GDPR

Introduzione all’UE Data Act: Rivoluzione nel mercato dei dati non personali

Introduzione all’UE Data Act: Rivoluzione nel mercato dei dati non personali: Innovazione e business nel mercato IoT

Lo scorso 11 gennaio 2024, è entrato in vigore il tanto atteso ed annunciato Regolamento UE, noto come “Data Act” (Regolamento (UE) 2023/2854). La sua applicazione è prevista a partire dal 12 settembre 2025 per la maggior parte delle disposizioni e dal 12 settembre 2026 per le disposizioni specifiche legate alla progettazione di nuovi prodotti connessi e servizi correlati. Questo ampio lasso temporale è volto - come spesso accade per i Regolamenti UE con forti impatti sull’organizzazione aziendale (vd. ad esempio il GDPR) - a permettere alle imprese di adattare le proprie procedure e modelli di business alle novità e agli stringenti requisiti dettati dalla normativa.

Per dare un primo inquadramento generale, segnaliamo che il Data Act:

  • Si inserisce nella "Strategia Europea per i Dati" del 2020, che mira alla creazione di un mercato unico consentirà ai dati di circolare liberamente all'interno dell'UE e in tutti i settori a vantaggio delle imprese, dei ricercatori e delle pubbliche amministrazioni

  • segue la pubblicazione - e successiva efficacia dal settembre 2023 - del “Data Governance Act” che a sua volta mira a stabilire un quadro normativo per l'abilitazione, la condivisione e l'uso dei dati all'interno dell'Unione Europea, promuovendo l'accesso ai dati e il loro riutilizzo, nel rispetto delle regole di protezione dei dati e della privacy;

  • persegue l’obiettivo di rendere possibile, promuovere e regolamentare la condivisione e la commercializzazione dei dati non personali generati da dispositivi Internet of Things (IoT) tra imprese e con enti governativi.

Vista la natura e il contesto in cui si inserisce, il Data Act andrà applicato tenendo in debita considerazione tutte le normative UE alla stessa connesse, in materia di privacy (GDPR), di commercio elettronico e servizi digital (Digital Service e Market Acts) e di Intelligenza Artificiale (AI Act, di prossima pubblicazione).

La portata innovativa della normativa può essere già compresa con la lettura di alcune specifiche previsioni della normativa in esame:

  • Articolo 3: impone che i prodotti IoT siano progettati per garantire agli utenti finali l'accesso ai dati generati in modo semplice, sicuro e gratuito. Le imprese dovranno incorporare nelle loro soluzioni tecniche adeguati meccanismi di accesso ai dati, assicurando che questi siano forniti in formati standardizzati e facilmente utilizzabili. Le imprese devono quindi rivedere il design dei loro prodotti per assicurare conformità ai principi di accessibilità e trasparenza.
  • Articolo 4.3: impone ai fornitori di servizi correlati ai prodotti IoT di informare gli utenti sulla natura dei dati generati e sulle modalità di accesso e condivisione. Si richiede quindi un approccio comunicativo trasparente, dove le imprese dovranno elaborare e condividere documentazione chiara e comprensibile su come gli utenti possono recuperare e utilizzare i loro dati, stimolando così una maggiore fiducia e collaborazione con gli utenti finali.
  • Articolo 8.1: impone ai soggetti che, per contratto o per obbligo normativo, dovranno mettere i dati a disposizione di soggetti terzi, di farlo a condizioni eque, ragionevoli, non discriminatorie e in modo trasparente, promuovendo una competizione leale e prevenendo pratiche monopolistiche o restrittive nel mercato dei dati.
  • Articolo 9.1: precisa che il compenso concordato tra il titolare e il destinatario dei dati per la messa a disposizione dei dati nelle relazioni tra imprese dovrà essere non-discriminatorio e ragionevole e che potrà includere un margine. I soggetti convolti nelle transazioni basate sui dati devono quindi negoziare e stabilire accordi equi che riflettano il valore dei dati condivisi, garantendo una distribuzione equa dei benefici derivanti dalla loro commercializzazione.

Queste previsioni ci fanno comprendere che la normativa non solo stabilisce obblighi ma apre anche nuove vie per la monetizzazione dei dati e l'innovazione. La condivisione dei dati secondo principi di equità e trasparenza promuoverà un ecosistema digitale più collaborativo e competitivo, dove le aziende potranno sviluppare nuovi servizi o migliorare quelli esistenti grazie all'accesso a dati precedentemente inaccessibili. Lo sviluppo del business potrà anche essere incentivato dai c.d. "intermediari dei dati" (figura già prevista dal Data Governance Act) che svolgeranno un’attività economica volta alla creazione di rapporti commerciali basati sulla condivisione dei dati tra utenti e terzi.

In questo ambito, sono già disponibili alcuni studi sull’applicazione operativa del data Act come lo "Study for developing criteria for assessing ‘reasonable compensation’ in the case of statutory data access right" preparato per la Commissione Europea per comprendere meglio i presupposti sulla base dei quali sarà possibile stabilire l’equità del compenso derivante dalla compravendita dei dati. Attraverso l'analisi di casi studio e l'applicazione di modelli economici, propone un approccio per stabilire compensazioni che riflettano il vero valore dei dati condivisi, promuovendo un ambiente di mercato equilibrato che incentivi la collaborazione e l'innovazione.

Ulteriore aspetto da segnalare è che il Data Act stabilisce requisiti minimi per gli accordi tra clienti e fornitori di servizi di elaborazione dati, come i servizi cloud, facilitando il passaggio dei clienti ad altri fornitori e prevedendo l'eliminazione graduale delle tariffe di uscita dei dati e imponendo di adottare misure trasparenti riguardo alla giurisdizione e alle strategie per prevenire accessi governativi non autorizzati ai dati non personali, evitando conflitti con le leggi dell'UE o degli Stati membri.

In conclusione

Il Data Act rappresenta un passo significativo verso la realizzazione della visione europea di un mercato unico digitale aperto, sicuro e competitivo. Facilitando la condivisione e la commercializzazione dei dati non personali, introduce nuove regole del gioco per produttori, consumatori e intermediari dei dati, stimolando innovazione e creando nuove opportunità di business. Le aziende sono chiamate ad adattarsi a questi cambiamenti, preparandosi a navigare in un paesaggio regolatorio evoluto che pone al centro la valorizzazione dei dati in modo etico e sostenibile. Con l'avvicinarsi delle date di applicazione, è fondamentale che tutti gli attori coinvolti si impegnino attivamente per comprenderne le implicazioni e sfruttare appieno le potenzialità offerte dal Data Act.

Per approfondimenti, Avv. David Ottolenghi, Senior Counsel, Clovers

La privacy by default in pratica secondo il Garante spagnolo.

Andrea Antognini - Of Counsel

markus-spiske-iar-afB0QQw-unsplash.jpg

Il GDPR è un testo, salvo eccezioni, identico in tutta Europa ed il Garante spagnolo ha detto la sua sul principio generale di protezione dei dati by default, un concetto in astratto chiaro ma difficile da declinare in concreto:

il titolare del trattamento (l’azienda) deve trattare, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento. Esattamente l’opposto di quando, nel form online, vedete che la casella per la ricezione della newsletter è “preflaggata”.

La guida del Garante spagnolo [https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf] offre una visione pratica per aiutare ad applicare questo principio al trattamento dei dati in conformità con le disposizioni del GDPR e le linee guida adottate dal Comitato europeo per la protezione dei dati.

I destinatari del presente documento sono i titolari del trattamento dei dati, i DPO ma anche gli sviluppatori o i fornitori, nella misura in cui forniscono prodotti e servizi ai titolari del trattamento e cercano di garantire che questi siano conformi ai requisiti del GDPR.

Il concetto di privacy per default impone la necessità di segmentare l'utilizzo dell'insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un'operazione di trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti in cui è strettamente necessario.

Il trattamento dovrà essere minimamente intrusivo (quantità minima di dati personali, estensione minima del trattamento, periodo minimo di conservazione e accessibilità minima ai dati personali) e senza necessità di intervento del soggetto i cui dati sono trattati.

L'esecuzione di queste misure si concentra su strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dall’azienda e anche dall'utente.

Infine, la limitazione garantisce che, per default, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate, a quei parametri che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella guida si trova anche un documento operativo e modificabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati di default in lingua spagnola e comprende anche un capitolo sulla documentazione e la revisione contabile, necessarie per dimostrare la conformità alla norma.

Il principio di privacy by default non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, ma si tratta di misure e garanzie che devono essere stabilite ogni volta che vi sia un trattamento di dati personali.

GDPR. TUTTO QUELLO CHE C'E' DA SAPERE.

GDPR-cropped.jpg

Imprese ed enti pubblici sono preparati ad accogliere il nuovo regolamento sulla protezione dei dati personali?

Come forse molti sanno a partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

In estrema sintesi il GDPR:

  • introduce regole più chiare su informativa e consenso;
  • definisce i limiti al trattamento automatizzato dei dati personali;
  • pone le basi per l’esercizio di nuovi diritti;
  • stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • fissa norme rigorose per i casi di data breach.

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Lo Sportello Unico

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamentoa un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.

Data breach

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR. Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;

Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica;

L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  • Riferisce direttamente al vertice,
  • E’indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  • Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.