normativa

Data Act, cosa è e perchè è importante per le startup

Il Data Act dell’Unione Europea entra in vigore in questi giorni e sarà pienamente applicabile entro settembre 2025, ecco cosa serve sapere

Pubblicato il 15 Gen 2024

Tra le normative UE in lavorazione già da qualche anno, che confermano la posizione dell’Unione Europea di leader globale nell’ecosistema innovativo in campo legislativo, c’è il Data Act e la sua entrata in vigore.

L’iter del Data Act

Il 28 giugno 2023 è stato raggiunto un accordo politico tra il Parlamento europeo e il Consiglio dell’UE sul Data Act. La legge è stata poi soggetta ad approvazione a novembre dal Parlamento e a dicembre pubblicata nella Gazzetta Ufficiale dell’Unione europea. Dopo 20 giorni dalla sua pubblicazione, è finalmente entrata in vigore questa settimana. Diventerà applicabile dopo 20 mesi, ovvero a decorrere dal 12 settembre 2025.

WEBINAR
6 Marzo 2024 - 12:00
Gestione di incidenti e rischi IT: scopri come essere conforme ai nuovi requisiti DORA
Cybersecurity
Security Risk Management

Il contesto

Nell’era del Digital of thinking una delle sfide che anche le aziende si trovano di fronte riguarda proprio la mole di dati, personali (es. anche sanitari) e commerciali, che devono gestire. Oramai viviamo in un mondo iperconnesso dove i nostri dati, anche per via dell’[ab]uso dei social network, sono in possesso di diverse aziende, dalle Big tech alla Pubblica amministrazione – e tra loro lo scambio è arduo se non impossibile.

La loro produzione è poi sempre più esponenziale e uno dei problemi sta nella loro gestione. In passato ci sono state diverse azioni da parte dei governi e dell’Ue che hanno cercato di tutelare l’utente, come il consumatore, all’uso illecito dei propri dati.  In merito l’UE da qualche anno ha già messo in campo il DMA e DSA. In questo articolo trovate un approfondimento sul quadro normativo europeo e la situazione attuale.

Se da un lato tale mole di dati rappresenta un patrimonio da gestire, dall’altro il suo facile accesso grazie al Data Act consentirebbe un potenziale di innovazione e competitività.

Ecco che il Data Act mira proprio ad un maggior controllo della gestione dei dati da parte delle imprese e alla loro condivisione, rafforzando il diritto di portabilità, ma anche alle tutele e garanzie per gli utenti.

Cosa prevede

Il Data Act stabilisce alcuni requisiti obbligatori di condivisione dei dati per i processi industriali. È quindi una legge che punta alla trasparenza e condivisione di questi attraverso l’obbligo alle aziende in favore di altre imprese, governi e utenti: secondo la Commissione europea l’80% dei dati industriali raccolti non viene mai utilizzato.

La legge consentirà agli utenti di accedere e verificare i dati generati dall’uso di prodotti connessi o di servizi correlati (es. Internet of Things, macchinari industriali).

Il Data Act servirà a tutelare i segreti commerciali e la prevenzione dei trasferimenti illeciti di dati per le aziende, al fine di prevenirli, come la fuga di dati verso Paesi con normative più deboli sulla loro protezione o come il loro accesso da parte dei competitor e il loro sfruttamento per decodificare servizi o dispositivi dei rivali.

La nuova legge rende poi più semplice la possibilità di cambiare un provider (fornitore) di servizi cloud (es. app in cloud, infrastrutture o società di rete) per passare a un altro. E introduce garanzie contro i trasferimenti internazionali illegali di dati da parte di queste società.

Aspira a rendere più economici i servizi post-vendita e la riparazione dei relativi dispositivi.

Inoltre il Data Act, di fronte a emergenze, come calamità naturali (es. inondazioni e incendi), garantisce che la Pubblica Amministrazione potrà accedere e utilizzare i dati in possesso al settore privato.

Infine la legge contribuirebbe allo sviluppo di nuovi servizi, in particolare nel settore dell’intelligenza artificiale, dove sono necessarie enormi quantità di dati per l’addestramento degli algoritmi.

Cosa cambia per le startup

Per le startup il Data Act comporta sia opportunità sia sfide: se da un lato le startup potranno accedere a una fonte di dati maggiore, soprattutto dai competitor, corporate o multinazionali, dall’altro avranno di certo difficoltà nel rispettare ed integrare le nuove norme sulla protezione dei dati ai propri servizi.

Finora tale tipo di scambi già avviene tramite un accordo di riservatezza (NDA), laddove entrambe le parti devono comunque avere la Titolarità dei dati in scambio e soprattutto rispettare sempre le clausole del GDPR. Ma con il Data Act il nuovo accordo dovrà essere conforme alle sue clausole, le quali garantiscono che gli utenti abbiano il controllo dei propri dati: e nello specifico gli utenti potrebbero non consentire alla startup di trasferire i propri dati a un’altra impresa.

Conclusioni

Grazie al Data Act, produttori e fornitori di servizi saranno obbligati a consentire l’accesso ai dati trattati. In sostanza, il controllo sui dati generati dovrà essere nelle mani degli utenti finali che potranno condividerli a terzi. Finora, questa possibilità era concessa solo al produttore, impedendo al consumatore di rivolgersi ad un servizio di riparazione più economico.

L’obiettivo del Data Act è quindi di favorire una distribuzione più democratica del valore prodotto dall’utilizzo dei dati in una economia sempre più digitale.

Come per il DMA (es. le sanzioni salate in caso di violazione delle regole), anche per il Data Act ci sono preoccupazioni che riguardano le imprese, come quelle straniere, per conformarsi a tali leggi: il rischio quindi non solo di un rallentamento dell’economia, ma anche dell’innovazione.

il Data Act potrebbe poi creare conflitti con un altro regolamento simile per alcuni fini e già in vigore da anni: il Regolamento generale sulla protezione dei dati (GDPR). Inoltre si va ad aggiungere a un pacchetto di normative sempre più complesso e articolato. Preoccupano poi le garanzie effettivamente attuabili per proteggere i segreti commerciali durante le richieste di accesso ai dati. Anche lato utenti in ambito sanitario, come per le potenziali “implicazioni sulla sicurezza del paziente o del dispositivo” se l’obbligo di condividere i dati dovesse intaccare i requisiti imposti ai dispositivi medici da altre normative UE. Gli utenti potrebbero non essere in grado di interpretare i dati grezzi, aumentando il rischio di diagnosi e decisioni terapeutiche errate.

La comunicazione alle organizzazioni è fondamentale, e quello che servirebbe nel breve termine sono linee guide facili da far adottare dalle aziende e nell’immediato. (Foto di Guillaume Périgois su Unsplash )

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articolo 1 di 4