Home Data Protection & CybersecurityPubblicate le FAQ della Commissione Europea sul Data Act: i punti principali.

Pubblicate le FAQ della Commissione Europea sul Data Act: i punti principali.

16 Ottobre 2024 by

La Commissione Europea ha pubblicato le domande frequenti (“FAQ”) sul Data Act, uno dei pilastri della strategia europea per i dati. Sebbene non vincolanti, le FAQ offrono importanti chiarimenti su diversi aspetti della normativa.

Data Act, Data sharing, GDPR, prodotti connessi

Il Data Act, che diverrà applicabile il 25 settembre 2025, ha quale focus principale i prodotti connessi o i servizi collegati, prevedendo una serie di casi in cui vi è l’obbligo di mettere a disposizione e/o condividere i dati (personali e non) generati dai suddetti prodotti o servizi. Inoltre, prevede altresì ­– inter alia – tutele aggiuntive nei contratti di data sharing e cloud computing, lo sviluppo di standard di interoperabilità per l’accesso, l’utilizzo ed il trasferimento dei dati, nonché misure volte a facilitare lo switch tra differenti operatori.

Rapporto tra il Data Act e il GDPR

Le FAQ si aprono analizzando il rapporto intercorrente tra il Data Act e il Regolamento (UE) 2016/679 (“GDPR“). La commissione conferma che nel caso in cui nel contesto del Data Act venga posta in essere un’attività che si qualifichi altresì come trattamento ai sensi del GDPR, l’Autorità Garante per la Protezione dei Dati è responsabile del monitoraggio sull’applicazione dell’Data Act, al fine di evitare che il soggetto interessato debba rivolgersi a due distinte autorità. Resta comunque ferma la possibilità per gli stati di designare un’autorità ad hoc per il monitoraggio della conformità con le altre disposizioni del Data Act. Inoltre, viene sancito che in caso di contrasto tra disposizioni del Data Act e del GDPR, quest’ultimo prevale.

Accesso e uso dei dati nel contesto dell’Internet of Things

L’accesso ai dati generati da un prodotto connesso o da un servizio collegato costituisce il focus principale del Data Act.

Nelle FAQ, la Commissione chiarisce diversi punti, in particolare:

  • Nozione di prodotto connesso: il Data Act si applica a tutti i prodotti connessi e servizi collegati, inclusi dispositivi quali smartphone e TV, la cui esclusione dalla lista contenuta nel Considerando 14 aveva generato dubbi. Fanno eccezione solo i servizi il cui scopo è esclusivamente quello di trasmettere dati (e.g. server o router).
  • Dati per cui sussiste il diritto di accesso: la Commissione ha chiarito in relazione ai “readily available data” che solamente i dati generati successivamente all’entrata in vigore del Data Act saranno oggetto della suddetta obbligazione. Inoltre, il Data Act copre anche i dati generati dal dispositivo connesso quando lo stesso si trova al di fuori dell’Unione Europea.
  • Beneficiari del diritto di accesso: gli utilizzatori (“Utilizzatori”),e. una persona residente in Unione Europea avente uno “stabile diritto” sul prodotto (dunque non solo il soggetto interessato!), con la conseguente esclusione di coloro che utilizzano il prodotto o il servizio sulla base di relazioni non contrattuali. Nel caso in cui vi siano più Utilizzatori, dovrà essere garantito che ciascun Utilizzatore possa accedere esclusivamente ai dati di suo interesse. Inoltre, su richiesta dell’Utilizzatore, i dati potranno essere comunicati a soggetti terzi (“Destinatari”), fatta eccezione per gli operatori qualificati come “gatekeeper” ai sensi del Digital Markets Act. Peraltro, laddove il Destinatario non sia residente in UE, potrà non essere dato seguito alla richiesta.
  • Soggetto tenuti a adempiere all’obbligo: il titolare dei dati (il “Titolare”). La commissione sottolinea altresì che tale figura non coincide necessariamente con il produttore del bene o il fornitore del servizio, il quale potrebbe, in via contrattuale, affidare tale ruolo a un soggetto terzo. Inoltre, viene sancita la incompatibilità dei due ruoli di Utilizzatore e Titolare (apparentemente in contrasto con il considerando 34).
  • Modalità di accesso: l’accesso ai dati può essere “diretto” o “indiretto” a seconda che l’Utilizzatore sia in grado o meno di accedere direttamente ai dati senza l’intervento del Titolare. La Commissione rafforza la discrezionalità circa le modalità di implementazione del diritto di accesso, escludendo l’obbligo di garantire “ad ogni costo” un accesso diretto.
  • Limiti al diritto di accesso: nel caso in cui sorgano necessità di tutela di Trade Secrets, l’accesso non può essere negato (a meno che dalla condivisione possa derivare un danno economico significativo), ma il Titolare è legittimato a adottare misure per la loro tutela, inclusi accordi di confidenzialità con l’Utilizzatore. L’accesso può invece essere negato nel caso di problemi di sicurezza.
  • Utilizzo dei dati: i dati raccolti potranno essere usati: (i) dal Titolare per qualunque scopo, a patto che tale utilizzo sia stato concordato con l’utilizzatore; (ii) dall’Utilizzatore; e (iii) dal Destinatario per le finalità concordate in via contrattuale, escluso lo sviluppo di prodotti connessi concorrenti.

Ulteriori aspetti rilevanti delle FAQ sul Data Act

Infine, la Commissione ha affrontato le seguenti ulteriori questioni:

  • Misure di protezione: vengono anticipate alcune misure, quali il criptaggio dei dati, che dovranno essere attuate per evitare l’accesso a dati non personali.
  • Compenso: in relazione al compenso “non discriminatorio” che i Destinatari sono tenuti a corrispondere al Titolare, viene chiarito che non verrà stabilito un tetto massimo o minimo, ma che la ragionevolezza dello stesso verrà determinata caso per caso valutando l’uguaglianza dei Destinatari.
  • Business to Government Data Sharing: viene precisato che i fatti da considerare per determinare le ragioni di “emergenza pubblica” legittimanti lo scambio di dati tra privati ed enti pubblici saranno determinati dal diritto nazionale. Inoltre, viene sancito il carattere di extrema ratio della condivisione, che sarà possibile solo laddove l’ente pubblico non riesca ad ottenere i dati in altro modo.
  • B2B Data Sharing e contratti di cloud computing: al fine di tutelare le PMI da condizioni contrattuali non eque e gli Utilizzatori di servizi di Cloud Computing, viene confermato di come siano in corso i lavori per l’adozione di modelli e clausole contrattuali standard da parte di esperti.
  • Passaggio tra servizi di trattamento di dati (e.g. SaaS): in relazione alle misure volte a ridurre il costo di switch tra differenti operatori, viene stabilito in concreto che i costi non devono superare quelli – inevitabili – sostenuti dal fornitore del servizio per realizzare il passaggio.

Conclusione

Le FAQ pubblicate forniscono importanti chiarimenti sull’applicazione del Data Act. Allo stesso tempo, permangono ancora aree di incertezza, quali le modalità di accesso ai dati e la condivisione B2G, per le quali sarà necessario attendere l’effettiva applicabilità del Data Act e le eventuali implementazioni a livello nazionale.

Per maggiori informazioni sul Data Act, può essere d’interesse l’articolo “Il Consiglio UE adotta il Data Act: nuove disposizioni su accesso equo, utilizzo e condivisione dei dati

(Visited 1 times, 1 visits today)

Potrebbe interessarti

L’Autorità per la Protezione dei Dati olandese multa Clearview AI per trattamento illecito di dati biometrici

L’Autorità per la Protezione dei Dati olandese (Autorità privacy olandese) ha imposto una sanzione di...

Il Garante ha pubblicato le FAQ sul diritto all’oblio oncologico

A seguito dell’entrata in vigore della Legge n. 193/2023 sul diritto all’oblio oncologico, il...

Data Protection & Cybersecurity

Governance dell’AI, etica e privacy con Giorgia Vulcano di Anheuser-Busch InBev

Giorgia Vulcano illustra le criticità derivanti dall’intersezione tra AI, privacy ed etica e su come...

Close Search Window