Una panoramica completa della legge sui dati, compresi i suoi obiettivi e il modo in cui funziona nella pratica.
Perché il Data Act?
La legge sui dati è una legge volta a migliorare l'economia dei dati dell'UE e a promuovere un mercato dei dati competitivo rendendo i dati (in particolare i dati industriali) più accessibili e utilizzabili, incoraggiando l'innovazione basata sui dati e aumentando la disponibilità di dati. A tal fine, la legge sui dati garantisce l'equità nell'allocazione del valore dei dati tra gli attori dell'economia dei dati. Chiarisce chi può utilizzare quali dati e a quali condizioni.
Negli ultimi anni si è registrata una rapida crescita della disponibilità di prodotti connessi a Internet ("prodotti connessi") sul mercato europeo. Questi prodotti, che insieme compongono una rete nota come Internet-of-things (IoT), aumentano significativamente il volume di dati disponibili per il riutilizzo nell'UE. Ciò rappresenta un enorme potenziale di innovazione e competitività nell'UE.
Il Data Act offre agli utenti di prodotti connessi (imprese o individui che possiedono, affittano o affittano tale prodotto) un maggiore controllo sui dati che generano, pur mantenendo incentivi per coloro che investono in tecnologie di dati. Inoltre, stabilisce le condizioni generali per le situazioni in cui un'impresa ha l'obbligo legale di condividere dati con un'altra impresa.
La legge sui dati comprende anche misure per aumentare l'equità e la concorrenza nel mercato europeo del cloud e per proteggere le imprese da clausole contrattuali abusive relative alla condivisione dei dati imposte da attori più forti. Stabilisce inoltre un meccanismo attraverso il quale gli enti pubblici possono richiedere dati a un'impresa in cui vi è un'esigenza eccezionale, ad esempio in situazioni di emergenza pubblica, e stabilisce norme chiare sulle modalità di presentazione di tali richieste. Introduce inoltre misure di salvaguardia per evitare che gli enti governativi di paesi terzi possano accedere a dati non personali laddove ciò sia contrario al diritto dell'UE o nazionale. Infine, la legge sui dati definisce requisiti essenziali in materia di interoperabilità per garantire che i dati possano fluire senza soluzione di continuità tra i settori e gli Stati membri, agevolati dagli spazi comuni europei di dati, nonché tra i fornitori di servizi di trattamento dei dati.
La legge sui dati è stata pubblicata nella Gazzetta ufficiale dell'UE il 22 dicembre 2023 e diventerà applicabile il 12 settembre 2025.
La legge sui dati integra la legge sulla governance dei dati, la prima da fornire nell'ambito della strategia europea per i dati. La legge sulla governance dei dati è diventata applicabile nel settembre 2023. Mentre la legge sulla governance dei dati aumenta la fiducia nei meccanismi volontari di condivisione dei dati, la legge sui dati fornisce chiarezza giuridica per quanto riguarda l'accesso e l'uso dei dati.
Insieme ad altre misure politiche e opportunità di finanziamento, questi due regolamenti contribuiranno alla creazione di un mercato unico dell'UE per i dati, facendo dell'Europa un leader nell'economia dei dati sfruttando il potenziale delle quantità sempre crescenti di dati, in particolare quelli industriali, a beneficio dell'economia e della società europee.
Questioni affrontate
Seguendo le disposizioni generali (capitolo I) che definiscono l'ambito di applicazione del regolamento e definiscono termini chiave, la legge sui dati è strutturata in sei capitoli principali:
Capo II sulla condivisione dei dati tra imprese e consumatori nel contesto dell'IoT: gli utenti di oggetti IoT possono accedere, utilizzare e trasferire dati che co-generano attraverso l'uso di un prodotto connesso.
Capo III sulla condivisione dei dati tra imprese: ciò chiarisce le condizioni di condivisione dei dati ovunque un'azienda sia obbligata per legge, anche attraverso il Data Act, a condividere i dati con un'altra azienda.
Capo IV sulle clausole contrattuali abusive: tali disposizioni proteggono tutte le imprese, in particolare le PMI, dalle clausole contrattuali abusive loro imposte.
Capo V sulla condivisione dei dati tra imprese e amministrazioni pubbliche: gli enti pubblici saranno in grado di prendere decisioni più fondate su elementi concreti in determinate situazioni di necessità eccezionale attraverso misure per accedere a determinati dati detenuti dal settore privato.
Capo VI sul passaggio tra servizi di trattamento dei dati: i fornitori di servizi di cloud computing ed edge computing devono soddisfare i requisiti minimi per facilitare l'interoperabilità e consentire il trasferimento.
Capo VII sull'accesso illecito del governo di un paese terzo ai dati: i dati non personali memorizzati nell'UE sono protetti contro richieste di accesso illegali da parte del governo straniero.
Capo VIII sull'interoperabilità: i partecipanti agli spazi di dati devono soddisfare i criteri per consentire ai dati di fluire all'interno e tra gli spazi di dati. Un repertorio dell'UE stabilirà norme e specifiche pertinenti per l'interoperabilità nel cloud.
Capo IX sull'esecuzione: Gli Stati membri devono designare una o più autorità competenti per monitorare e far rispettare la legge sui dati. Se è designata più di un'autorità, deve essere nominato un "coordinatore dei dati" per fungere da punto di contatto unico a livello nazionale.
Capo II: Condivisione dei dati business-to-business e business-to-consumer nel contesto del mercato IoT
Perché?
Un obiettivo chiave della legge sui dati è creare equità nell'economia dei dati e consentire agli utenti di raccogliere valore dai dati che generano utilizzando i prodotti connessi che possiedono, noleggiano o affittano.
La legge sui dati consente agli utenti di prodotti connessi (ad es. auto connesse, dispositivi medici e fitness, macchinari industriali o agricoli) e relativi servizi (cioè qualsiasi cosa che possa far sì che un prodotto connesso si comporti in modo specifico, come un'app per regolare la luminosità delle luci, o per regolare la temperatura di un frigorifero) di accedere ai dati che co-creano utilizzando i prodotti connessi/servizi correlati.
La disponibilità di tali dati avrà un impatto significativo sull'economia. Ad esempio, i dati generati dai prodotti connessi e dai servizi correlati possono essere utilizzati per promuovere i servizi aftermarket e ausiliari, nonché per creare servizi completamente nuovi, a vantaggio sia delle imprese che dei consumatori.
Esempi di prodotti connessi: prodotti di consumo (ad esempio automobili connesse, dispositivi di monitoraggio della salute, dispositivi per la casa intelligente), altri prodotti (ad esempio aerei, robot, macchine industriali).
Esempio di servizio correlato: un utente acquista una lavatrice e installa un'applicazione che consente di misurare l'impatto ambientale del ciclo di lavaggio in base ai dati dei diversi sensori all'interno della macchina e regola il ciclo di conseguenza. Questa applicazione sarebbe considerata un servizio correlato.
Esempi di servizi post-vendita e servizi accessori: servizi di riparazione e manutenzione, assicurazione basata sui dati.
Tipi di dati nell'ambito di applicazione
Il capo II della legge sui dati sulla condivisione dei dati tra imprese e tra imprese e consumatori si applica a tutti i dati grezzi e pre-elaborati generati dall'uso di un prodotto connesso o di un servizio collegato facilmente a disposizione del titolare dei dati (ad esempio il fabbricante di un prodotto connesso/fornitore di un servizio collegato), in altre parole dati facilmente accessibili senza sforzi sproporzionati, che vanno oltre una semplice operazione. Ciò vale sia per i dati personali che per quelli non personali, compresi i metadati pertinenti.
Tali dati includono i dati raccolti da un singolo sensore o da un gruppo di sensori collegati, come temperatura, pressione, portata, audio, valore pH, livello liquido, posizione, accelerazione o velocità.
I dati e i contenuti dedotti o derivati (ad esempio dati altamente arricchiti, materiale audiovisivo) sono fuori campo. Inoltre, la legge sui dati lascia impregiudicate le leggi sulla protezione dei diritti di proprietà intellettuale.
Ad esempio, se un utente guarda un film sul televisore collegato, il film stesso non rientra nell'ambito di applicazione, ma i dati sulla luminosità dello schermo rientrano nell'ambito di applicazione.
Nella pratica
Il capo II della legge sui dati consente agli utenti (ossia a qualsiasi persona fisica o giuridica che possiede, affitta o affitta un prodotto connesso) di accedere ai dati che generano attraverso l'uso del prodotto connesso o del servizio connesso. Se l'utente desidera condividere tali dati con un'altra entità o persona fisica ("terze parti"), può farlo direttamente o può chiedere al titolare dei dati di condividerli con un terzo di loro scelta (esclusi i gatekeeper ai sensi della legge sui mercati digitali). Il titolare dei dati è in genere l'azienda che realizza il prodotto connesso o che fornisce un servizio correlato. Un titolare dei dati deve avere un contratto con l'utente (ad es. contratto di vendita, contratto di noleggio, contratto di servizi correlati, ecc.) che definisca i diritti relativi all'accesso, all'uso e alla condivisione dei dati generati dal prodotto connesso o dal relativo servizio. È importante notare che il titolare dei dati non può utilizzare dati non personali generati dal prodotto senza il consenso dell'utente.
A titolo esemplificativo e tenendo presente che il contratto pertinente determina i ruoli esatti:
-
Una società gestisce un bulldozer: il titolare dei dati sarebbe in genere il produttore di bulldozer e l'utente sarebbe la società che gestisce il bulldozer.
-
Se qualcuno acquista un frigorifero collegato e scarica un'app che li aiuta a regolare la temperatura ottimale per il contenuto del frigorifero, potrebbero esserci due titolari di dati, ossia l'entità che ha immesso il frigorifero sul mercato e l'entità che offre il relativo servizio (l'app), e un solo utente (il proprietario del frigorifero).
La legge sui dati incide su diversi meccanismi per rendere più facile per gli utenti essere in grado di avvalersi di queste disposizioni: i titolari dei dati devono fornire all'utente informazioni sul tipo di dati che genereranno durante l'utilizzo del prodotto connesso o del relativo servizio (incluso il volume, la frequenza di raccolta, ecc.); gli utenti dovrebbero essere in grado di richiedere l'accesso ai dati attraverso un processo semplice, e i titolari dei dati devono mettere i dati a disposizione degli utenti gratuitamente.
Limitazioni all'utilizzo dei dati
Per non scoraggiare le imprese dall'investire in prodotti che generano dati, i dati ottenuti non possono essere utilizzati per sviluppare un prodotto connesso in concorrenza. La legge sui dati non vieta la concorrenza nei servizi connessi o post-vendita. Inoltre, non vi è alcun obbligo ai sensi della legge sui dati per un titolare di dati di condividere i dati con terze parti con sede al di fuori dell'UE.
La legge sui dati è pienamente conforme alle norme sulla protezione dei dati, in particolare al GDPR. Se l'utente non è l'interessato i cui dati sono richiesti, i dati personali possono essere resi disponibili solo se esiste una base giuridica valida (ad esempio il consenso). Si tratta di una considerazione importante in quanto i dati generati congiuntamente contengono spesso dati personali e non personali, che possono essere difficili da separare.
Incentiva lo sviluppo di prodotti e servizi connessi basati su nuovi flussi di dati, che sono di particolare valore per le piccole imprese. Inoltre, le microimprese e le piccole imprese, in quanto fabbricanti o fornitori di servizi correlati, non sono soggette agli stessi obblighi delle imprese più grandi.
Per proteggere i segreti commerciali senza compromettere l'obiettivo della legge sui dati di rendere disponibili più dati, il titolare dei dati e l'utente/terzo possono concordare determinate misure per preservare la riservatezza dei segreti commerciali. Qualora tali misure non siano rispettate, il titolare dei dati può trattenere o sospendere la condivisione dei dati. Il titolare dei dati può rifiutarsi di condividere i dati solo se può dimostrare che è altamente probabile che subisca gravi danni economici derivanti dalla divulgazione di segreti commerciali.
Il titolare e l'utente possono accettare di limitare la condivisione dei dati se vi è il rischio che i requisiti di sicurezza del prodotto connesso possano essere compromessi, con gravi effetti negativi per la salute, la sicurezza o la sicurezza delle persone. Tali requisiti devono essere stabiliti dal diritto dell'UE o nazionale.
Se il titolare dei dati sospende, nega o rifiuta di condividere dati per motivi di protezione dei segreti commerciali o di requisiti di sicurezza, deve informarne l'autorità nazionale competente. Gli utenti possono impugnare tale decisione, dinanzi all'organo giurisdizionale competente di uno Stato membro, attraverso un reclamo presso l'autorità competente o previo accordo con il titolare dei dati dinanzi a un organismo di risoluzione delle controversie.
Capo III: Norme sulla condivisione obbligatoria dei dati tra imprese
Perché?
La legge sui dati introduce norme per le situazioni in cui un'impresa ("titolare dei dati") ha l'obbligo giuridico ai sensi del diritto dell'UE o nazionale di mettere i dati a disposizione di un'altra impresa ("destinatario dei dati"), anche nel contesto dei dati IoT. In particolare, i termini e le condizioni di condivisione dei dati devono essere equi, ragionevoli e non discriminatori.
Come incentivo alla condivisione dei dati, i titolari di dati che sono obbligati a condividere i dati possono chiedere al destinatario dei dati un "indennizzo ragionevole".
Tipi di dati nell'ambito di applicazione
Il capo III della legge sui dati si applica a tutti i dati (sia personali che non personali) detenuti da un'impresa, comprese le situazioni contemplate dal capo II della legge sui dati.
Nella pratica
I titolari dei dati possono chiedere un risarcimento ragionevole per la messa a disposizione di un destinatario dei dati. Ciò potrebbe includere i costi sostenuti per la messa a disposizione dei dati nonché i costi tecnici relativi alla diffusione e allo stoccaggio. Tuttavia, le microimprese, le PMI e gli organismi di ricerca senza scopo di lucro non possono essere addebitati più dei costi sostenuti per la messa a disposizione dei dati.
Al fine di proteggere i titolari dei dati, la legge sui dati include un elenco non esaustivo di misure volte a porre rimedio a situazioni in cui un terzo o un utente ha avuto accesso o utilizzato illegalmente dati. Ad esempio, un titolare dei dati potrebbe richiedere che una parte che viola smette di produrre il prodotto in questione o distrugga i dati che ha ottenuto illegalmente, o potrebbe chiedere un risarcimento.
Gli obblighi di condivisione dei dati che precedono la legge sui dati rimangono inalterati. Gli obblighi della futura legislazione (settoriale) dovrebbero essere allineati alle disposizioni del capo III della legge sui dati.
Capo IV: Clausole contrattuali abusive
Perché?
La libertà contrattuale è fondamentale per i rapporti tra imprese. Tuttavia, la legge sui dati mira a proteggere tutte le imprese europee che cercano di acquisire dati, in particolare le PMI, dalle clausole contrattuali abusive attraverso le sue misure per intervenire in situazioni in cui, ad esempio, una delle imprese si trova in una posizione contrattuale più forte (ad esempio a causa delle sue dimensioni del mercato) e impone una clausola non negoziabile ("take-it-or-leave-it") relativa all'accesso e all'utilizzo dei dati dall'altra.
Tipi di dati nell'ambito di applicazione
Queste regole riguardano tutti i dati, sia personali che non personali, detenuti da un ente privato cui si accede e che viene utilizzato sulla base di un contratto tra imprese.
Nella pratica
Le clausole take-it-or-leave-it imposte unilateralmente possono, se riguardano la messa a disposizione dei dati, essere soggette a un test di abusività.
La legge sui dati stabilisce un elenco non esaustivo di clausole che sono sempre considerate abusive (ad esempio, che escludono o limitino la responsabilità della parte che ha imposto unilateralmente la clausola per atti intenzionali o negligenza grave) e di clausole che si presume siano abusive (ad esempio, che limiterebbero in modo inappropriato i rimedi in caso di inadempimento di obblighi contrattuali o responsabilità in caso di violazione di tali obblighi, o estendere la responsabilità dell'impresa alla quale la clausola è stata imposta unilateralmente). Se una clausola è considerata abusiva, non è più valida — ove possibile, è semplicemente separata dal contatto. Se si presume che sia abusiva, l'entità che ha imposto la clausola può cercare di dimostrare che la clausola non è abusiva.
Capitolo V: Condivisione dei dati tra imprese e amministrazioni
Perché?
I dati detenuti da soggetti privati possono essere essenziali affinché un ente pubblico assuma un compito di interesse pubblico. Il capo V della legge sui dati consente agli enti pubblici di accedere a tali dati, a determinate condizioni, qualora sussistano esigenze eccezionali. Quest'ultimo si riferisce a una situazione imprevedibile e limitata nel tempo, in cui i dati detenuti da un ente privato sono necessari per l'esecuzione del compito di interesse pubblico, in particolare per migliorare il processo decisionale basato su dati concreti. Le situazioni di necessità eccezionale comprendono sia le emergenze pubbliche (come le gravi catastrofi naturali o causate dall'uomo, le pandemie e gli incidenti di cibersicurezza) sia le situazioni di non emergenza (ad esempio, dati aggregati e anonimizzati provenienti dai sistemi GPS dei conducenti potrebbero essere utilizzati per ottimizzare i flussi di traffico).
La legge sui dati garantirà che le autorità pubbliche abbiano accesso a tali dati in modo tempestivo e affidabile, senza imporre oneri amministrativi indebiti alle imprese.
Tipi di dati che rientrano nell'ambito di applicazione
Ai sensi del capo V, tutti i dati rientrano nell'ambito di applicazione, con particolare attenzione ai dati non personali.
Il capo V della legge sui dati sulla condivisione dei dati tra imprese distingue tra due scenari:
-
Per rispondere a un'emergenza pubblica, un ente del settore pubblico dovrebbe richiedere dati non personali. Tuttavia, se ciò non è sufficiente per rispondere alla situazione, i dati personali possono essere richiesti. Ove possibile, tali dati dovrebbero essere resi anonimi dal titolare dei dati.
-
In situazioni di non emergenza, gli enti pubblici possono richiedere solo dati non personali.
Principali parti interessate
I soggetti legittimati a richiedere dati comprendono gli organismi del settore pubblico degli Stati membri nonché alcune istituzioni, organismi e agenzie dell'UE. Queste entità possono anche condividere i dati con organizzazioni che svolgono attività di ricerca e finanziano a determinate condizioni.
Nel contesto delle richieste tra imprese e amministrazioni pubbliche, i titolari dei dati sono in genere soggetti privati, ma possono anche includere imprese pubbliche.
Nella pratica
Un ente pubblico può, a determinate condizioni, obbligare il titolare dei dati a mettere a disposizione determinati dati senza indebito ritardo per rispondere a un'emergenza pubblica. La legge sui dati definisce un'emergenza pubblica; ma la sua esistenza è determinata secondo procedure o leggi nazionali o dell'UE.
Per esigenze eccezionali che non sono connesse a un'emergenza pubblica, un ente del settore pubblico può richiedere dati non personali per adempiere a un compito specifico che è di interesse pubblico e che è stato previsto dalla legge, se l'ente del settore pubblico può dimostrare di non essere stato in grado di accedere ai dati con altri mezzi.
In entrambi i casi (emergenza e non emergenza), le richieste devono rispettare una serie di principi e condizioni rigorosi. Ad esempio, le richieste devono essere specifiche, trasparenti e proporzionate, i segreti commerciali devono essere protetti e i dati devono essere cancellati una volta che non sono più necessari.
La tabella che segue riassume le richieste delle imprese per fornire dati a un ente pubblico in tale contesto.
Compensazione per la messa a disposizione dei dati ai sensi del capo V della legge sui dati
| Le imprese diverse dalle micro e piccole imprese possono chiedere: | Micro e piccole imprese possono chiedere: | |
| Emergenza pubblica | Le imprese possono chiedere che il loro contributo ai dati sia riconosciuto e riconosciuto pubblicamente dall'ente pubblico ricevente | Remunerazione ragionevole non superiore ai costi tecnici e organizzativi sostenuti + riconoscimento pubblico, su richiesta |
| Situazione di non emergenza | Remunerazione ragionevole che non superi i costi tecnici e organizzativi sostenuti (ad eccezione della produzione di statistiche ufficiali) | N/A (esente dall'obbligo di fornire i dati) |
Per ridurre al minimo l'onere per le imprese, gli stessi dati non possono essere richiesti più di una volta ("principio una tantum") da più di un ente pubblico. Per questo motivo, tutte le richieste devono essere rese pubbliche dal coordinatore dei dati (a meno che non vi sia un problema di sicurezza).
Capo VI: Passaggio tra servizi di elaborazione dati
Perché?
Al fine di garantire un mercato competitivo nell'UE, i clienti dei servizi di trattamento dei dati (compresi i servizi cloud ed edge) dovrebbero poter passare senza soluzione di continuità da un fornitore all'altro. Tuttavia, i clienti si trovano attualmente ad affrontare una serie di ostacoli, tra cui costi elevati associati, ad esempio, all'uscita dei dati, lunghe procedure e una mancanza di interoperabilità tra i fornitori che possono comportare una perdita di dati e applicazioni.
Il Data Act renderà il passaggio libero, veloce e fluido. Ciò avvantaggerà i clienti, che possono scegliere liberamente i servizi che meglio soddisfano le loro esigenze, così come i fornitori, che beneficeranno di un pool più ampio di clienti.
Ambito di applicazione
Il capo VI della legge sui dati si applica ai fornitori di servizi di trattamento dei dati (ossia ai servizi digitali che consentono l'accesso alla rete onnipresente e on-demand, quali reti, server o altre infrastrutture e software virtuali o fisici). I dati essenziali per il passaggio comprendono i dati di input e output, compresi i metadati, generati dall'utilizzo del servizio da parte del cliente, esclusi i dati protetti da diritti di proprietà intellettuale o che costituiscono un segreto commerciale del fornitore di servizi.
Nella pratica
Per superare lo squilibrio di potenza tra provider e clienti nel mercato cloud, il Data Act stabilisce requisiti minimi per il contenuto dei contratti cloud. In particolare, i clienti del settore privato e pubblico beneficeranno di una maggiore trasparenza contrattuale.
La legge sui dati comprende misure volte a garantire che i clienti possano passare da un fornitore di servizi di trattamento dei dati ("fornitore sorgente") a un altro fornitore ("destinazione") in modo rapido e agevole e senza perdere dati o funzionalità delle applicazioni. Ad esempio, i fornitori di Piattaforma e Software as a Service devono rendere disponibili interfacce aperte e, come minimo, esportare i dati in un formato di uso comune e leggibile da dispositivo automatico. I fornitori di Infrastruttura come servizio devono adottare misure per facilitare che, quando un cliente passa a un servizio dello stesso tipo, il cliente ottenga risultati materialmente comparabili in risposta allo stesso input per le caratteristiche che entrambi i servizi condividono ("equivalenza funzionale"). Come esempio di tale misura, il fornitore di sorgenti potrebbe dover utilizzare strumenti per spostare i carichi di lavoro di calcolo da una tecnologia di virtualizzazione a un'altra.
Tutti i fornitori sono tenuti a rimuovere gli ostacoli che i loro clienti possono incontrare quando vogliono passare a un altro fornitore o utilizzare più servizi contemporaneamente.
La legge sui dati eliminerà inoltre interamente le spese di commutazione, comprese le spese per l'uscita dei dati (vale a dire le spese per il transito dei dati), a partire dal 12 gennaio 2027. Ciò significa che i fornitori non saranno in grado di addebitare ai loro clienti le operazioni necessarie per facilitare il passaggio o l'uscita dei dati. Tuttavia, come misura transitoria nei primi tre anni dopo l'entrata in vigore della legge sui dati (dall'11 gennaio 2024 al 12 gennaio 2027), i fornitori possono ancora addebitare ai propri clienti i costi sostenuti in relazione al trasferimento e all'uscita dei dati.
Capitolo VII: Accesso illecito da parte del governo di un paese terzo
Perché?
A volte, una decisione o una sentenza emessa da un paese al di fuori dell'UE ("paese terzo") mira a consentire al governo l'accesso e il trasferimento di dati non personali trattati e conservati all'interno dell'UE. Tuttavia, in alcuni casi, la concessione dell'accesso a tali dati o il loro trasferimento possono effettivamente essere illeciti, in particolare quando la richiesta è in contrasto con le leggi e le garanzie dell'UE in materia di tutela dei diritti fondamentali delle persone fisiche, degli interessi di sicurezza nazionale o dei dati commercialmente sensibili.
La legge sui dati segue la legge sulla governance dei dati per quanto riguarda le disposizioni volte a prevenire l'accesso governativo illecito di paesi terzi e il trasferimento di dati non personali detenuti nell'UE. Tali disposizioni non hanno alcun impatto sulla regolare condivisione dei dati tra imprese. Aumentano la trasparenza e la certezza giuridica per quanto riguarda il processo e le condizioni in base alle quali i dati non personali possono essere accessibili o trasferiti a organismi governativi non appartenenti all'UE.
Tipi di dati nell'ambito di applicazione
Qualsiasi dato non personale detenuto nell'UE da un fornitore di un servizio di trattamento dei dati.
Nella pratica
La legge sui dati non vieta i flussi transfrontalieri di dati, ma garantisce che la protezione garantita ai dati nell'UE viaggi con i dati trasferiti al di fuori dell'UE.
In tale contesto, la legge sui dati stabilisce norme e salvaguardie per le richieste di accesso da parte di un ente pubblico straniero a dati non personali detenuti nell'Unione. Tali disposizioni non pregiudicano la legittima cooperazione internazionale in materia di applicazione della legge.
In assenza di un accordo internazionale che disciplini l'accesso da parte di un governo di un paese terzo a dati non personali situati all'interno dell'UE, i dati possono essere trasferiti o accessibili solo a determinate condizioni. Tali condizioni si riferiscono a determinate garanzie a tutela dei diritti europei che devono essere soddisfatte dall'ordinamento giuridico del paese terzo, compreso l'obbligo di esporre i motivi e di valutare la proporzionalità nella decisione. Il fornitore di servizi di trattamento dei dati oggetto di tale decisione può contattare l'organismo nazionale competente per valutare se siano soddisfatte le condizioni stabilite nella legge sui dati. Per valutare se tali condizioni siano state soddisfatte, la Commissione europea elaborerà orientamenti insieme al comitato europeo per l'innovazione dei dati (un gruppo di esperti istituito a norma della legge sulla governance dei dati per facilitare la condivisione delle migliori pratiche e dare priorità alle norme di interoperabilità intersettoriali).
I fornitori di servizi di trattamento dei dati dovrebbero adottare tutte le misure ragionevoli (ad esempio cifratura, audit, rispetto dei sistemi di certificazione) per impedire l'accesso ai sistemi in cui memorizzano dati non personali. Tali misure dovrebbero essere pubblicate sui loro siti web. Inoltre, ove possibile, dovrebbero informare i loro clienti prima di dare accesso ai loro dati.
Capitolo VIII: Interoperabilità
Perché?
Le norme e l'interoperabilità sono fondamentali per garantire che i dati provenienti da fonti diverse possano essere utilizzati all'interno e tra gli spazi comuni europei dei dati per promuovere la ricerca e sviluppare nuovi prodotti o servizi. A tal fine, la legge sui dati stabilisce alcuni requisiti essenziali che i partecipanti agli spazi di dati devono rispettare e che possono essere ulteriormente specificati dalla Commissione europea mediante atti delegati.
Mira inoltre a garantire l'interoperabilità tra i servizi di trattamento dei dati; questo è essenziale se i clienti devono beneficiare di un passaggio più facile.
Principali parti interessate
Questo capitolo si rivolge ai partecipanti di spazi di dati che offrono dati o servizi basati su dati ad altri partecipanti e che facilitano o si impegnano nella condivisione dei dati all'interno degli spazi dati.
Si rivolge anche ai fornitori di contratti intelligenti e ai fornitori di servizi di elaborazione dei dati.
Nella pratica
I partecipanti allo spazio dati dovrebbero rispettare diversi requisiti essenziali per consentire ai dati di fluire all'interno e tra gli spazi di dati. Ad esempio, una descrizione delle strutture di dati, dei formati di dati e dei vocabolari, ove disponibili, dovrebbe essere accessibile al pubblico. Occorre inoltre garantire l'interoperabilità degli accordi di condivisione dei dati, come i contratti intelligenti.
La legge sui dati prepara inoltre il terreno per aumentare l'interoperabilità dei servizi di trattamento dei dati attraverso norme armonizzate e specifiche di interoperabilità aperte.
Inoltre, stabilisce i requisiti per i fornitori di contratti intelligenti per l'esecuzione automatizzata degli accordi di condivisione dei dati, ad esempio al fine di garantire la corretta esecuzione delle disposizioni dell'accordo di condivisione dei dati e di resistere alla manipolazione da parte di terzi.
La Commissione valuterà gli ostacoli all'interoperabilità e darà priorità alle esigenze di normazione, in base alle quali può chiedere alle organizzazioni europee di normazione di elaborare norme armonizzate conformi ai requisiti summenzionati.
Se la richiesta non porta a una norma armonizzata o se la norma non è sufficiente a garantire la conformità alla legge sui dati, la Commissione può adottare specifiche comuni come soluzione di riserva. Questi dovrebbero essere sviluppati in modo aperto e inclusivo, tenendo conto dei riscontri provenienti dal comitato europeo per l'innovazione dei dati.
Capitolo IX: Applicazione e disposizioni generali
Gli Stati membri designeranno una o più autorità competenti (nuove o esistenti) per garantire l'efficace attuazione della legge sui dati. Laddove vi siano più autorità competenti, gli Stati membri devono designare una di esse come "coordinatrice dei dati". Il coordinatore dei dati fungerà da "sportello unico" per tutte le questioni relative all'attuazione della legge sui dati a livello nazionale, facilitando l'applicazione sia per le imprese che per le autorità pubbliche. Ad esempio, se un'impresa chiede un risarcimento per la violazione dei propri diritti ai sensi della legge sui dati, il coordinatore dei dati dovrebbe (su richiesta) fornire tutte le informazioni necessarie per aiutarli a presentare il loro reclamo all'autorità competente competente. Il coordinatore dei dati faciliterà inoltre la collaborazione in situazioni transfrontaliere, ad esempio quando un'autorità competente di un determinato Stato membro non sa quale autorità dovrebbe rivolgersi nello Stato membro del coordinatore dei dati.
La Commissione terrà un registro pubblico delle autorità competenti e dei coordinatori dei dati.
Il comitato europeo per l'innovazione dei dati faciliterà le discussioni tra le autorità competenti, ad esempio per coordinare e adottare raccomandazioni sulla fissazione di sanzioni per le violazioni della legge sui dati. Le sanzioni sono stabilite dalle autorità competenti e, conformemente alla legge sui dati, dovrebbero essere previste sanzioni effettive, proporzionate e dissuasive.
Gli Stati membri possono, se lo desiderano, istituire organismi certificati di risoluzione delle controversie per assistere le parti che non possono concordare condizioni eque, ragionevoli e non discriminatorie per la messa a disposizione dei dati. Le parti sono libere di rivolgersi a qualsiasi organismo di risoluzione delle controversie nello Stato membro in cui sono stabilite o in un altro.
I meccanismi di risoluzione delle controversie certificati e le autorità competenti specializzate renderanno più facile per le imprese, in particolare le piccole imprese, far valere i loro diritti ai sensi della legge sui dati, in quanto offrono alle parti interessate una soluzione semplice, rapida e a basso costo.
Cosa c'è dopo?
La strategia europea in materia di dati definisce la strada per l'UE per diventare un leader nell'economia dei dati. Ciò sarà realizzato attraverso la creazione di un mercato unico europeo dei dati in cui i dati possano fluire tra i settori e gli Stati membri in modo sicuro e affidabile a beneficio dell'economia e della società. Garantendo l'equità nell'assegnazione del valore dei dati tra le parti interessate, il Data Act è un elemento chiave per raggiungere questa visione.
La legge sui dati diventerà applicabile il 12 settembre 2025.
Per aiutare le imprese a navigare in queste nuove norme, la Commissione raccomanderà una serie di termini contrattuali tipo per aiutare le imprese a concludere contratti di condivisione dei dati equi, ragionevoli e non discriminatori (capitoli II e III della legge sui dati). Questi termini forniranno anche orientamenti su un ragionevole risarcimento e sulla protezione dei segreti commerciali. La Commissione raccomanderà inoltre una serie di clausole contrattuali standard non vincolanti per i contratti di cloud computing tra utenti e fornitori di servizi cloud. È stato istituito un gruppo di esperti per aiutare la Commissione a redigere tali termini e clausole e prevede di raccomandarli entro l'autunno 2025.
Entro tre anni dalla sua entrata in applicazione, la Commissione effettuerà una valutazione dell'impatto della legge sui dati. Su tale base, se necessario, la Commissione può proporre una modifica dell'atto.
Avviso legale
Il presente documento non deve essere considerato rappresentativo della posizione ufficiale della Commissione europea.