La Rivoluzione dei Dati in Europa: Comprendere il Data Act

• Autori: Commissione Europea
• Titolo Originale: Frequently Asked Questions Data Act

Immagina un mondo dove i tuoi dispositivi intelligenti – dalla tua auto connessa agli elettrodomestici – generano costantemente dati. A chi appartengono questi dati? Chi può usarli? E come si garantisce che il valore generato da questa mole di informazioni sia distribuito equamente? La risposta dell’Unione Europea a queste domande è il Data Act (Regolamento (UE) 2023/2584), una normativa orizzontale che mira a ridefinire le regole del gioco nell’economia dei dati. Entrerà in piena applicazione il 12 settembre 2025 e rappresenta una pietra miliare per assicurare giustizia e innovazione nel panorama digitale europeo.

Questo documento, presentato come una serie di domande frequenti, funge da guida tecnica per aiutare gli stakeholder a navigare le disposizioni legislative, delineando diritti e obblighi per utenti, detentori di dati, terze parti e persino enti pubblici.

1. Il Cuore del Data Act: Chi, Cosa e Come dei Dati

Al centro del Data Act c’è la volontà di dare agli utenti un controllo maggiore sui dati generati dai loro prodotti connessi e servizi correlati. Ma quali dati rientrano in questo ambito e chi sono gli attori coinvolti?

• Dati in Scopo: Il Regolamento si concentra sui dati grezzi e pre-processati (dati “usabili ma non elaborati”) che un detentore di dati può ottenere senza sforzi sproporzionati. Questi includono informazioni sulle prestazioni di un prodotto connesso, sul suo utilizzo o sull’ambiente circostante, nonché sui dati relativi all’azione dell’utente nell’ambito di un servizio correlato.
  • Fuori Scopo: Restano esclusi i dati altamente arricchiti o derivati, quelli che sono frutto di investimenti significativi o algoritmi proprietari complessi. Sono esclusi anche contenuti testuali, audio o audiovisivi protetti da diritti di proprietà intellettuale.
• Prodotto Connesso: È qualsiasi oggetto in grado di generare, ottenere o raccogliere dati sul suo uso, prestazioni o ambiente e di comunicarli tramite connessione cablata o wireless (es. elettrodomestici smart, veicoli, dispositivi medici).
• Servizio Correlato: Un servizio digitale legato al funzionamento di un prodotto connesso che ne influenza le funzionalità, ad esempio un’app per controllare la temperatura di un frigorifero. Caratterizzato da uno scambio bidirezionale di dati e un impatto sulle funzioni del prodotto.
• Utente: Una persona fisica o giuridica che possiede un prodotto connesso, ne ha diritti di utilizzo temporanei (es. noleggio) o riceve un servizio correlato. L’utente deve essere stabilito nell’UE.
• Detentore di Dati: L’entità che controlla l’accesso ai dati “prontamente disponibili”. Spesso è il produttore, ma può anche essere un fornitore di servizi correlati o un’entità a cui il ruolo è stato esternalizzato. Non dipende da chi ha prodotto hardware o software, ma da chi controlla l’accesso ai dati.
• Interazione con il GDPR: Il Data Act non sostituisce, ma integra il Regolamento Generale sulla Protezione dei Dati (GDPR). Tutte le attività di trattamento dei dati personali ricadono sotto il GDPR. Il Data Act migliora i diritti di portabilità dei dati, estendendoli a tutti i dati (personali e non) generati dall’IoT, indipendentemente dalla base giuridica e, se applicabile, in tempo reale. In caso di conflitto, le norme del GDPR prevalgono.

2. Accedere e Condividere i Dati: Diritti e Responsabilità

Il Data Act garantisce che gli utenti possano accedere e condividere i dati generati dai loro dispositivi. Come un direttore d’orchestra coordina i musicisti, il Regolamento definisce come i detentori di dati devono “eseguire” queste richieste.

• Accesso Diretto o Indiretto: Gli utenti hanno il diritto di accedere ai dati direttamente (se tecnicamente fattibile, ad esempio tramite un’interfaccia digitale sul prodotto) o indirettamente (tramite una richiesta al detentore di dati, come un portale web).
• Requisiti Tecnici e Pratici per i Detentori di Dati: Per facilitare l’accesso, i detentori di dati devono garantire:
  • Formato: Dati forniti in un formato comprensivo, strutturato, comunemente usato e leggibile da macchina (es. XML, JSON, CSV).
  • Qualità: I dati devono essere della stessa qualità di quelli a disposizione del detentore stesso.
  • Tempestività: I dati devono essere resi disponibili “senza indebito ritardo”, e, ove tecnicamente fattibile, in modo continuo e in tempo reale, specialmente per scenari IoT.
  • Convenienza: L’accesso deve essere facile, senza complicazioni irragionevoli o costi sproporzionati.
  • Sicurezza: I dati devono essere resi disponibili in modo sicuro, proteggendoli da accessi o usi non autorizzati.
• Il “Freno a Mano” per i Segreti Commerciali e la Sicurezza: Il Data Act non ignora gli interessi dei detentori di dati. Prevede meccanismi per bilanciare la condivisione con la protezione:
  • Freno ai Segreti Commerciali: Un detentore di dati può sospendere o rifiutare la condivisione di segreti commerciali se non si raggiunge un accordo sulle misure di protezione o se la divulgazione comporterebbe un danno economico grave e irreparabile.
  • Freno alla Sicurezza: La condivisione può essere limitata o rifiutata se vi è il rischio che i requisiti di sicurezza del prodotto vengano compromessi, causando gravi effetti sulla salute, sicurezza delle persone o sicurezza nazionale.
• Monetizzazione dei Dati Non Personali: Gli utenti sono liberi di concordare con i detentori di dati o terze parti la monetizzazione dei propri dati non personali, anche per scopi commerciali.
• Verifica dell’Utente Legittimo: I detentori di dati possono richiedere informazioni per verificare l’identità di un utente, ma solo ciò che è strettamente necessario per dimostrare il diritto di accesso ai dati.

3. La Dinamica delle Relazioni: B2B, B2G e Terze Parti

Il Data Act modella le relazioni tra i diversi attori dell’economia dei dati, promuovendo equità e limitando abusi.

• Terze Parti: Possono usare i dati ricevuti dagli utenti solo per scopi concordati (es. fornitura di un servizio). È espressamente proibito l’uso per sviluppare prodotti concorrenti o la condivisione con i gatekeeper del Digital Markets Act (DMA), i quali non sono considerati “terze parti” per i meccanismi di condivisione obbligatoria.
• Condizioni FRAND e Compensazione: Quando i detentori di dati sono obbligati a condividere i dati, le condizioni devono essere Fair, Reasonable, and Non-Discriminatory (FRAND). Non ci sono limiti superiori o inferiori alla compensazione, che deve basarsi su criteri oggettivi (es. costi sostenuti). Per le PMI e le organizzazioni di ricerca senza scopo di lucro, la compensazione non può includere un margine di profitto.
• Contratti B2B Iniqui: Il Data Act affronta le clausole contrattuali inique nei contratti di condivisione dati business-to-business. Le clausole unilateralmente imposte che si discostano dalle buone pratiche commerciali possono essere considerate inique e non vincolanti. La Commissione proporrà termini contrattuali modello per aiutare le PMI nelle negoziazioni.
• Accesso ai Dati da Parte degli Enti Pubblici (B2G): Gli enti pubblici possono richiedere l’accesso a dati (anche non personali) detenuti da imprese per far fronte a un’esigenza eccezionale legata a un’emergenza pubblica o a compiti di interesse pubblico. Questa possibilità è rigorosamente definita e non dovrebbe minacciare i modelli di business esistenti, poiché in genere i dati dovranno essere acquistati a prezzo di mercato se disponibili.

4. Movimento e Protezione: Switching e Dati Internazionali

La normativa facilita il passaggio tra fornitori di servizi di elaborazione dati e protegge i dati non personali dagli accessi illeciti esterni all’UE.

• Switching tra Servizi di Elaborazione Dati: Il Data Act prevede che i fornitori di servizi di elaborazione dati (IaaS, PaaS, SaaS) debbano ridurre progressivamente i costi di trasferimento dei dati (“switching charges”) fino ad annullarli completamente dal 12 gennaio 2027. Questo per favorire la concorrenza e la scelta del cliente. I fornitori dovranno inoltre rendere disponibili interfacce aperte e formati di dati strutturati e leggibili da macchina per facilitare la migrazione.
• Protezione dei Dati Non Personali in UE da Autorità di Paesi Terzi: L’Articolo 32 mira a proteggere i clienti di servizi cloud che archiviano i loro dati non personali nell’UE da accessi o trasferimenti illeciti da parte di governi non-UE. I fornitori di servizi cloud devono adottare misure tecniche, organizzative e legali adeguate per prevenire tali accessi, verificandone la liceità (es. in base ad accordi internazionali o garanzie procedurali).

5. Un Futuro Interoperabile e Applicato: Prossimi Passi e Enforcement

Per garantire l’efficacia del Data Act, sono previsti meccanismi di standardizzazione e di applicazione.

• Interoperabilità: La Commissione promuoverà lo sviluppo di standard europei e, in via eccezionale, specifiche comuni per l’interoperabilità nei vari settori. Un repository centrale dell’Unione per l’interoperabilità dei servizi di elaborazione dati sarà creato per fungere da punto di riferimento.
• Enforcement: Gli Stati Membri sono responsabili dell’applicazione del Data Act, designando autorità competenti e un “coordinatore dei dati” che fungerà da punto di contatto unico per cittadini e imprese. La Commissione supporterà gli Stati Membri attraverso l’European Data Innovation Board (EDIB), un gruppo di esperti che faciliterà la cooperazione e promuoverà le migliori pratiche. Le sanzioni per le violazioni saranno stabilite dagli Stati Membri, con raccomandazioni per garantire coerenza a livello UE.

Conclusione: Un Nuovo Paesaggio per i Dati

Il Data Act è un ambizioso tentativo di creare un mercato unico dei dati equo e competitivo, dove gli utenti hanno maggiore controllo e le imprese sono incentivate a innovare. Superando l’approccio tradizionale, che vedeva i dati come un sottoprodotto da monopolizzare, il Data Act li eleva a risorsa condivisa, motore di nuovi servizi e opportunità. Per aziende e consumatori, significa maggiore trasparenza, portabilità e una base più solida per la fiducia nell’economia digitale. La sua piena applicazione richiederà un adattamento significativo, ma la promessa è quella di un ecosistema dei dati più dinamico, giusto e prospero per tutti in Europa.