data protection

Introduzione all’UE Data Act: Rivoluzione nel mercato dei dati non personali

Introduzione all’UE Data Act: Rivoluzione nel mercato dei dati non personali: Innovazione e business nel mercato IoT

Lo scorso 11 gennaio 2024, è entrato in vigore il tanto atteso ed annunciato Regolamento UE, noto come “Data Act” (Regolamento (UE) 2023/2854). La sua applicazione è prevista a partire dal 12 settembre 2025 per la maggior parte delle disposizioni e dal 12 settembre 2026 per le disposizioni specifiche legate alla progettazione di nuovi prodotti connessi e servizi correlati. Questo ampio lasso temporale è volto - come spesso accade per i Regolamenti UE con forti impatti sull’organizzazione aziendale (vd. ad esempio il GDPR) - a permettere alle imprese di adattare le proprie procedure e modelli di business alle novità e agli stringenti requisiti dettati dalla normativa.

Per dare un primo inquadramento generale, segnaliamo che il Data Act:

  • Si inserisce nella "Strategia Europea per i Dati" del 2020, che mira alla creazione di un mercato unico consentirà ai dati di circolare liberamente all'interno dell'UE e in tutti i settori a vantaggio delle imprese, dei ricercatori e delle pubbliche amministrazioni

  • segue la pubblicazione - e successiva efficacia dal settembre 2023 - del “Data Governance Act” che a sua volta mira a stabilire un quadro normativo per l'abilitazione, la condivisione e l'uso dei dati all'interno dell'Unione Europea, promuovendo l'accesso ai dati e il loro riutilizzo, nel rispetto delle regole di protezione dei dati e della privacy;

  • persegue l’obiettivo di rendere possibile, promuovere e regolamentare la condivisione e la commercializzazione dei dati non personali generati da dispositivi Internet of Things (IoT) tra imprese e con enti governativi.

Vista la natura e il contesto in cui si inserisce, il Data Act andrà applicato tenendo in debita considerazione tutte le normative UE alla stessa connesse, in materia di privacy (GDPR), di commercio elettronico e servizi digital (Digital Service e Market Acts) e di Intelligenza Artificiale (AI Act, di prossima pubblicazione).

La portata innovativa della normativa può essere già compresa con la lettura di alcune specifiche previsioni della normativa in esame:

  • Articolo 3: impone che i prodotti IoT siano progettati per garantire agli utenti finali l'accesso ai dati generati in modo semplice, sicuro e gratuito. Le imprese dovranno incorporare nelle loro soluzioni tecniche adeguati meccanismi di accesso ai dati, assicurando che questi siano forniti in formati standardizzati e facilmente utilizzabili. Le imprese devono quindi rivedere il design dei loro prodotti per assicurare conformità ai principi di accessibilità e trasparenza.
  • Articolo 4.3: impone ai fornitori di servizi correlati ai prodotti IoT di informare gli utenti sulla natura dei dati generati e sulle modalità di accesso e condivisione. Si richiede quindi un approccio comunicativo trasparente, dove le imprese dovranno elaborare e condividere documentazione chiara e comprensibile su come gli utenti possono recuperare e utilizzare i loro dati, stimolando così una maggiore fiducia e collaborazione con gli utenti finali.
  • Articolo 8.1: impone ai soggetti che, per contratto o per obbligo normativo, dovranno mettere i dati a disposizione di soggetti terzi, di farlo a condizioni eque, ragionevoli, non discriminatorie e in modo trasparente, promuovendo una competizione leale e prevenendo pratiche monopolistiche o restrittive nel mercato dei dati.
  • Articolo 9.1: precisa che il compenso concordato tra il titolare e il destinatario dei dati per la messa a disposizione dei dati nelle relazioni tra imprese dovrà essere non-discriminatorio e ragionevole e che potrà includere un margine. I soggetti convolti nelle transazioni basate sui dati devono quindi negoziare e stabilire accordi equi che riflettano il valore dei dati condivisi, garantendo una distribuzione equa dei benefici derivanti dalla loro commercializzazione.

Queste previsioni ci fanno comprendere che la normativa non solo stabilisce obblighi ma apre anche nuove vie per la monetizzazione dei dati e l'innovazione. La condivisione dei dati secondo principi di equità e trasparenza promuoverà un ecosistema digitale più collaborativo e competitivo, dove le aziende potranno sviluppare nuovi servizi o migliorare quelli esistenti grazie all'accesso a dati precedentemente inaccessibili. Lo sviluppo del business potrà anche essere incentivato dai c.d. "intermediari dei dati" (figura già prevista dal Data Governance Act) che svolgeranno un’attività economica volta alla creazione di rapporti commerciali basati sulla condivisione dei dati tra utenti e terzi.

In questo ambito, sono già disponibili alcuni studi sull’applicazione operativa del data Act come lo "Study for developing criteria for assessing ‘reasonable compensation’ in the case of statutory data access right" preparato per la Commissione Europea per comprendere meglio i presupposti sulla base dei quali sarà possibile stabilire l’equità del compenso derivante dalla compravendita dei dati. Attraverso l'analisi di casi studio e l'applicazione di modelli economici, propone un approccio per stabilire compensazioni che riflettano il vero valore dei dati condivisi, promuovendo un ambiente di mercato equilibrato che incentivi la collaborazione e l'innovazione.

Ulteriore aspetto da segnalare è che il Data Act stabilisce requisiti minimi per gli accordi tra clienti e fornitori di servizi di elaborazione dati, come i servizi cloud, facilitando il passaggio dei clienti ad altri fornitori e prevedendo l'eliminazione graduale delle tariffe di uscita dei dati e imponendo di adottare misure trasparenti riguardo alla giurisdizione e alle strategie per prevenire accessi governativi non autorizzati ai dati non personali, evitando conflitti con le leggi dell'UE o degli Stati membri.

In conclusione

Il Data Act rappresenta un passo significativo verso la realizzazione della visione europea di un mercato unico digitale aperto, sicuro e competitivo. Facilitando la condivisione e la commercializzazione dei dati non personali, introduce nuove regole del gioco per produttori, consumatori e intermediari dei dati, stimolando innovazione e creando nuove opportunità di business. Le aziende sono chiamate ad adattarsi a questi cambiamenti, preparandosi a navigare in un paesaggio regolatorio evoluto che pone al centro la valorizzazione dei dati in modo etico e sostenibile. Con l'avvicinarsi delle date di applicazione, è fondamentale che tutti gli attori coinvolti si impegnino attivamente per comprenderne le implicazioni e sfruttare appieno le potenzialità offerte dal Data Act.

Per approfondimenti, Avv. David Ottolenghi, Senior Counsel, Clovers

“Immuni”: funzioni e criticità dell’ app di contact tracing prescelta dalle autorità.

Andrea Antognini - Of Counsel

image-asset.jpeg

A seguito dell’invito che il Ministero dell’Innovazione Tecnologica ha rivolto a tutte le aziende operanti nel settore digitale italiano, sono stati più di 300 i progetti presentati per monitorare la diffusione del Covid-19 durante la fase di allentamento del lockdown.

L’applicazione di contact tracing prescelta dal Ministero e dalla task force guidata da Vittorio Colao si chiama “Immuni” ed è il risultato della partnership tra la società Bending Spoons, il Centro Medico Santagostino e la società di e-marketing Jakala.

Come funziona “Immuni”

Immuni, app con codice open source che sarà scaricabile sulle principali piattaforme Android e Apple, presenta due principali funzionalità: il diario clinico e il sistema di contact tracing.

Diario clinico

Ogni utente potrà compilare quotidianamente un questionario in cui inserire tutti i dati rilevanti circa il proprio stato di salute (età, malattie pregresse, assunzione di farmaci) e segnalare l’insorgenza dei sintomi correlati all’infezione da Covid-19.

Questa funzionalità consentirà agli esperti di lavorare sui dati aggregati di un campione significativo della popolazione italiana, così da poter individuare e gestire con tempestività eventuali nuovi focolai epidemici.

Contact Tracing

Il sistema di contact tracing di “Immuni” si basa sull’utilizzo della tecnologia Bluetooth, che consente di rilevare la vicinanza tra due smartphone (sui i quali sia stata installata l’app) e di identificare tutte le persone con cui un soggetto positivo al Covid-19 sia venuto a contatto nei precedenti 14 giorni.

Una volta scaricata, l’applicazione genera automaticamente un codice identificativo che può essere rilevato da altri device situati entro la distanza di un metro. I codici identificativi di tutti i dispositivi con cui un soggetto è entrato in contatto vengono memorizzati sullo smartphone di ogni utente.

Nel caso in cui un soggetto risultasse positivo al virus - e solo, sembrerebbe, previo suo consenso - si potrà procedere al trattamento dei dati conservati nel suo cellulare, in modo da individuare coloro che sono potenzialmente incorsi nel rischio di contagio nei giorni precedenti.

A differenza delle app di tracciamento rilasciate in Cina, Singapore e Corea del Sud, “Immuni” non traccerà quindi gli spostamenti dei suoi utenti con l’utilizzo del sistema di localizzazione GPS, ma utilizzerà unicamente la tecnologia Bluetooth, che consente il rispetto del principio di minimizzazione dei dati trattati (raccogliendo solo le informazioni strettamente necessarie a tracciare i potenziali contatti tra soggetti e non tutti i loro spostamenti) e che risulta essere più efficace nell’individuazione delle catene di contagio.

Salute vs Privacy: le linee guida

Nelle scorse settimane si sono accesi numerosi dibattiti sulla necessità di trovare un equilibrio tra l’irrinunciabile diritto alla salute e il diritto alla privacy individuale.

A questo proposito, sia il Garante Privacy italiano che l’European Data Protection Board (il comitato formato dalle autorità privacy europee) sono intervenuti per fornire delle linee guida al fine di conciliare questi diritti particolarmente meritevoli di tutela nel contesto dell’emergenza sanitaria globale.

Secondo quanto affermato dalle autorità, qualsiasi applicazione per il monitoraggio e il contenimento della pandemia dovrebbe (i) basarsi sul consenso del singolo utilizzatore, (ii) trattare unicamente dati anonimizzati e (iii) prevedere che tali dati siano conservati sul dispositivo e non su server centralizzati.

Volontarietà, anonimizzazione e conservazione dei dati

Nel caso di “Immuni”, ogni cittadino sarà libero di scegliere se scaricare e attivare l’applicazione, il cui utilizzo avverrà quindi solo su base volontaria.

Tuttavia, sulla base delle poche informazioni ad oggi disponibili, non vi è altrettanta certezza circa la sussistenza degli altri due requisiti, in particolare circa l’effettiva e irreversibile anonimizzazione dei dati.

Il codice ID generato ogni volta che un utente scarica l’applicazione non può essere infatti considerato come “dato anonimo” nel senso giuridico del termine, ma è piuttosto un dato “pseudonimizzato”, cioè un dato che può essere aggregato ad altri per risalire all’identità di una persona specifica.

D’altra parte, l’applicazione non potrebbe ricostruire la rete di contagi qualora dovesse utilizzare dati effettivamente anonimizzati, che non consentirebbero quindi di risalire in alcun modo all’identità dei singoli soggetti.

La distinzione assume rilevanza dal punto di vista giuridico perché i dati trattati nella lotta alla pandemia e (irreversibilmente) anonimi non sarebbero più dati personali e, quindi, non oggetto di tutela ai sensi del GDPR. Al contrario, se i dati sono “pseudonomizzati”  trovano applicazione anche le più rigorose norme sul trattamento di dati sensibili.

Ulteriori profili che sarà opportuno approfondire al momento del rilascio dell’app riguardano le modalità di conservazione dei dati raccolti, l’ubicazione e la gestione di eventuali server centralizzati sui quali le informazioni saranno raccolte o transiteranno, i soggetti a cui i dati saranno comunicati i dati e se e quando avverrà la cancellazione di tali dati.

Da ultimo, per quanto attiene alla concreta efficacia dell’app, vale sottolineare che la raccolta e il trattamento dei dati potranno divenire significativi da un punto di vista operativo solo nel caso in cui la quantità di utenti che scaricano e utilizzano la app raggiunga una percentuale estremamente consistente della popolazione (attualmente stimata in circa il 60% dei cittadini italiani). Inoltre, l’ausilio prestato dall’app si basa sull’ineludibile esigenza di individuare – nel mondo reale e non digitale – i casi di positività al virus tramite test diagnostici così da poter da tracciare e tempestivamente interrompere le catene di possibili contagi.

Siete pronti per l'entrata in vigore del nuovo regolamento Privacy?

Il Garante della Privacy ha elaborato una Guida per l’applicazione del Regolamento Europeo 2016/679 sulla protezione dei dati personali, adottato dal Parlamento Europeo lo scorso aprile 2016, per permettere alle persone, alle imprese e ai soggetti pubblici di conoscere e correttamente applicare le nuove disposizioni in materia.

Il Regolamento, che diventerà pienamente efficace dal 25 maggio 2018, sarà operativo in tutti i Paesi UE, senza bisogno di alcuna procedura di recepimento e sostituirà l’attuale Codice della Privacy, adottato invece con il decreto legislativo 196 del 2003 in sede di attuazione di una precedente direttiva comunitaria.
Entro un anno, dunque, le normative nazionali in tema di privacy e protezione dei dati di tutti i Paesi membri dell’Unione Europea saranno uniformate in un’unica disciplina.

Il sistema predisposto dall’Unione Europea è costituito da due parti: un regolamento che riguarda le persone fisiche, le imprese e le amministrazioni e una direttiva più specifica relativa all’utilizzo dei dati personali nell’ambito della sicurezza e dell’attività di polizia e giustizia. Questa seconda parte, dovrà essere recepita dai singoli ordinamenti nazionali con una normativa di attuazione. 

La Guida del Garante affronta i temi della prima parte della normativa, dividendoli in sei gruppi (fondamenti di liceità del trattamento; informativa; diritti degli interessati; titolare, responsabile, incaricato del trattamento; approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; trasferimenti internazionali di dati) e affrontando per ognuno le relative novità e le eventuali problematiche.

In particolare, tra le novità introdotte dal regolamento ve ne sono alcune a vantaggio del titolare di dati. Innanzitutto, l’informativa eventualmente sottoscritta dal soggetto interessato, dovrà essere chiara, concisa, trasparente, intellegibile e facilmente accessibile. Inoltre, il titolare di dati potrà, all’occorrenza, decidere di trasferirli da un soggetto ad un altro, con la possibilità, quindi di cambiare gestore senza perdere i dati forniti. Soltanto per i paesi extraeuropei o per organizzazioni internazionali che non abbiano un’adeguata politica sulla privacy, sarà necessario un esplicito consenso al trasferimento dei dati personali. 
D’altro canto, il regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. 
Infine, un’altra importante novità riguarda l’introduzione della figura del Data Protection Officer, un professionista addetto alla gestione e al controllo delle politiche di privacy di società ed enti. 

Entro un anno, dunque, scopriremo gli effetti apportati da questa riforma e vedremo come cambierà la gestione dei dati personali in tutta l’Unione Europea.