La normativa sui dati o “Data Act” e le sue conseguenze per la sua azienda
La normativa sui dati sarà attuata nel settembre 2025 e influenzerà l'uso e l'accesso dei dati non personali generati dagli utenti in tutti i settori. Le aziende dovrebbero iniziare a prepararsi fin da ora per garantire la conformità alla nuova legislazione. Trovi una lista di controllo completa e le indicazioni principali per aiutare lei e la sua azienda a orientarsi tra i requisiti di accesso, condivisione e protezione dei dati.
La normativa sui data (“Data Act”) - Cosa deve sapere ora / Lista di controllo per la preparazione
Il 9 novembre 2023, il Parlamento europeo ha approvato il testo concordato per un nuovo regolamento intitolato "Istituzione di norme uniformi per un accesso equo ai dati e un utilizzo corretto", comunemente chiamato Data Act. La conferma ufficiale da parte del Consiglio dell'Unione Europea è avvenuta il 27 novembre 2023. Si prevede che la normative sui data sarà pubblicata sulla Gazzetta Ufficiale dell'Unione Europea nelle prossime settimane ed entrerà in vigore 20 giorni dopo. Sarà applicabile a partire dal settembre 2025, a 20 mesi dalla sua promulgazione. Di seguito, forniamo informazioni cruciali per aiutare la sua azienda a prepararsi efficacemente all'attuazione della normativa sui dati.
Qual è lo scopo del Data Act o normativa sui dati?
La normativa sui dati mira a rivedere le condizioni legali per l'accesso e l'utilizzo dei dati non personali generati dagli utenti, creando diritti di accesso ai dati sia per il settore privato che per quello pubblico, imponendo al contempo obblighi significativi ai titolari dei dati, ai produttori di prodotti e ai fornitori di cloud.
Grazie al suo approccio intersettoriale, il Regolamento si applica a tutte le industrie e a tutti i settori dell'economia. Praticamente tutte le aziende che elaborano dati in qualsiasi modo sono potenzialmente interessate dal Data Act, anche se la maggior parte degli obblighi del Data Act non si applica alle piccole imprese.
La normativa sui dati regola la raccolta di dati, personali e non, dai dispositivi IoT e dai servizi correlati, come elettrodomestici, dispositivi per il fitness, assistenti vocali, 54 apparecchiature industriali e veicoli connessi. Questi dati sono preziosi per lo sviluppo dei prodotti, la manutenzione dei dispositivi e la formazione degli algoritmi. I produttori e i rivenditori non potranno più archiviare questi dati in modo esclusivo. Per le piccole e medie imprese, la normative sui dati offre nuove modalità di accesso a questi dati e di sviluppo di nuove opportunità commerciali. La normative sui dati si applica sia alle aziende europee che a quelle extraeuropee che operano nell'UE o che commercializzano prodotti o servizi correlati.
Come entra in gioco il GDPR con la normativa sui dati?
Per quanto riguarda il GDPR, esso si concentra sui dati personali, mentre la proposta della normativa sui dati comprende sia i dati personali che quelli non personali. È fondamentale considerare entrambe le normative insieme, soprattutto in situazioni che coinvolgono insiemi di dati misti.
La normativa sui dati integra il GDPR senza compromettere i diritti e gli obblighi esistenti. La bozza afferma esplicitamente che, nel trattamento dei dati personali, i titolari dei dati devono agire come responsabili del trattamento ai sensi del GDPR, soggetti ai suoi obblighi. I requisiti di trasparenza definiti nella proposta di normative sui dati per i dati provenienti da dispositivi connessi non prevalgono sugli obblighi informativi dei responsabili del trattamento ai sensi del GDPR. Nel contesto dei dispositivi connessi, la Proposta di normativa sui dati rafforza il diritto alla portabilità dei dati, consentendo agli utenti di accedere e trasferire i dati personali e non personali da questi dispositivi. Inoltre, vengono introdotte salvaguardie per il flusso internazionale di dati non personali, senza influire sulle norme che regolano il trasferimento di dati personali a terzi al di fuori dell'UE.
Aspetti chiave:
Le piccole aziende, le microimprese e le medie imprese di recente costituzione o con prodotti interessati di meno di un anno sono esenti dalla normativa sui dati.
Le piccole aziende e le microimprese sono escluse dal campo di applicazione della normativa sui dati. Il Capitolo 2 della Legge non si applica a loro. Le medie imprese sono esenti dal campo di applicazione della normativa sui dati se soddisfano la soglia per questa categoria da meno di un anno. Se il prodotto di un'azienda di medie dimensioni è interessato, è esente dall'ambito di applicazione se il prodotto è stato immesso sul mercato da meno di un anno.
Rendere disponibili i dati archiviati agli utenti e ai destinatari terzi
La normativa sui dati dà agli utenti (consumatori e aziende) il diritto di accedere e condividere con terzi i dati IoT provenienti da prodotti e servizi connessi, con la stessa qualità dell'originale. I dati devono essere resi disponibili in tempo reale, gratuitamente e in un formato leggibile dalla macchina. I titolari dei dati devono informare gli utenti sull'accesso e la condivisione dei dati prima di concludere un contratto. Gli utenti hanno il diritto di conoscere la natura e la portata dei dati generati, se sono generati continuamente in tempo reale, l'intenzione del produttore di utilizzare o divulgare i dati e l'identità del titolare dei dati. Se necessario, gli utenti possono presentare un reclamo presso un'autorità competente in caso di violazione di questi diritti.
I titolari dei dati possono utilizzare i dati per i propri scopi solo se ciò è stato espressamente concordato con l'utente sotto forma di licenza. Gli utenti sono liberi di scegliere il destinatario dei loro dati e possono stipulare accordi di licenza che concedono a terzi il diritto ai loro dati. C'è un'eccezione a questo. Se il destinatario è un "gatekeeper", come definito nella Legge sui 55 Mercati Digitali, non può stipulare una licenza per i dati dell'utente. Un gatekeeper controlla l'accesso al mercato e ha una notevole influenza, come Microsoft, Google, Apple e Facebook. Di conseguenza, i gatekeeper non possono ricevere i dati degli utenti direttamente o indirettamente.
I dati forniti ai destinatari B2B devono essere soggetti a termini contrattuali equi, ragionevoli e non discriminatori. L'utente concede una licenza a terzi e determina quali destinatari possono accedere ai dati. Il proprietario dei dati può richiedere un compenso ragionevole per la condivisione dei dati.
Cambio di cloud
L'utente può rescindere il contratto con il responsabile del trattamento dei dati, ad esempio un fornitore di cloud, entro 30 giorni. Il cloud provider deve garantire il cambio di fornitore di servizi attraverso le interfacce e la conformità agli standard di interoperabilità, mantenendo l'equivalenza funzionale e gli standard di sicurezza. Dopo il cambiamento, tutti i dati e i metadati devono essere cancellati. I fornitori di servizi di elaborazione dati possono addebitare solo una tariffa ridotta per la trasmissione dei dati.
Inoltre, i fornitori devono rivelare se dispongono di infrastrutture informatiche in Paesi terzi e adottare misure per impedire l'accesso governativo non autorizzato ai dati non personali in violazione della legge UE (Art. 27 della normativa sui dati)
Accesso da parte delle autorità pubbliche
Le autorità pubbliche e gli organi dell'UE possono avere accesso ai dati, in particolare in caso di emergenze pubbliche come disastri naturali, pandemie o quando si svolgono compiti di interesse pubblico. L'autorità pubblica può accedere ai dati se non esiste un altro modo tempestivo ed efficiente per ottenerli a condizioni equivalenti, con priorità all'ottenimento di dati dal mercato per compiti di interesse pubblico.
Se un'azienda riceve una richiesta di questo tipo, deve fornire i dati richiesti senza indugio (Art. 18 (1) normativa sui dati), a meno che non disponga dei dati o che la richiesta non sia conforme ai requisiti legali. Se necessario, i dati personali devono essere anonimizzati o pseudonimizzati prima della divulgazione.
Clausole contrattuali eque tra Titolari e Destinatari dei dati
La normativa sui dati mira a prevenire le clausole contrattuali abusive tra i titolari o i detentori dei dati e i destinatari. Il regolamento definisce le clausole abusive come quelle che si discostano in modo significativo dalla buona pratica commerciale e sono contrarie alla buona fede e alla correttezza. Tra gli esempi vi sono le limitazioni di responsabilità per dolo o colpa grave, l'esclusione di rimedi per l'inadempimento, i diritti unilaterali di interpretazione dei termini, l'accesso ai dati in violazione degli interessi legittimi della controparte, l'impedimento all'uso dei dati, il rifiuto di fornire copie dei dati e il preavviso irragionevolmente breve per la risoluzione dei contratti.
La Commissione introdurrà delle clausole contrattuali standard per evitare termini ingiusti. La normativa sui dati non regola l'uso dei dati negli accordi commerciali con i consumatori che desiderano ottenere grandi quantità di dati, e attualmente non esiste una guida su come redigere tali termini commerciali in modo legalmente conforme. Le aziende dovrebbero assicurarsi che tali accordi di utilizzo dei dati siano redatti in modo chiaro e che, come minimo, i consumatori non rinuncino in modo generalizzato a tutti i diritti sui loro dati.
Protezione della proprietà intellettuale
La normativa sui dati non richiede alle aziende di rivelare i loro segreti commerciali (Art. 8 (6) normativa sui Dati). I titolari dei dati possono adottare le misure necessarie per proteggere i loro segreti commerciali prima di divulgare i dati e possono richiedere contrattualmente agli utenti o ai destinatari dei dati di adottare misure aggiuntive per proteggere i dati. In casi eccezionali, i titolari dei dati possono rifiutarsi di divulgare i dati se si prevede un danno economico grave e irreparabile, nel qual caso è richiesta la notifica all'autorità competente per la revisione. Qualsiasi utilizzo dei dati per lo sviluppo di prodotti concorrenti è severamente vietato (Art. 4 comma 4 della normativa sui dati).
Se un destinatario riceve o utilizza i dati del titolare dei dati senza autorizzazione, deve distruggerli insieme ai beni che ne derivano e pagare un risarcimento (Art. 11 comma 2 della normativa sui dati), a meno che non sia stato causato alcun danno o la misura sia sproporzionata.
Lista di controllo per la preparazione per le medie e grandi aziende (vedere anche le FAQ):
- Determinare il tipo e la portata dei dati che possono essere generati quando viene utilizzato un prodotto o un servizio correlato.
- Sviluppare processi per rendere disponibili tutti i dati generati dall'utente, raccolti da prodotti e servizi associati, direttamente attraverso il prodotto, in tempo reale
- Adattare i contratti e i siti web prima dell'attuazione della normativa sui dati , per ottenere dall'utente la licenza di utilizzare i dati per i propri scopi e fornire informazioni su come avviare l'accesso e il trasferimento dei dati a terzi (portabilità dei dati).
- Utilizzare clausole contrattuali modello di base con i destinatari dei dati, non appena disponibili.
- Evitare clausole contrattuali inique (discriminazione nei confronti di singoli destinatari di dati, fornitura esclusiva ad un solo destinatario di dati).
- Stabilire tariffe ragionevoli per la fornitura di dati a terzi e, nel caso di un destinatario che sia una microimpresa, assicurarsi che le tariffe coprano solo ciò che è necessario per raccogliere e fornire i dati.
- Assicurarsi che i dati personali siano divulgati solo agli interessati o che vi sia una base legale ai sensi del GDPR per la divulgazione.
- Garantire la protezione dei segreti aziendali e l'uso di salvaguardie contrattuali e tecniche contro la divulgazione della proprietà intellettuale quando fornisce i dati.
- Fornire dati alle autorità pubbliche solo in casi eccezionali e anonimizzare o pseudonimizzare i dati personali quando possibile.