come la possibile sovrapposizione del Data Act con il Digital Market Act. Un esempio è dato dai servizi di riparazione di un prodotto, che secondo le disposizioni del DMA non possono rimanere di esclusiva competenza del produttore, in quanto tale condizione penalizza il consumatore.

Al tempo stesso, l’apertura dei sistemi e la libera condivisione dei dati, potrebbe costituire oggettivi problemi dal punto di vista della sicurezza informatica.

Trovare un equilibrio tra tutti gli interessi in gioco è un obiettivo molto complesso da raggiungere, soprattutto per un testo di legge chiamato a generalizzare gli scenari per ragioni di imparzialità nella propria applicazione.

Costi di implementazione 

L’adeguamento al Data Act, nel garantire l’accesso e la portabilità dei dati richiesta dal regolamento, appare una questione tutt’altro che banale. In certi casi comporta infatti il totale ripensamento del servizio, con costi e tempi che renderebbero sconveniente un dato prodotto / servizio da parte di chi lo eroga. La contromisura più ovvia sarebbe l’aumento dei prezzi di mercato, che a sua volta penalizzerebbe i consumatori.

Coordinamento fra diverse giurisdizioni

In un mercato sempre più globale, in cui molti dei principali produttori delle tecnologie che consentono di valorizzare i dati sono extra-UE, il soddisfacimento della sovranità economica europea appare un obiettivo tutt’altro che scontato.

Alcune aziende potrebbero ripensare le loro strategie commerciali limitando la gamma di prodotti e servizi distribuiti in Europa, con conseguenze penalizzanti sul piano della concorrenza e dell’innovazione.

D’altro canto, questa condizione potrebbe incoraggiare gli investimenti sulle aziende europee, ma alcuni tra i servizi più importanti nel contesto dei dati interconnessi comportano una forza economica e il background tecnologico esclusivo dei big tech statunitensi.

Moxoff e il Data Act

Il crescente quadro legislativo sui dati che l’Unione Europea intende promuovere inizia a contare un numero e una varietà di strumenti importante. Ai fattori legati al trattamento del dato si aggiunge la complessità della sicurezza informatica (NIS 2) e il contributo delle tecnologie emergenti (AI Act). A ciò vanno aggiunte le considerazioni specifiche per alcuni mercati, come quello finanziario (Regolamento DORA).

Questo scenario evolutivo non può vincolare le aziende a considerare le leggi quale un puro adempimento, una lista di attività da spuntare per risultare conformi e sfuggire, con una buona dose di fortuna, alle pesanti sanzioni previste.

Una visione di business sufficientemente responsabile impone lo sviluppo di una solida data strategy. Tale approccio contribuisce a generare valore a partire dai dati in qualsiasi contesto di utilizzo, trasformando i diritti del consumatore nella capacità di soddisfare le sue esigenze.

Le aziende dovrebbero valutare il supporto di un player che vanta una dimostrabile esperienza sui dati e sulle tecnologie necessarie per valorizzarli al meglio. Questo prezioso valore aggiunto contribuisce a raggiungere gli obiettivi di business prefissati e a rispondere alle mutevoli esigenze dei clienti.

Che si tratti di nuove disposizioni normative o improvvise trasformazioni della domanda di mercato, Moxoff garantisce affidabilità ed efficienza nello sviluppo di una solida data strategy grazie a soluzioni innovative basate su modelli avanzati e tecnologie all’avanguardia che assicurano una crescita sostenibile nel lungo periodo.

Contattaci per ricevere ulteriori informazioni 

Leggi altro