Il Data Act è stato pubblicato nella gazzetta Ufficiale dell’Unione europea; entrerà in vigore a partire dal 12 settembre 2025 e, per quanto attiene all’articolo 3, paragrafo 1, dal 12 settembre 2026.
La conoscenza e l’applicazione del regolamento può, però, consentire alle aziende – anche piccole e medie – di iniziare a orientare le proprie scelte per ottimizzare il proprio business.
Data Act, gli obiettivi del regolamento
Il nuovo regolamento ha come obiettivo la migliore circolazione e valorizzazione dei dati personali e non personali nello spazio economico europeo: una rivoluzione per IoT e AI se, come sosteneva la Commissione europea, i dati inutilizzati corrispondono a una percentuale pari all’ottanta per cento.
Non è, quindi, una questione di adeguarsi per non essere sanzionati, ma di conoscere bene le possibilità offerte per non perdere il treno dei business della circolazione dei dati.
L’oggetto del Data Act
Se la base giuridica del Data Act è sempre l’articolo 114 del Trattato sul funzionamento dell’Unione europea e l’obiettivo dichiarato sono armonizzazione, promozione e completamento delle normative relative al mercato interno dei dati[1], l’oggetto è stabilito dall’articolo 1, paragrafo 1, del Regolamento stesso.
“1. Il presente regolamento stabilisce norme armonizzate per quanto riguarda, tra l’altro:
a) la messa a disposizione dei dati del prodotto connesso e di un servizio correlato all’utente del prodotto connesso o del servizio correlato;
b) la messa a disposizione di dati da parte dei titolari dei dati ai destinatari dei dati;
c) la messa a disposizione di dati da parte dei titolari dei dati agli enti pubblici, alla Commissione, alla Banca centrale europea e a organismi dell’Unione, a fronte di necessità eccezionali per tali dati, per l’esecuzione di un compito specifico svolto nell’interesse pubblico;
d) la facilitazione del passaggio da un servizio di trattamento dei dati all’altro;
e) l’introduzione di garanzie contro l’accesso illecito di terzi ai dati non personali; e
f) lo sviluppo di norme di interoperabilità per i dati a cui accedere, da trasferire e utilizzare”.
Il Data Act, in pratica, fluidificherà la “messa a disposizione” – e, quindi, l’utilizzo – dei dati tra titolari e destinatari, regolando anche la gestione dei dati relativi ai servizi connessi e altre ipotesi di interesse pubblico.
Le finalità dell’intervento normativo sono esplicitate con chiarezza estrema nei Considerando da 1 a 3 del Regolamento.
“(1) Negli ultimi anni, le tecnologie basate sui dati hanno avuto effetti trasformativi su tutti i settori dell’economia. In particolare, la proliferazione di prodotti connessi a internet ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e la società. Dati interoperabili e di elevata qualità provenienti da diversi settori aumentano la competitività e l’innovazione e garantiscono una crescita economica sostenibile. Gli stessi dati possono essere utilizzati e riutilizzati per una varietà di scopi e in misura illimitata, senza alcuna perdita in termini di qualità o quantità.
(2) Gli ostacoli alla condivisione dei dati impediscono un’allocazione ottimale dei dati a vantaggio della società. Tali ostacoli comprendono la mancanza di incentivi per i titolari dei dati a stipulare volontariamente accordi di condivisione dei dati, l’incertezza sui diritti e gli obblighi in relazione ai dati, i costi per la conclusione di contratti e l’implementazione di interfacce tecniche, l’elevato livello di frammentazione delle informazioni in silos di dati, la cattiva gestione dei metadati, l’assenza di norme per l’interoperabilità semantica e tecnica, le strozzature che impediscono l’accesso ai dati, la mancanza di prassi comuni di condivisione dei dati e l’abuso degli squilibri contrattuali per quanto riguarda l’accesso ai dati e il loro uso.
(3) Nei settori caratterizzati dalla presenza di microimprese, piccole imprese e medie imprese di cui all’articolo 2 dell’allegato della raccomandazione 2003/361/CE della Commissione(PMI) vi è spesso una mancanza di capacità e competenze digitali per raccogliere, analizzare e utilizzare i dati, e l’accesso è frequentemente limitato nei casi in cui sono detenuti da un unico operatore o a causa della mancanza di interoperabilità tra i dati, tra i servizi di dati o a livello transfrontaliero”.
Detto altrimenti, o l’Unione agiva rapidamente, regolando un settore vitale ed economicamente iper-redditizio, o il rischio per le imprese europee di perdere il treno del riutilizzo dei dati per finalità economiche rischiava di diventare una realtà concreta e – recessiva.
Nuovi obblighi e nuove opportunità
L’articolo 3, paragrafo 1, che entrerà in vigore il 12 settembre 2026, prevede un nuovo obbligo per produttori di beni connessi e fornitori di servizi correlati: un’impostazione predefinita per consentire ai clienti di estrapolare i dati derivanti dall’utilizzo del servizio: “1. I prodotti connessi sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti metadati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto”.
Il Capo II, di cui fa parte l’articolo 3, però, non si applicherà alle piccole e medie imprese (vedasi l’articolo 7), di modo che il tessuto delle PMI italiane non riceverà un impatto significativo dalle nuove norme di compliance.
Ciò non toglie, tuttavia, che le nostre Pmi possano aiutare il cliente finale a sfruttare i dati e i metadati generati dall’utilizzo di un prodotto connesso o di un servizio correlato.
IoT, office automation, servizi di sicurezza informatica e servizi IT in generale potrebbero essere i settori in prima linea su questi fronti.
L’obbligo di informativa
All’obbligo di impostazioni predefinite, corrisponde, specularmente, un obbligo informativo verso l’utente, previsto dall’articolo 3, paragrafo 2: “2. Prima di concludere un contratto di acquisto, locazione o noleggio di un prodotto connesso, il venditore, il locatore o il noleggiante, che può essere il fabbricante, fornisce all’utente almeno le informazioni seguenti, in modo chiaro e comprensibile:
a) il tipo, il formato e il volume stimato di dati del prodotto che il prodotto connesso può generare;
b) se il prodotto connesso è in grado di generare dati in modo continuo e in tempo reale;
c) se il prodotto connesso è in grado di archiviare dati sul dispositivo o su un server remoto, compresa, se del caso, la durata prevista della conservazione;
d) il modo in cui l’utente può accedere a tali dati, reperirli o, se del caso, cancellarli, compresi i mezzi tecnici per farlo, nonché le condizioni d’uso e la qualità del servizio”.
E’ evidente che anche in questo caso i produttori di beni connessi o i soggetti che forniscono servizi correlati dovranno fare tutte le opportune valutazioni per gestire al meglio il nuovo obbligo di trasparenza.
Conclusioni
Rischi e opportunità: da un lato nuovi obblighi – che non si esauriscono certo nell’articolo 3 – ma, dall’altro, nuove opportunità di business per l’impiego dei dati degli utenti, la cui libertà di utilizzo dei dati può determinare anche l’apertura di nuovi mercati.
Le aziende – anche le PMI che non avranno l’obbligo di adeguarsi – dovrebbero effettuare studi prospettici per capire come sfruttare il trend e come potersi inserire in un mercato – quello dei dati – che potrebbe rivelarsi estremamente remunerativo anche per le PMI.
Ai professionisti il compito di sensibilizzare le aziende, anche spiegando le opportunità di business connesse alla nuova normativa.
Note
[1] Se ne era già parlato anche qui: https://www.agendadigitale.eu/sicurezza/data-act-proteggere-i-dati-ma-trarne-anche-vantaggio-gli-obiettivi-ue/?utm_campaign=agenda_nl_20231209&utm_source=agenda_nl_20231209&utm_medium=email&sfdcid=*|SFDCID|*
