Approvato Data Act, overview sulla strategia di protezione dati UE

Durante la Plenaria del 9 novembre 2023, il Parlamento EU ha definitivamente approvato il Data Act. La nuova norma sarà in vigore dopo la pubblicazione in Gazzetta, e la relativa vacatio legis (ventesimo giorno successivo alla pubblicazione).

Normativa UE sui dati digitali

Con 481 voti favorevoli, 31 contrari e 71 astensioni, il Data Act attende solamente il naturale prosieguo dell’iter di approvazione. Dapprima vi sarà la ratifica del Consiglio e quindi, infine, la pubblicazione del testo sulla Gazzetta Ufficiale dell’Unione.

Il data act è un altro tassello del puzzle UE, circa una strategia di tutela dei dati: spaziando dell’universo privacy, alla cyber-security, quindi alla resilienza e all’identificazione dell’utente digitale. La strategia per i dati si concentra sul mettere le persone al primo posto nello sviluppo della tecnologia e nella difesa e promozione dei valori e dei diritti europei nel mondo digitale. Il riferimento corre alle varie norme (siano esse direttive o regolamenti), in campo digitale, che sono state approvate, nell’ultimo triennio, o che sono ancora in itinere:

• il Regolamento Digital Service Act, che, sinteticamente, stabilisce norme per la responsabilità dei servizi online.
• Il Regolamento Digital Markets Act. Si rivolge alle piattaforme online, come quelle commerciali, ma non solo. Si pensi ai gafam. Con l’obiettivo di promuovere ambiente competitivo per le imprese, trasparente e sicuro per gli utenti.
• Il Regolamento Data Governance Act, promuove il data sharing, per dati personali e non, in ambiente affidabile. Gli ambiti di raccolta informativi sono assolutamente strategici (salute, ambiente, pubblica amministrazione,  per esempio).
• La direttiva NIS2. Aggiornamento abbastanza recente (01.01.2023) della direttiva del 2016. È  un documento incentrato su principi di sicurezza comuni contro metodi noti di attacco. Puntando a standardizzare le condizioni minime da approntare per garantire la sicurezza informatica. Caratteristica è l’obbligo di notifica di ogni incidente impattante sulla fornitura dei servizi offerti.
• Digital Operations Resilience Act, ha l’obiettivo di garantire la sicurezza cyber di tutti gli assett economici e finanziari, rispetto ad attacchi potenziali cui potrebbero incorrere.
• Il Regolamento E-privacy, punta a rafforzare il delicato ambito della tutela della vita privata e della sicurezza nelle comunicazioni elettroniche. Il tema è sempre in eterno divenire, in funzione della mutevolezza della materia (internet of things ma anche voip, mail,  per citare alcuni servizi/prodotti).
• Il Regolamento Cyber resilience Act, applicazione marchio CE su servizi/prodotti,  siano essi hardware o software, così garantendo la filiera logistica a monte del particolare prodotto.
• Artificial Intelligence Act, argomento topic del momento. Obiettivo è il contemperare i diritti fondamentali con l’evoluzione tecnologica, limitando le applicazioni della stessa, tra gli altri, nel caso di controlli alla frontiera (“verifica emozionale”, ndr.), processi automatici di facial recognition e social scoring.
• Interoperable Europe Act, interoperabilità transfrontaliera nell’interazione tra pubbliche amministrazioni e cittadini.
• Il Regolamento eIDAS2, in dirittura di arrivo, come il data act. Dovrebbe essere la concretizzazione dell’identità digitale dell’utente europeo, ottimamente sintetizzato dal wallet che reca, e che permette la conservazione di documenti a lui riferiti. Il wallet dovrebbe avere la  capacità di interagire con i sistemi di identificazione nel frattempo predisposti dai paesi di origine.

Il Data Act

Obiettivo della nuova norma è lo stabilire un quadro armonizzato nel quale gestire i dati, che rappresentano la digitalizzazione delle azioni e degli eventi dei singoli utenti e che dovrebbero pertanto essere accessibili agli utenti stessi. Si fa quindi riferimento a quanto generato dall’utente stesso, in termini di utilizzo e condivisione.

Ovviamente bisogna considerare anche la buzzword del momento: l’utilizzo dei dati da parte dell’intelligenza artificiale. Infatti si rende necessario disporre di una grande mole di dati per l’addestramento di IA, da qui il bisogno di regolamentare al meglio delicata la materia.

Ancora più in particolare. La nuova norma disciplina la condivisione dei dati generati dall’uso di prodotti connessi o di servizi correlati (internet of things e macchinari industriali). Tali informazioni, infatti, vengono definite come “dati interoperabili e di elevata qualità provenienti da diversi settori aumentano la competitività e l’innovazione e garantiscono una crescita economica sostenibile. Gli stessi dati possono essere utilizzati e riutilizzati per una varietà di scopi e in misura illimitata, senza alcuna perdita in termini di qualità o quantità.”

Con il termine “dati del prodotto” si fa riferimento ai dati generati dall’uso di un prodotto connesso e progettati dal fabbricante. Con il termine “dati del servizio correlato” si fa riferimento ai dati che rappresentano la digitalizzazione delle azioni/eventi di utenti, relativi al prodotto connesso e che sono generati durante la fornitura di un servizio correlato da parte del  fornitore.

Il testo consente agli utenti, quindi, di accedere e verificare i dati che generano. L’innovazione comporterà l’attuazione, in sicurezza, della condivisione di informazioni anche tra enti pubblici e privati, si pensi a contesti emergenziali o comunque di pubblica utilità. Al fine di rispondere alle necessità dell’economia digitale e di eliminare gli ostacoli al buon funzionamento del mercato interno dei dati, si delineano le condizioni per passaggi clienti/fornitori, evitando squilibri.

Circa quest’ultimo punto, si richiamano le definizioni di segreto commerciale e di detentore di segreti commerciali, al fine di anticipare trasferimenti illeciti di dati.

Silvestro Marascio