Articolo a cura di Elisabetta Ronzoni
addetta Area studi e aggiornamenti di AIBA
La strategia europea di creazione di un mercato digitale unico si arricchisce di un nuovo tassello. L’11 gennaio 2024 è entrato in vigore il “Data Act”, il nuovo Regolamento europeo 2023/2854, riguardante “norme armonizzate sull’accesso equo ai dati e sul loro utilizzo”, che consentirà una migliore e più capillare circolazione di dati.
D’ora in poi i dati potranno circolare, essere condivisi ed utilizzati liberamente sia da parte di soggetti pubblici che privati nell’ambito della ricerca e dell’innovazione, permettendo di raggiungere quella leadership nel settore che la Commissione si era posta come obiettivo a partire dal 2020.
Con il nuovo Regolamento gli operatori industriali e commerciali potranno accedere ad un mercato di informazioni molto più ampio e competitivo, i fornitori di servizi post- vendita potranno sfruttare le informazioni acquisite per fornire servizi sempre più personalizzati e i consumatori avranno diritto di controllare i dati condivisi tramite i dispositivi che utilizzano.
Nonostante sia già entrato in vigore, il Regolamento sarà applicabile solo dal 12 settembre 2025, mentre per alcune disposizioni l’entrata in vigore è differita al 2026 e al 2027.
L’Art. 2 del Regolamento definisce “Dati”: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva. Sono “Metadati”: una descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati.
Il Data Act regola l’accesso e l’utilizzo di informazioni di un prodotto o servizio nell’ambito “dell’Internet of Things” (IoT) che genera o raccoglie informazioni relative all’utilizzo o all’ambiente circostante al prodotto o al servizio come, ad esempio, i veicoli connessi, i macchinari industriali o quelli del settore sanitario. I prodotti o servizi che rientreranno nell’ambito del Data Act dovranno essere progettati e realizzati in modo da consentire l’accesso, l’uso e la condivisione dei contenuti da essi generati e dei relativi metadati.
Il Data Act si rivolge a tutti i soggetti pubblici e privati, potenzialmente in grado di scambiare informazioni legate a prodotti e servizi in uso a un utente e, in particolare, ai fabbricanti di prodotti connessi sul mercato UE, ai fornitori di servizi correlati indipendentemente dal luogo in cui sono stabiliti e agli utenti UE di tali prodotti e servizi. Si applica, altresì ai destinatari dei dati nell’UE agli enti pubblici, alla Commissione, alla Banca centrale europea.
Non si applica, per converso, agli accordi volontari per lo scambio di informazioni tra soggetti pubblici e privati.
La condivisione delle informazioni è disciplinata in modo diverso a seconda che sia da impresa a consumatore o da impresa a impresa. Nel primo caso i dati e i relativi metadati devono essere messi a disposizione all’utente in modo facile, sicuro e gratuito. Negli scambi tra aziende è possibile concordare un compenso tra le parti che, pur includendo un margine, deve essere ragionevole e non discriminatorio.
Le misure del Data Act integrano quelle entrate in vigore a settembre 2023 sulla governance dei dati contenute nel Data Governance Act, che regola processi e strutture per la condivisione volontaria dei dati e quelle del GDPR di cui rimane fermo il rispetto dei principi fondamentali.
La gestione e circolazione dei dati, inoltre, tiene conto dell’esigenza di garantire la tutela dei segreti commerciali, l’interoperabilità dei servizi cloud e la previsione del pagamento di un prezzo ragionevole e non discriminatorio, commisurato agli investimenti effettuati per produrre, raccogliere e mettere i dati a disposizione.
Il Data Act, inoltre, introduce alcune misure specifiche volte a tutelare piccole e medie imprese da comportamenti scorretti posti in essere da aziende in posizione di mercato avvantaggiata, elencando una serie di clausole contrattuali considerate inefficaci.
La Commissione Europea, la Banca centrale europea e altri organismi dell’Unione potranno richiedere, in casi di necessità e urgenza, l’accesso alle informazioni raccolte da imprese e privati dietro pagamento di un equo compenso.
Violazioni del Data Act sono soggette alle sanzioni del GDPR (fino al 4% del fatturato mondiale annuo o 20 milioni di euro).
Aiba ha seguito, in collaborazione con il Bipar, il processo formativo del Regolamento e sta lavorando per approfondire l’impatto delle norme sulla categoria, valutando ogni possibile attività in grado di sostenere gli Associati, anche adeguando laddove necessario, le polizze di cyber security già disponibili.
È possibile scaricare il testo completo del Regolamento al seguente link: clicca qui.
