Una panoramica completa della normativa sui dati, compresi i suoi obiettivi e il suo funzionamento nella pratica.
Perché la legge sui dati?
La legge sui dati è una legge concepita per migliorare l'economia dei dati dell'UE e promuovere un mercato dei dati competitivo rendendo i dati (in particolare i dati industriali) più accessibili e utilizzabili, incoraggiando l'innovazione basata sui dati e aumentando la disponibilità dei dati. A tal fine, la legge sui dati garantisce l'equità nella ripartizione del valore dei dati tra gli attori dell'economia dei dati. Chiarisce chi può utilizzare quali dati e a quali condizioni. Per informazioni più approfondite, si prega di consultare le domande frequenti sulla normativa sui dati."
Negli ultimi anni si è registrata una rapida crescita della disponibilità di prodotti connessi a Internet ("prodotti connessi") sul mercato europeo. Questi prodotti, che insieme costituiscono una rete nota come Internet delle cose (IoT), aumentano notevolmente il volume di dati disponibili per il riutilizzo nell'UE. Ciò rappresenta un enorme potenziale per l'innovazione e la competitività nell'UE.
La legge sui dati offre agli utenti di prodotti connessi (imprese o individui che possiedono, affittano o noleggiano tale prodotto) un maggiore controllo sui dati che generano, mantenendo al contempo incentivi per coloro che investono in tecnologie dei dati. Stabilisce inoltre le condizioni generali per le situazioni in cui un'impresa ha l'obbligo giuridico di condividere i dati con un'altra impresa.
La legge sui dati comprende anche misure volte ad aumentare l'equità e la concorrenza nel mercato europeo del cloud e a proteggere le imprese dalle clausole contrattuali abusive relative alla condivisione dei dati imposte da soggetti più forti. Stabilisce inoltre un meccanismo attraverso il quale gli enti pubblici possono richiedere dati a un'impresa in caso di necessità eccezionale, ad esempio in situazioni di emergenza pubblica, e fornisce norme chiare sulle modalità di presentazione di tali richieste. Introduce inoltre garanzie per evitare che gli organismi governativi di paesi terzi possano accedere a dati non personali qualora ciò sia contrario al diritto dell'UE o nazionale. Infine, la legge sui dati definisce i requisiti essenziali in materia di interoperabilità per garantire che i dati possano fluire senza soluzione di continuità tra i settori e gli Stati membri, agevolati dagli spazi comuni europei di dati, nonché tra i fornitori di servizi di trattamento dei dati.
La legge sui dati è stata pubblicata nella Gazzetta ufficiale dell'UE il 22 dicembre 2023 e diventerà applicabile il 12 settembre 2025.
La normativa sui dati integra l'atto sulla governance dei dati, il primo risultato nell'ambito della strategia europea per i dati. L'atto sulla governance dei dati è diventato applicabile nel settembre 2023. Mentre l'atto sulla governance dei dati aumenta la fiducia nei meccanismi volontari di condivisione dei dati, la legge sui dati fornisce chiarezza giuridica per quanto riguarda l'accesso ai dati e il loro utilizzo.
Insieme ad altre misure politiche e opportunità di finanziamento, questi due regolamenti contribuiranno alla creazione di un mercato unico dell'UE per i dati, rendendo l'Europa un leader nell'economia dei dati sfruttando il potenziale delle quantità sempre crescenti di dati, in particolare i dati industriali, a beneficio dell'economia e della società europee.
Questioni affrontate
Seguendo le disposizioni generali (capo I) che definiscono l'ambito di applicazione del regolamento e i termini chiave, la legge sui dati è strutturata in sei capitoli principali:
Capo II sulla condivisione dei dati tra imprese e tra imprese e consumatori nel contesto dell'IoT: gli utenti di oggetti IoT possono accedere, utilizzare e trasferire i dati che generano congiuntamente attraverso l'uso di un prodotto connesso.
Capo III sulla condivisione dei dati tra imprese: ciò chiarisce le condizioni di condivisione dei dati laddove un'impresa sia obbligata per legge, anche attraverso la legge sui dati, a condividere i dati con un'altra impresa.
Capo IV sulle clausole contrattuali abusive: tali disposizioni tutelano tutte le imprese, in particolare le PMI, dalle clausole contrattuali abusive loro imposte.
Capo V sulla condivisione dei dati tra imprese e amministrazioni pubbliche: gli enti pubblici saranno in grado di prendere decisioni più basate su dati concreti in determinate situazioni di necessità eccezionale attraverso misure per accedere a determinati dati detenuti dal settore privato.
Capo VI sul passaggio da un servizio di trattamento dei dati all'altro: i fornitori di servizi di cloud computing ed edge computing devono soddisfare requisiti minimi per facilitare l'interoperabilità e consentire il passaggio a un altro fornitore.
Capo VII sull'accesso illegale ai dati da parte del governo di paesi terzi: i dati non personali conservati nell'UE sono protetti da richieste illecite di accesso da parte di governi stranieri.
Capo VIII sull'interoperabilità: i partecipanti agli spazi di dati devono soddisfare i criteri per consentire il flusso dei dati all'interno degli spazi di dati e tra di essi. Un repertorio dell'UE stabilirà norme e specifiche pertinenti per l'interoperabilità del cloud.
Capo IX sull'esecuzione: Gli Stati membri devono designare una o più autorità competenti per monitorare e applicare la legge sui dati. Qualora sia designata più di un'autorità, deve essere nominato un "coordinatore dei dati" che funga da punto di contatto unico a livello nazionale.
Capo II: Condivisione dei dati business-to-business e business-to-consumer nel contesto del mercato IoT
Perché?
Un obiettivo chiave della legge sui dati è creare equità nell'economia dei dati e consentire agli utenti di trarre valore dai dati che generano utilizzando i prodotti connessi che possiedono, affittano o noleggiano.
La legge sui dati consente agli utenti di prodotti connessi (ad esempio automobili connesse, dispositivi medici e per il fitness, macchinari industriali o agricoli) e servizi correlati (ovvero qualsiasi cosa che farebbe comportarsi un prodotto connesso in un modo specifico, come un'app per regolare la luminosità delle luci o per regolare la temperatura di un frigorifero) di accedere ai dati che co-creano utilizzando i prodotti connessi / servizi correlati.
La disponibilità di tali dati avrà un impatto significativo sull'economia. Ad esempio, i dati generati dai prodotti connessi e dai servizi correlati possono essere utilizzati per promuovere i servizi post-vendita e ausiliari, nonché per creare servizi completamente nuovi, a vantaggio sia delle imprese che dei consumatori.
Esempi di prodotti connessi: prodotti di consumo (ad esempio automobili connesse, dispositivi di monitoraggio sanitario, dispositivi per la casa intelligente), altri prodotti (ad esempio aerei, robot, macchine industriali).
Esempio di un servizio correlato: un utente acquista una lavatrice e installa un'applicazione che consente di misurare l'impatto ambientale del ciclo di lavaggio in base ai dati dei diversi sensori all'interno della macchina e regola il ciclo di conseguenza. Questa applicazione sarebbe considerata un servizio correlato.
Esempi di servizi post-vendita e accessori: servizi di riparazione e manutenzione, assicurazioni basate sui dati.
Tipi di dati nell'ambito di applicazione
Il capo II della legge sui dati sulla condivisione dei dati tra imprese e tra imprese e consumatori si applica a tutti i dati grezzi e pretrattati generati dall'uso di un prodotto connesso o di un servizio correlato prontamente disponibili per il titolare dei dati (ad esempio il fabbricante di un prodotto connesso/fornitore di un servizio correlato), vale a dire dati facilmente accessibili senza sforzi sproporzionati, che vanno al di là di una semplice operazione. Ciò vale sia per i dati personali che per quelli non personali, compresi i metadati pertinenti.
Tali dati includono i dati raccolti da un singolo sensore o da un gruppo di sensori collegati, come temperatura, pressione, portata, audio, valore del pH, livello del liquido, posizione, accelerazione o velocità.
I dati e i contenuti desunti o derivati (ad esempio dati altamente arricchiti, materiale audiovisivo) non rientrano nell'ambito di applicazione. Inoltre, la legge sui dati lascia impregiudicate le leggi sulla protezione dei diritti di proprietà intellettuale.
Ad esempio, se un utente guarda un film sulla TV connessa, il film stesso non rientra nell'ambito, ma i dati sulla luminosità dello schermo rientrano nell'ambito.
In pratica
Il capo II della legge sui dati consente agli utenti (ossia a qualsiasi persona fisica o giuridica che possiede, noleggia o noleggia un prodotto connesso) di accedere ai dati che generano attraverso l'uso del prodotto connesso o del servizio correlato. Se l'utente desidera condividere tali dati con un'altra entità o persona fisica ("terzo"),può farlo direttamente o può chiedere al titolare dei dati di condividerli con un terzo di sua scelta (esclusi i gatekeeper a norma della legge sui mercati digitali). Il titolare dei dati è in genere l'azienda che realizza il prodotto connesso o che fornisce un servizio correlato. Il titolare dei dati deve avere un contratto con l'utente (ad esempio contratto di vendita, contratto di noleggio, contratto di servizio correlato, ecc.) che definisca i diritti relativi all'accesso, all'uso e alla condivisione dei dati generati dal prodotto connesso o dal servizio correlato. È importante notare che il titolare dei dati non può utilizzare i dati non personali generati dal prodotto senza il consenso dell'utente.
A titolo di esempio, e tenendo presente che il contratto in questione determina i ruoli esatti:
-
Una società gestisce un bulldozer: il titolare dei dati sarebbe in genere il produttore di bulldozer e l'utente sarebbe la società che gestisce il bulldozer.
-
Se qualcuno acquista un frigorifero connesso e scarica un'app che li aiuta a regolare la temperatura ottimale per il contenuto del frigorifero, potrebbero esserci due titolari di dati, vale a dire l'entità che ha immesso il frigorifero sul mercato e l'entità che offre il relativo servizio (l'app) e un solo utente (il proprietario del frigorifero).
La legge sui dati prevede diversi meccanismi per rendere più facile per gli utenti l'utilizzo di queste disposizioni: i titolari dei dati devono fornire all'utente informazioni sul tipo di dati che genereranno durante l'utilizzo del prodotto connesso o del servizio correlato (compresi il volume, la frequenza di raccolta, ecc.); gli utenti dovrebbero poter richiedere l'accesso ai dati mediante un processo semplice; e i titolari dei dati devono mettere gratuitamente i dati a disposizione degli utenti.
Limitazioni all'utilizzo dei dati
Per non dissuadere le imprese dall'investire in prodotti che generano dati, i dati ottenuti non possono essere utilizzati per sviluppare un prodotto connesso concorrente. La legge sui dati non vieta la concorrenza nei servizi correlati o post-vendita. Inoltre, non vi è alcun obbligo ai sensi della legge sui dati per un titolare dei dati di condividere i dati con terzi con sede al di fuori dell'UE.
La legge sui dati è pienamente conforme alle norme in materia di protezione dei dati, in particolare al regolamento generale sulla protezione dei dati. Se l'utente non è l'interessato i cui dati vengono richiesti, i dati personali possono essere resi disponibili solo se esiste una base giuridica valida (ad esempio il consenso). Si tratta di una considerazione importante in quanto i dati generati congiuntamente contengono spesso dati personali e non personali, che possono essere difficili da separare.
Incentiva lo sviluppo di prodotti e servizi connessi basati su nuovi flussi di dati, il che è di particolare valore per le imprese più piccole. Inoltre, le microimprese e le piccole imprese, in quanto fabbricanti o fornitori di servizi correlati, non sono soggette agli stessi obblighi delle imprese più grandi.
Per proteggere i segreti commerciali senza compromettere l'obiettivo della legge sui dati di rendere disponibili più dati, il titolare dei dati e l'utente/terzo possono concordare determinate misure per preservare la riservatezza dei segreti commerciali. Qualora tali misure non siano rispettate, il titolare dei dati può rifiutare o sospendere la condivisione dei dati. Il titolare dei dati può rifiutare di condividere i dati solo se è in grado di dimostrare che è altamente probabile che subisca gravi danni economici a causa della divulgazione di segreti commerciali.
Il titolare dei dati e l'utente possono convenire di limitare la condivisione dei dati se sussiste il rischio che i requisiti di sicurezza del prodotto connesso possano essere compromessi, con gravi effetti negativi per la salute, la sicurezza o la protezione delle persone. Tali requisiti devono essere stabiliti dal diritto dell'UE o nazionale.
Se il titolare dei dati sospende, trattiene o rifiuta di condividere i dati per motivi di protezione dei segreti commerciali o di requisiti di sicurezza, deve informarne l'autorità nazionale competente. Gli utenti possono impugnare tale decisione dinanzi all'organo giurisdizionale competente di uno Stato membro, mediante un reclamo all'autorità competente o previo accordo con il titolare dei dati dinanzi a un organismo di risoluzione delle controversie.
Capo III: Norme sulla condivisione obbligatoria dei dati tra imprese
Perché?
La legge sui dati introduce norme per le situazioni in cui un'impresa ("titolare dei dati") ha l'obbligo giuridico, a norma del diritto dell'UE o nazionale, di mettere i dati a disposizione di un'altra impresa ("destinatario dei dati"), anche nel contesto dei dati IoT. In particolare, i termini e le condizioni per la condivisione dei dati devono essere equi, ragionevoli e non discriminatori.
Come incentivo alla condivisione dei dati, i titolari dei dati che sono obbligati a condividere i dati possono chiedere un "compensazione ragionevole" al destinatario dei dati.
Tipi di dati nell'ambito di applicazione
Il capo III della legge sui dati si applica a tutti i dati (sia personali che non personali) detenuti da un'impresa, comprese le situazioni di cui al capo II della legge sui dati.
In pratica
I titolari dei dati possono chiedere un compenso ragionevole per aver messo i dati a disposizione di un destinatario dei dati. Ciò potrebbe includere i costi sostenuti per la messa a disposizione dei dati nonché i costi tecnici relativi alla diffusione e all'archiviazione. Tuttavia, alle microimprese, alle PMI e agli organismi di ricerca senza scopo di lucro non possono essere addebitati costi superiori a quelli sostenuti per la messa a disposizione dei dati.
Al fine di proteggere i titolari dei dati, la legge sui dati include un elenco non esaustivo di misure volte a porre rimedio alle situazioni in cui un terzo o un utente ha avuto accesso o utilizzato i dati in modo illecito. Ad esempio, un titolare dei dati potrebbe esigere che la parte che ha commesso la violazione interrompa la produzione del prodotto in questione o distrugga i dati ottenuti illecitamente, oppure potrebbe chiedere un risarcimento.
Restano impregiudicati gli obblighi di condivisione dei dati che precedono la legge sui dati. Gli obblighi della futura legislazione (settoriale) dovrebbero essere allineati alle disposizioni del capo III della legge sui dati.
Capo IV: Clausole contrattuali abusive
Perché?
La libertà contrattuale è fondamentale per le relazioni business-to-business. Tuttavia, la legge sui dati mira a proteggere tutte le imprese europee che cercano di acquisire dati, in particolare le PMI, dalle clausole contrattuali abusive attraverso le sue misure per intervenire in situazioni in cui, ad esempio, una delle imprese si trova in una posizione negoziale più forte (ad esempio a causa delle sue dimensioni di mercato) e impone una clausola non negoziabile ("take-it-or-leave-it") relativa all'accesso ai dati e al loro utilizzo.
Tipi di dati nell'ambito di applicazione
Tali norme riguardano tutti i dati, sia personali che non personali, detenuti da un soggetto privato a cui si accede e che viene utilizzato sulla base di un contratto tra imprese.
In pratica
Le clausole "take-it-or-leave-it" imposte unilateralmente possono, quando si riferiscono alla messa a disposizione di dati, essere soggette a una verifica del carattere abusivo.
La legge sui dati stabilisce un elenco non esaustivo di clausole che sono sempre considerate abusive (ad esempio, che escludono o limitano la responsabilità della parte che ha imposto unilateralmente la clausola per atti intenzionali o negligenza grave) e di clausole che si presumono abusive (ad esempio, che limiterebbero in modo inappropriato i rimedi in caso di inadempimento di obblighi contrattuali o responsabilità in caso di violazione di tali obblighi o estendono la responsabilità dell'impresa alla quale la clausola è stata imposta unilateralmente). Se una clausola è considerata abusiva, non è più valida e, ove possibile, è semplicemente separata dal contratto. Se si presume che sia abusiva, l'entità che ha imposto la clausola può provare a dimostrare che la clausola non è abusiva.
Capo V: Condivisione dei dati tra imprese e pubblica amministrazione
Perché?
I dati detenuti da soggetti privati possono essere essenziali affinché un ente pubblico possa svolgere un compito di interesse pubblico. Il capo V della legge sui dati consente agli enti pubblici di accedere a tali dati, a determinate condizioni, qualora sussista un'esigenza eccezionale. Quest'ultima si riferisce a una situazione imprevedibile e limitata nel tempo, in cui i dati detenuti da un soggetto privato sono necessari per l'esecuzione del compito di interesse pubblico, in particolare per migliorare il processo decisionale basato su elementi concreti. Le situazioni di necessità eccezionale comprendono sia le emergenze pubbliche (quali gravi catastrofi naturali o provocate dall'uomo, pandemie e incidenti di cibersicurezza) sia le situazioni non di emergenza (ad esempio, i dati aggregati e anonimizzati provenienti dai sistemi GPS dei conducenti potrebbero essere utilizzati per contribuire a ottimizzare i flussi di traffico).
La legge sui dati garantirà che le autorità pubbliche abbiano accesso a tali dati in modo tempestivo e affidabile, senza imporre un indebito onere amministrativo alle imprese.
Tipi di dati che rientrano nell'ambito di applicazione
Ai sensi del capo V, tutti i dati rientrano nell'ambito di applicazione, con particolare attenzione ai dati non personali.
Il capo V della legge sui dati sulla condivisione dei dati tra imprese e amministrazioni pubbliche distingue tra due scenari:
-
Per rispondere a un'emergenza pubblica, un ente pubblico dovrebbe richiedere dati non personali. Tuttavia, se ciò non è sufficiente per rispondere alla situazione, possono essere richiesti dati personali. Ove possibile, tali dati dovrebbero essere resi anonimi dal titolare dei dati.
-
In situazioni non di emergenza, gli enti pubblici possono richiedere solo dati non personali.
Principali parti interessate
Tra i soggetti autorizzati a richiedere dati figurano gli enti pubblici degli Stati membri e alcune istituzioni, organi e agenzie dell'UE. Tali entità possono anche condividere i dati con organizzazioni che svolgono attività di ricerca e finanziano a determinate condizioni.
Nel contesto delle richieste tra imprese e amministrazioni pubbliche, i titolari dei dati sono in genere soggetti privati, ma possono includere anche imprese pubbliche.
In pratica
Un ente pubblico può, a determinate condizioni, obbligare il titolare dei dati a mettere a disposizione determinati dati senza indebito ritardo per rispondere a un'emergenza pubblica. La legge sui dati definisce un'emergenza pubblica; ma la sua esistenza è determinata in base a procedure o leggi nazionali o dell'UE.
Per esigenze eccezionali non connesse a un'emergenza pubblica, un ente pubblico può richiedere dati non personali per svolgere un compito specifico di interesse pubblico previsto dalla legge, se può dimostrare di non essere stato in grado di accedere ai dati con altri mezzi.
In entrambi i casi (emergenza e non emergenza), le richieste devono rispettare una serie di principi e condizioni rigorosi. Ad esempio, le richieste devono essere specifiche, trasparenti e proporzionate, i segreti commerciali devono essere protetti e i dati devono essere cancellati una volta che non sono più necessari.
La tabella che segue riassume ciò che le imprese possono richiedere per fornire dati a un ente pubblico in questo contesto.
Compensazione per la messa a disposizione dei dati a norma del capo V della legge sui dati
| Le imprese diverse dalle microimprese e dalle piccole imprese possono chiedere: | Le micro e piccole imprese possono richiedere: | |
| Emergenza pubblica | Le imprese possono chiedere che il loro contributo ai dati sia riconosciuto e pubblicamente riconosciuto dall'ente pubblico ricevente. | Remunerazione ragionevole non superiore ai costi tecnici e organizzativi sostenuti + riconoscimento pubblico, su richiesta |
| Situazione di non emergenza | Remunerazione ragionevole non superiore ai costi tecnici e organizzativi sostenuti (ad eccezione della produzione di statistiche ufficiali) | N/A (esenti dall'obbligo di fornire i dati) |
Per ridurre al minimo l'onere per le imprese, gli stessi dati non possono essere richiesti più di una volta ("principio una tantum") da più di un ente pubblico. Per questo motivo, tutte le richieste devono essere rese pubbliche dal coordinatore dei dati (a meno che non vi sia un problema di sicurezza).
Capo VI: Passaggio da un servizio di trattamento dei dati all'altro
Perché?
Al fine di garantire un mercato competitivo nell'UE, i clienti dei servizi di trattamento dei dati (compresi i servizi cloud ed edge) dovrebbero poter passare senza soluzione di continuità da un fornitore all'altro. Tuttavia, i clienti si trovano attualmente ad affrontare una serie di ostacoli, tra cui costi elevati associati, ad esempio, all'uscita dei dati, alla lunghezza delle procedure e alla mancanza di interoperabilità tra i fornitori che può comportare una perdita di dati e applicazioni.
Il Data Act renderà il passaggio libero, veloce e fluido. Ciò andrà a vantaggio dei clienti, che possono scegliere liberamente i servizi che meglio soddisfano le loro esigenze, così come dei fornitori, che beneficeranno di un pool più ampio di clienti.
Ambito di applicazione
Il capo VI della legge sui dati si applica ai fornitori di servizi di trattamento dei dati (ossia servizi digitali che consentono l'accesso onnipresente e su richiesta alla rete, quali reti, server o altre infrastrutture e software virtuali o fisici). I dati fondamentali per il passaggio comprendono i dati di input e output, compresi i metadati, generati dall'uso del servizio da parte del cliente, esclusi i dati protetti da diritti di proprietà intellettuale o che costituiscono un segreto commerciale del prestatore di servizi.
In pratica
Per superare lo squilibrio di potere tra fornitori e clienti nel mercato del cloud, la legge sui dati stabilisce requisiti minimi per il contenuto dei contratti cloud. In particolare, i clienti del settore pubblico e privato beneficeranno di una trasparenza contrattuale molto maggiore.
La legge sui dati comprende misure volte a garantire che i clienti possano passare da un fornitore di servizi di trattamento dei dati ("fornitore della fonte") a un altro ("fornitore della destinazione") in modo rapido e agevole e senza perdere dati o funzionalità delle applicazioni. Ad esempio, i fornitori di Piattaforma e Software as a Service devono rendere disponibili interfacce aperte e, come minimo, esportare i dati in un formato comunemente usato e leggibile meccanicamente. I fornitori di un'infrastruttura come servizio devono adottare misure per facilitare che, quando un cliente passa a un servizio dello stesso tipo, il cliente ottenga risultati sostanzialmente comparabili in risposta allo stesso input per le caratteristiche che entrambi i servizi condividono ("equivalenza funzionale"). Come esempio di tale misura, il fornitore di origine potrebbe dover utilizzare strumenti per spostare i carichi di lavoro di calcolo da una tecnologia di virtualizzazione a un'altra.
Tutti i fornitori sono tenuti a rimuovere gli ostacoli che i loro clienti possono incontrare quando vogliono passare a un altro fornitore o utilizzare più servizi contemporaneamente.
La legge sui dati eliminerà inoltre completamente le spese di trasferimento, comprese le spese per l'uscita dei dati (ossia le spese per il transito dei dati), a decorrere dal 12 gennaio 2027. Ciò significa che i fornitori non saranno in grado di addebitare ai loro clienti le operazioni necessarie per facilitare il passaggio o l'uscita dei dati. Tuttavia, come misura transitoria durante i primi tre anni dall'entrata in vigore della legge sui dati (dall'11 gennaio 2024 al 12 gennaio 2027), i fornitori possono ancora addebitare ai loro clienti i costi sostenuti in relazione al trasferimento e all'uscita dei dati.
Capo VII: Accesso illegale da parte del governo di paesi terzi
Perché?
Talvolta, una decisione o una sentenza emessa da un paese al di fuori dell'UE ("paese terzo") mira a consentire l'accesso e il trasferimento da parte del governo di dati non personali trattati e conservati all'interno dell'UE. Tuttavia, in alcuni casi, concedere l'accesso o il trasferimento di tali dati può effettivamente essere illegale, in particolare quando la richiesta è in conflitto con le leggi e le garanzie dell'UE in materia di tutela dei diritti fondamentali delle persone fisiche, degli interessi di sicurezza nazionale o dei dati commercialmente sensibili.
La legge sui dati segue la legge sulla governance dei dati per quanto riguarda le disposizioni volte a prevenire l'accesso e il trasferimento illeciti da parte di governi di paesi terzi di dati non personali detenuti nell'UE. Tali disposizioni non hanno alcun impatto sulla normale condivisione dei dati tra imprese. Aumentano la trasparenza e la certezza del diritto per quanto riguarda il processo e le condizioni alle quali i dati non personali possono essere consultati o trasferiti a organismi governativi di paesi terzi.
Tipi di dati nell'ambito di applicazione
Qualsiasi dato non personale detenuto nell'UE da un fornitore di un servizio di trattamento dei dati.
In pratica
La legge sui dati non vieta i flussi transfrontalieri di dati, ma garantisce che la protezione offerta ai dati nell'UE viaggi con tutti i dati trasferiti al di fuori dell'UE.
In tale contesto, la legge sui dati stabilisce norme e garanzie per le richieste di accesso da parte di un ente pubblico straniero ai dati non personali detenuti nell'Unione. Tali disposizioni non pregiudicano la legittima cooperazione internazionale in materia di applicazione della legge.
Se non esiste un accordo internazionale che disciplini l'accesso da parte di un governo di un paese terzo a dati non personali situati all'interno dell'UE, i dati possono essere trasferiti o consultati solo a condizioni specifiche. Tali condizioni si riferiscono a determinate garanzie a tutela dei diritti europei che devono essere soddisfatte dall'ordinamento giuridico del paese terzo, compreso l'obbligo di esporre le ragioni e di valutare la proporzionalità nella decisione. Il fornitore di servizi di trattamento dei dati destinatario di tale decisione può contattare l'organismo nazionale competente per contribuire a valutare se sono soddisfatte le condizioni stabilite nella legge sui dati. Per contribuire a valutare se tali condizioni sono state soddisfatte, la Commissione europea elaborerà orientamenti insieme al comitato europeo per l'innovazione in materia di dati (un gruppo di esperti istituito a norma dell'atto sulla governance dei dati per facilitare la condivisione delle migliori pratiche e dare priorità alle norme di interoperabilità intersettoriali).
I fornitori di servizi di trattamento dei dati dovrebbero adottare tutte le misure ragionevoli (ad esempio crittografia, audit, aderenza ai sistemi di certificazione) per impedire l'accesso ai sistemi in cui conservano dati non personali. Tali misure dovrebbero essere pubblicate sui loro siti web. Inoltre, ove possibile, dovrebbero informare i loro clienti prima di dare accesso ai loro dati.
Capo VIII: Interoperabilità
Perché?
Le norme e l'interoperabilità sono fondamentali per garantire che i dati provenienti da fonti diverse possano essere utilizzati all'interno degli spazi comuni europei di dati e tra di essi per promuovere la ricerca e sviluppare nuovi prodotti o servizi. A tal fine, la normativa sui dati stabilisce alcuni requisiti essenziali che i partecipanti agli spazi di dati devono rispettare e che possono essere ulteriormente specificati dalla Commissione europea mediante atti delegati.
Mira inoltre a garantire l'interoperabilità tra i servizi di trattamento dei dati; ciò è essenziale affinché i clienti possano beneficiare di un passaggio più agevole.
Principali parti interessate
Questo capitolo si rivolge ai partecipanti di spazi di dati che offrono dati o servizi basati sui dati ad altri partecipanti e che facilitano o si impegnano nella condivisione dei dati all'interno degli spazi di dati.
Si rivolge anche ai fornitori di contratti intelligenti e ai fornitori di servizi di elaborazione dati.
In pratica
I partecipanti allo spazio di dati dovrebbero soddisfare diversi requisiti essenziali per consentire il flusso dei dati all'interno degli spazi di dati e tra di essi. Ad esempio, una descrizione delle strutture di dati, dei formati di dati e dei vocabolari, se disponibili, dovrebbe essere accessibile al pubblico. Dovrebbero inoltre essere garantiti i mezzi per garantire l'interoperabilità degli accordi di condivisione dei dati, come i contratti intelligenti.
La legge sui dati prepara inoltre il terreno per aumentare l'interoperabilità dei servizi di trattamento dei dati attraverso norme armonizzate e specifiche di interoperabilità aperte.
Stabilisce inoltre i requisiti per i venditori di contratti intelligenti per l'esecuzione automatizzata di accordi di condivisione dei dati, ad esempio per garantire che svolgano correttamente le disposizioni dell'accordo di condivisione dei dati e resistano alla manipolazione da parte di terzi.
La Commissione valuterà gli ostacoli all'interoperabilità e darà priorità alle esigenze di normazione, sulla base delle quali potrà chiedere alle organizzazioni europee di normazione di elaborare norme armonizzate conformi ai requisiti summenzionati.
Se la richiesta non porta a una norma armonizzata o se la norma non è sufficiente a garantire la conformità alla normativa sui dati, la Commissione può adottare specifiche comuni come soluzione di riserva. Questi dovrebbero essere sviluppati in modo aperto e inclusivo, tenendo conto dei riscontri del comitato europeo per l'innovazione in materia di dati.
Capo IX: Applicazione e disposizioni generali
Gli Stati membri designeranno una o più autorità competenti (nuove o esistenti) per garantire l'efficace attuazione della normativa sui dati. Qualora vi siano più autorità competenti, gli Stati membri devono designare una di esse come "coordinatore dei dati". Il coordinatore dei dati fungerà da "sportello unico" per tutte le questioni relative all'attuazione della legge sui dati a livello nazionale, facilitando l'applicazione sia per le imprese che per le autorità pubbliche. Ad esempio, se un'impresa chiede un risarcimento per la violazione dei suoi diritti ai sensi della legge sui dati, il coordinatore dei dati dovrebbe (su richiesta) fornire tutte le informazioni necessarie per aiutarla a presentare il reclamo all'autorità competente appropriata. Il coordinatore dei dati faciliterà inoltre la collaborazione in situazioni transfrontaliere, ad esempio quando un'autorità competente di un determinato Stato membro non sa a quale autorità dovrebbe rivolgersi nello Stato membro del coordinatore dei dati.
La Commissione terrà un registro pubblico delle autorità competenti e dei coordinatori dei dati.
Il comitato europeo per l'innovazione in materia di dati faciliterà le discussioni tra le autorità competenti, ad esempio per coordinare e adottare raccomandazioni sulla fissazione di sanzioni per le violazioni della normativa sui dati. Le sanzioni sono stabilite dalle autorità competenti e, conformemente alla legge sui dati, dovrebbero essere previste sanzioni effettive, proporzionate e dissuasive.
Gli Stati membri possono, se lo desiderano, istituire organismi certificati di risoluzione delle controversie per assistere le parti che non riescono a concordare condizioni eque, ragionevoli e non discriminatorie per la messa a disposizione dei dati. Le parti sono libere di rivolgersi a qualsiasi organismo di risoluzione delle controversie, nello Stato membro in cui sono stabilite o in un altro.
Meccanismi certificati di risoluzione delle controversie e autorità competenti specializzate renderanno più facile per le imprese, in particolare le piccole imprese, far valere i loro diritti ai sensi della legge sui dati in quanto offrono una soluzione semplice, rapida e a basso costo alle parti coinvolte.
Quale sarà il prossimo passo?
La strategia europea per i dati definisce il percorso che l'UE deve seguire per diventare leader nell'economia dei dati. Ciò sarà realizzato attraverso la creazione di un mercato unico europeo dei dati in cui i dati possano circolare tra i settori e gli Stati membri in modo sicuro e affidabile a vantaggio dell'economia e della società. Garantendo l'equità nell'assegnazione del valore dei dati tra le parti interessate, la legge sui dati è un elemento chiave per realizzare questa visione.
La legge sui dati diventerà applicabile il 12 settembre 2025.
Per aiutare le imprese a orientarsi in queste nuove norme, la Commissione raccomanderà una serie di clausole contrattuali tipo per aiutare le imprese a concludere contratti di condivisione dei dati che siano equi, ragionevoli e non discriminatori (capi II e III della legge sui dati). Tali condizioni forniranno inoltre orientamenti su un indennizzo ragionevole e sulla protezione dei segreti commerciali. La Commissione raccomanderà inoltre una serie di clausole contrattuali standard non vincolanti per i contratti di cloud computing tra utenti e fornitori di servizi cloud. È stato istituito un gruppo di esperti per aiutare la Commissione a elaborare tali termini e clausole e prevede di raccomandarli entro l'autunno 2025.
Entro tre anni dalla sua entrata in vigore, la Commissione effettuerà una valutazione dell'impatto della normativa sui dati. Su tale base, se necessario, la Commissione può proporre una modifica dell'atto.
Avviso legale
Il presente documento non deve essere considerato rappresentativo della posizione ufficiale della Commissione europea.