Digitale

Quadro normativo UE: a che punto siamo

Ecco quali sono gli impianti normativi dell’Unione Europea che governano il mondo digitale, come vanno gestiti, quando entrano in vigore, cosa serve sapere

Pubblicato il 16 Gen 2024

A livello globale l’Europa è l’ecosistema che può vantare una leadership in campo normativo, tale da ipotizzare che gli altri Paesi la prendano a modello.

Il quadro normativo europeo infatti consta oramai di numerosi leggi che si districano nei diversi campi e sfaccettature di questa nuova economia e società sempre più liquida, sempre più digitale e, a breve, artificiale.

Lo scenario da un lato potrebbe “soffocare” le imprese, costrette ad adottare tale mole di leggi, facendo magari “scappare” gli investimenti nel continente e innescando così un rallentamento dell’economia e anche dell’innovazione; dall’altro il pacchetto potrebbe favorire il potenziale di innovazione e competitività all’Europa, tutelando le piccole e medie imprese contro le multinazionali e gli utenti nell’uso delle tecnologie che offrono.

Il DSA

ll Digital Service Act (DSA) è stato pubblicato nella Gazzetta ufficiale il 27 ottobre 2022 ed è entrato in vigore il 16 novembre 2022. Il DSA sarà direttamente applicabile in tutta l’UE e si applicherà quindici mesi o a partire dal 1 gennaio 2024, se successivo, dopo l’entrata in vigore.

WEBINAR
6 Marzo 2024 - 12:00
Gestione di incidenti e rischi IT: scopri come essere conforme ai nuovi requisiti DORA
Cybersecurity
Security Risk Management

Il DSA riguarda tutte le piattaforme, motori di ricerca, social media, e-commerce, marketplace operanti nei settori dei viaggi, del cloud e dell’ospitalità, e li obbliga quindi a rivelare il numero di utenti e i propri algoritmi.

Per quanto riguarda le piattaforme online, esse dovevano pubblicare il loro numero di utenti attivi entro il 17 febbraio 2023. Se la piattaforma o un motore di ricerca ha più di 45 milioni di utenti (10 % della popolazione in Europa), la Commissione avrebbe designato il servizio come una piattaforma online di dimensioni molto grandi o un motore di ricerca online di dimensioni molto grandi. Tali servizi avranno 4 mesi di tempo per conformarsi agli obblighi del DSA, che comprende l’esecuzione e la fornitura alla Commissione della loro prima valutazione annuale dei rischi. Gli Stati membri dell’UE dovranno nominare coordinatori dei servizi digitali entro il 17 febbraio 2024, quando anche le piattaforme con meno di 45 milioni di utenti attivi dovranno rispettare tutte le norme in materia di DSA.

Il DMA

A decorrere dal 12 ottobre 2022, il Digital market act (DMA) è stato pubblicato nella Gazzetta ufficiale ed è entrato in vigore il 1º novembre 2022. Prima del 3 luglio 2023, le imprese dovevano fornire alla Commissione informazioni sul loro numero di utenti in modo che la Commissione li potesse designare entro il 6 settembre 2023 come “gatekeeper” : “guardiani” delle porte di accesso al collegamento tra rivenditori e consumatori, per la loro funzione di intermediari con il consumatore finale, in grado di conferirgli un potere smisurato: proprio alle big tech gli si attribuisce il potere di decidere e veicolare il contatto tra produttore/rivenditore e consumatore, manipolandone il rapporto. I gatekeeper avranno quindi tempo fino al marzo 2024 per garantire che rispettino gli obblighi del DMA.

Il Data Act

Il 28 giugno 2023 è stato raggiunto un accordo politico tra il Parlamento europeo e il Consiglio dell’UE sul Data Act. La legge è stata poi soggetta ad approvazione a novembre dal Parlamento e a dicembre pubblicata nella Gazzetta Ufficiale dell’Unione europea. Dopo 20 giorni dalla sua pubblicazione, è finalmente entrata in vigore questa settimana. Diventerà applicabile dopo 20 mesi, ovvero a decorrere dal 12 settembre 2025.

Il Data Act stabilisce alcuni requisiti obbligatori di condivisione dei dati per i processi industriali. È quindi una legge che punta alla trasparenza e condivisione di questi attraverso l’obbligo alle aziende in favore di altre imprese, governi e utenti. Lo abbiamo approfondito in questo articolo.

Il Data Governance Act

Il Data Governance Act (DGA) è entrato in vigore il 23 giugno 2022 e, dopo un periodo di grazia di 15 mesi, è applicabile da settembre 2023.

Il DGA è una normativa di base che stabilisce un quadro generale per la governance dei dati nell’Unione europea. La normativa si applica a tutti i dati, sia personali che non personali, e stabilisce una serie di diritti e obblighi per le imprese che trattano dati.

Insieme al Data ACT è parte della strategia europea per i dati. La differenza sta nel fatto che il Data Act è più specifico perché si concentra sulla condivisione dei dati tra imprese.

Il Digital Operational Resilience Act

Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE entrato in vigore il 16 gennaio 2023 e si applicherà a partire dal 17 gennaio 2025.

Dato che il settore finanziario dipende sempre più dalla tecnologia e dalle società tecnologiche per fornire servizi finanziari, con DORA le imprese finanziarie seguiranno le regole per la protezione, il rilevamento, il contenimento, il recupero e le capacità di riparazione contro gli incidenti legati al rischio ICT. DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio ICT, sulla segnalazione degli incidenti, sui test di resilienza operativa e sul monitoraggio del rischio ICT di terze parti. Questo regolamento riconosce che gli incidenti ICT e la mancanza di resilienza operativa possono mettere a repentaglio la solidità dell’intero sistema finanziario, anche se esiste un capitale allocato per le tradizionali categorie di rischio.

L’obiettivo è di rafforzare la sicurezza informatica di banche, compagnie assicurative e società di investimento, e di garantire al settore finanziario europeo di rimanere resiliente in caso di gravi interruzioni operative.

L’AI Act

A giugno 2023 il Parlamento Europeo ha approvato a larghissima maggioranza la propria posizione in vista delle negoziazioni dell’AI Act. A dicembre scorso è stato raggiunto l’accordo politico dai colegislatori.

L’accordo politico dovrà ricevere l’approvazione del Parlamento europeo e del Consiglio, per entrare quindi in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale. La legge sull’IA diventerà applicabile due anni dopo la sua entrata in vigore, fatta eccezione per alcune disposizioni specifiche: i divieti si applicheranno già dopo 6 mesi, mentre le norme sull’IA per finalità generali si applicheranno dopo 12 mesi.

Per il periodo transitorio che precede l’applicazione generale, la Commissione lancerà il Patto sull’IA, rivolto a tutti gli sviluppatori di IA a livello globale, che a titolo volontario si vorranno impegnare ad attuare gli obblighi della normativa prima della sua applicazione.

Lo avevamo approfondito in questo articolo.

Conclusioni

Come per il DMA (es. le sanzioni salate in caso di violazione delle regole), anche per il Data Act ci sono preoccupazioni che riguardano le imprese straniere per conformarsi a tali leggi. Le stesse restrizioni sui flussi di dati, sulla loro governance e mole, e sui servizi cloud rischiano di compromettere i trasferimenti internazionali di dati e potrebbero portare a esclusioni di mercato contro i fornitori di servizi. La preoccupazione quindi non è solo di un rallentamento dell’economia, ma anche dell’innovazione.

Certo, l’implementazione delle nuove leggi, tra cui il DMA, AI Act, DSA e Data Act, sarà molto impegnativa. Sarà difficile anche la coerenza normativa tra loro. Ma è ovvio che gli Stati si sentano sempre di più minacciati da un’innovazione tecnologica così dirompente, che squilibra non solo i mercati, ma anche le classi sociali, la cultura e, soprattutto, le coscienze, se ci sofferma ai risvolti della questione etica che sta affrontando i futuri scenari dell’IA sull’uomo.

E per questo è bene che tentino di regolamentare l’utilizzo di tali tecnologie dirompenti, che possano cambiare le basi della geopolitica, sentendosi schiacciati dal potere digitale delle imprese.

Se parliamo di normative, trattiamo sempre di geopolitica. Al momento si potrebbe ipotizzare che l’Europa può competere nell’innovazione, avendo un mercato molto inferiore agli USA e scarseggiando di tecnologie così dirompenti, attraverso la “carta” della legislazione. Eppure bisognerebbe guardare ad alcune aziende che hanno sede proprio in Europa, che sono solo lì e che servono tanto a queste tecnologie e alle loro organizzazioni. Per esempio imprese che fanno parte della catena di produzione dell’IA, non dei software, ma degli hardware (ASML, Infineon Technologies, NXP Semiconductors, STMicroelectronics), senza le quali nemmeno le aziende americane potrebbero correre più della Cina. E forse, essere anche i primi e i soli a normare, rafforzerebbe ancora di più questo potere.

Ciò sarà oggetto di approfondimento nella prossima inchiesta: geopolitica digitale. (Foto di Antoine Schibler su Unsplash )

WHITEPAPER
eIDAS e conservazione a norma: hai le carte in regola?
Cloud storage
SaaS
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articolo 1 di 3