Una panoramica completa della legge sui dati, compresi i suoi obiettivi e il suo funzionamento pratico.
Perché la legge sui dati?
La legge sui dati è una legge concepita per migliorare l'economia dei dati dell'UE e promuovere un mercato dei dati competitivo rendendo i dati (in particolare i dati industriali) più accessibili e utilizzabili, incoraggiando l'innovazione basata sui dati e aumentando la disponibilità dei dati. A tal fine, il regolamento sui dati garantisce l'equità nella ripartizione del valore dei dati tra gli attori dell'economia dei dati. Chiarisce chi può utilizzare quali dati e a quali condizioni. Per informazioni più approfondite, si prega di esaminare le domande frequenti (FAQ) sulla legge sui dati.
Negli ultimi anni si è registrata una rapida crescita della disponibilità di prodotti connessi a Internet ("prodotti connessi") sul mercato europeo. Questi prodotti, che insieme compongono una rete nota come Internet delle cose (IoT), aumentano significativamente il volume di dati disponibili per il riutilizzo nell'UE. Ciò rappresenta un enorme potenziale per l'innovazione e la competitività nell'UE.
La legge sui dati offre agli utenti di prodotti connessi (imprese o individui che possiedono, affittano o affittano un tale prodotto) un maggiore controllo sui dati che generano, mantenendo al contempo incentivi per coloro che investono nelle tecnologie dei dati. Inoltre, stabilisce condizioni generali per le situazioni in cui un'impresa ha l'obbligo giuridico di condividere i dati con un'altra impresa.
La legge sui dati comprende anche misure volte ad aumentare l'equità e la concorrenza nel mercato europeo del cloud, nonché a proteggere le imprese da clausole contrattuali abusive relative alla condivisione dei dati imposte da attori più forti. Stabilisce inoltre un meccanismo attraverso il quale gli enti pubblici possono richiedere dati a un'impresa in caso di necessità eccezionale, ad esempio in situazioni di emergenza pubblica, e stabilisce norme chiare sulle modalità di presentazione di tali richieste. Introduce inoltre garanzie per evitare che gli organismi governativi di paesi terzi possano accedere a dati non personali qualora ciò sia contrario al diritto dell'UE o nazionale. Infine, la normativa sui dati definisce i requisiti essenziali in materia di interoperabilità per garantire che i dati possano circolare senza soluzione di continuità tra i settori e gli Stati membri, agevolati dagli spazi comuni europei dei dati, nonché tra i fornitori di servizi di trattamento dei dati.
La legge sui dati è stata pubblicata nella Gazzetta ufficiale dell'UE il 22 dicembre 2023 e si applica dal 12 settembre 2025.
Il regolamento sui dati integra il regolamento sulla governance dei dati, che è diventato applicabile nel settembre 2023. Mentre il regolamento sulla governance dei dati accresce la fiducia nei meccanismi volontari di condivisione dei dati, il regolamento sui dati fornisce chiarezza giuridica per quanto riguarda l'accesso ai dati e il loro utilizzo.
Insieme ad altre misure politiche e opportunità di finanziamento, questi due regolamenti contribuiscono alla creazione di un mercato unico dell'UE per i dati. L'obiettivo è rendere l'Europa un leader nell'economia dei dati sfruttando il potenziale delle quantità sempre crescenti di dati, in particolare i dati industriali, a beneficio dell'economia e della società europee.
Questioni affrontate
A seguito delle disposizioni generali (capitolo I) che definiscono il campo di applicazione del regolamento e definiscono i termini chiave, la legge sui dati è strutturata in sei capitoli principali:
Capo II sulla condivisione dei dati tra imprese e tra imprese e consumatori nel contesto dell'IoT: gli utenti di oggetti IoT possono accedere, utilizzare e trasferire i dati che cogenerano attraverso l'uso di un prodotto connesso.
Capo III sulla condivisione dei dati tra imprese: ciò chiarisce le condizioni di condivisione dei dati laddove un'impresa sia obbligata per legge, anche attraverso la legge sui dati, a condividere i dati con un'altra impresa.
Capo IV sulle clausole contrattuali abusive: tali disposizioni proteggono tutte le imprese, in particolare le PMI, dalle clausole contrattuali abusive loro imposte.
Capo V sulla condivisione dei dati tra imprese e amministrazioni pubbliche: gli enti pubblici saranno in grado di prendere decisioni più basate su dati concreti in determinate situazioni di necessità eccezionale attraverso misure per accedere a determinati dati detenuti dal settore privato.
Capo VI sul passaggio da un servizio di trattamento dei dati all'altro: i fornitori di servizi di cloud computing e di edge computing devono soddisfare requisiti minimi per facilitare l'interoperabilità e consentire il passaggio.
Capo VII sull'accesso illecito delle amministrazioni di paesi terzi ai dati: i dati non personali conservati nell'UE sono protetti da richieste di accesso illegali da parte di governi stranieri.
Capo VIII sull'interoperabilità: i partecipanti agli spazi di dati devono soddisfare i criteri per consentire il flusso dei dati all'interno degli spazi di dati e tra di essi. Un repertorio dell'UE stabilirà le norme e le specifiche pertinenti per l'interoperabilità nel cloud.
Capo IX sull'esecuzione: Gli Stati membri devono designare una o più autorità competenti per monitorare e applicare la legge sui dati. Qualora siano designate più autorità, deve essere nominato un "coordinatore dei dati" che funga da punto di contatto unico a livello nazionale.
Capo II: Condivisione dei dati business-to-business e business-to-consumer nel contesto del mercato IoT
Perché?
Un obiettivo chiave della legge sui dati è creare equità nell'economia dei dati e consentire agli utenti di raccogliere valore dai dati che generano utilizzando i prodotti connessi di loro proprietà, in affitto o in leasing.
La legge sui dati consente agli utenti di prodotti connessi (ad esempio automobili connesse, dispositivi medici e di fitness, macchine industriali o agricole) e servizi correlati (vale a dire tutto ciò che farebbe sì che un prodotto connesso si comporti in un modo specifico, come un'app per regolare la luminosità delle luci o per regolare la temperatura di un frigorifero) di accedere ai dati che co-creano utilizzando i prodotti connessi / servizi correlati.
La disponibilità di tali dati avrà un impatto significativo sull'economia. Ad esempio, i dati generati dai prodotti connessi e dai servizi correlati possono essere utilizzati per promuovere i servizi post-vendita e ausiliari e per creare servizi completamente nuovi, a vantaggio sia delle imprese che dei consumatori.
Esempi di prodotti connessi: prodotti di consumo (ad esempio automobili connesse, dispositivi di monitoraggio della salute, dispositivi per la casa intelligente), altri prodotti (ad esempio aerei, robot, macchine industriali).
Esempio di un servizio correlato: un utente acquista una lavatrice e installa un'applicazione che consente di misurare l'impatto ambientale del ciclo di lavaggio in base ai dati provenienti dai diversi sensori all'interno della macchina e regola il ciclo di conseguenza. Questa applicazione sarebbe considerata un servizio correlato.
Esempi di servizi post-vendita e accessori: servizi di riparazione e manutenzione, assicurazione basata sui dati.
Tipi di dati che rientrano nell'ambito di applicazione
Il capo II della legge sui dati relativi alla condivisione dei dati tra imprese e tra imprese e consumatori si applica a tutti i dati grezzi e pretrattati generati dall'uso di un prodotto connesso o di un servizio correlato che sono prontamente disponibili per il titolare dei dati (ad esempio il fabbricante di un prodotto connesso/il fornitore di un servizio correlato), in altre parole i dati ai quali è possibile accedere facilmente senza sforzi sproporzionati, andando oltre una semplice operazione. Ciò vale sia per i dati personali che per quelli non personali, compresi i metadati pertinenti.
Tali dati comprendono i dati raccolti da un singolo sensore o da un gruppo di sensori collegati, quali temperatura, pressione, portata, audio, valore del pH, livello del liquido, posizione, accelerazione o velocità.
I dati e i contenuti desunti o derivati (ad esempio dati altamente arricchiti, materiale audiovisivo) non rientrano nell'ambito di applicazione. Inoltre, la legge sui dati lascia impregiudicate le leggi sulla protezione dei diritti di proprietà intellettuale.
Ad esempio, se un utente guarda un film sul proprio televisore collegato, il film stesso non rientra nell'ambito di applicazione, ma i dati sulla luminosità dello schermo rientrano nell'ambito di applicazione.
In pratica
Il capo II della legge sui dati consente agli utenti (ossia a qualsiasi persona fisica o giuridica che possiede, affitta o noleggia un prodotto connesso) di accedere ai dati che generano attraverso l'uso del prodotto connesso o del servizio correlato. Se l'utente desidera condividere tali dati con un'altra entità o persona fisica ("terzo"),può farlo direttamente o può chiedere al titolare dei dati di condividerli con un terzo di sua scelta (esclusi i gatekeeper ai sensi della legge sui mercati digitali). Il titolare dei dati è in genere l'azienda che realizza il prodotto connesso o che fornisce un servizio correlato. Il titolare dei dati deve avere un contratto con l'utente (ad esempio contratto di vendita, contratto di noleggio, contratto di servizi correlati, ecc.) che definisce i diritti relativi all'accesso, all'uso e alla condivisione dei dati generati dal prodotto connesso o dal servizio correlato. È importante notare che il titolare dei dati non può utilizzare dati non personali generati dal prodotto senza il consenso dell'utente.
A titolo di esempio, e tenendo presente che il contratto in questione determina i ruoli esatti:
-
Un'azienda gestisce un bulldozer: il titolare dei dati sarebbe in genere il produttore di bulldozer e l'utente sarebbe la società che gestisce il bulldozer.
-
Se qualcuno acquista un frigorifero collegato e scarica un'app che li aiuta a regolare la temperatura ottimale per il contenuto del frigorifero, ci sarebbero potenzialmente due titolari dei dati, vale a dire l'entità che ha immesso il frigorifero sul mercato e l'entità che offre il relativo servizio (l'app), e solo l'utente (il proprietario del frigorifero).
La legge sui dati prevede diversi meccanismi per agevolare l'utilizzo di tali disposizioni da parte degli utenti: i titolari dei dati devono fornire all'utente informazioni sul tipo di dati che genereranno quando utilizzeranno il prodotto connesso o il servizio correlato (compresi il volume, la frequenza di raccolta, ecc.); gli utenti dovrebbero poter richiedere l'accesso ai dati attraverso un processo semplice; e i titolari dei dati devono mettere i dati a disposizione degli utenti gratuitamente.
Limitazioni all'uso dei dati
Per non scoraggiare le imprese dall'investire in prodotti che generano dati, i dati ottenuti non possono essere utilizzati per sviluppare un prodotto connesso concorrente. La legge sui dati non vieta la concorrenza nei servizi correlati o post-vendita. Inoltre, ai sensi della legge sui dati, il titolare dei dati non è tenuto a condividere i dati con terzi con sede al di fuori dell'UE.
La legge sui dati è pienamente conforme alle norme in materia di protezione dei dati, in particolare al GDPR. Se l'utente non è l'interessato i cui dati sono richiesti, i dati personali possono essere resi disponibili solo se esiste una base giuridica valida (ad esempio il consenso). Si tratta di una considerazione importante in quanto i dati cogenerati contengono spesso dati sia personali che non personali, che possono essere difficili da separare.
Incentiva lo sviluppo di prodotti e servizi connessi basati su nuovi flussi di dati, che sono di particolare valore per le imprese più piccole. Inoltre, le microimprese e le piccole imprese, in quanto produttori o fornitori di servizi correlati, non sono soggette agli stessi obblighi delle imprese più grandi.
Per proteggere i segreti commerciali senza compromettere l'obiettivo della legge sui dati di rendere disponibili più dati, il titolare dei dati e l'utente/terzo possono concordare determinate misure per preservare la riservatezza dei segreti commerciali. Qualora tali misure non siano rispettate, il titolare dei dati può rifiutare o sospendere la condivisione dei dati. Il titolare dei dati può rifiutarsi di condividere i dati solo se è in grado di dimostrare che è altamente probabile che subisca gravi danni economici a causa della divulgazione di segreti commerciali.
Il titolare dei dati e l'utente possono convenire di limitare la condivisione dei dati se sussiste il rischio che i requisiti di sicurezza del prodotto connesso possano essere compromessi, con gravi effetti negativi per la salute, la sicurezza o la protezione delle persone. Tali requisiti devono essere stabiliti dal diritto dell'UE o nazionale.
Se il titolare dei dati sospende, rifiuta o rifiuta di condividere i dati per motivi di protezione dei segreti commerciali o di requisiti di sicurezza, deve informarne l'autorità nazionale competente. Gli utenti possono impugnare tale decisione dinanzi all'organo giurisdizionale competente di uno Stato membro mediante un reclamo presso l'autorità competente o previo accordo con il titolare dei dati dinanzi a un organismo di risoluzione delle controversie.
Capo III: Norme sulla condivisione obbligatoria dei dati tra imprese
Perché?
La legge sui dati introduce norme per le situazioni in cui un'impresa ("titolare dei dati") ha l'obbligo giuridico, ai sensi del diritto dell'UE o nazionale, di mettere i dati a disposizione di un'altra impresa ("destinatario dei dati"), anche nel contesto dei dati IoT. In particolare, i termini e le condizioni per la condivisione dei dati devono essere equi, ragionevoli e non discriminatori.
Come incentivo alla condivisione dei dati, i titolari dei dati che sono tenuti a condividere i dati possono chiedere al destinatario dei dati un "indennizzo ragionevole".
Tipi di dati che rientrano nell'ambito di applicazione
Il capo III della legge sui dati si applica a tutti i dati (personali e non personali) detenuti da un'impresa, comprese le situazioni di cui al capo II della legge sui dati.
In pratica
I titolari dei dati possono chiedere un compenso ragionevole per aver messo i dati a disposizione di un destinatario dei dati. Ciò potrebbe includere i costi sostenuti per la messa a disposizione dei dati nonché i costi tecnici relativi alla diffusione e all'archiviazione. Tuttavia, alle microimprese, alle PMI e agli organismi di ricerca senza scopo di lucro non possono essere addebitati costi superiori a quelli sostenuti per la messa a disposizione dei dati.
Al fine di proteggere i titolari dei dati, la legge sui dati include un elenco non esaustivo di misure per porre rimedio a situazioni in cui un terzo o un utente ha avuto accesso o utilizzato dati illecitamente. Ad esempio, un titolare dei dati potrebbe esigere che una parte lesa interrompa la produzione del prodotto in questione o distrugga i dati ottenuti illecitamente, oppure potrebbe chiedere un risarcimento.
Restano impregiudicati gli obblighi di condivisione dei dati che precedono la legge sui dati. Gli obblighi della futura legislazione (settoriale) dovrebbero essere allineati alle disposizioni del capo III della legge sui dati.
Capo IV: Clausole contrattuali abusive
Perché?
La libertà contrattuale è fondamentale per i rapporti business-to-business. Tuttavia, la legge sui dati mira a proteggere tutte le imprese europee che cercano di acquisire dati, in particolare le PMI, dalle clausole contrattuali abusive attraverso le sue misure per intervenire in situazioni in cui, ad esempio, una delle imprese si trova in una posizione negoziale più forte (ad esempio a causa delle sue dimensioni di mercato) e impone una clausola non negoziabile ("take-it-or-leave-it") relativa all'accesso ai dati e al loro utilizzo dall'altra.
Tipi di dati che rientrano nell'ambito di applicazione
Tali norme riguardano tutti i dati, sia personali che non personali, detenuti da un soggetto privato a cui si accede e che viene utilizzato sulla base di un contratto tra imprese.
In pratica
Le clausole "take-it-or-leave-it" imposte unilateralmente possono, qualora riguardino la messa a disposizione dei dati, essere soggette a una verifica del carattere abusivo.
La legge sui dati stabilisce un elenco non esaustivo di clausole che sono sempre considerate abusive (ad esempio che escluderebbero o limiterebbero la responsabilità della parte che ha imposto unilateralmente la clausola per atti intenzionali o negligenza grave) e di clausole che si presume siano abusive (ad esempio che limiterebbero in modo inappropriato i rimedi in caso di inadempimento degli obblighi contrattuali o la responsabilità in caso di violazione di tali obblighi, o estenderebbero la responsabilità dell'impresa alla quale la clausola è stata imposta unilateralmente). Se una clausola è considerata abusiva, non è più valida e, ove possibile, è semplicemente separata dal contratto. Se si presume che sia abusiva, l'entità che ha imposto la clausola può tentare di dimostrare che la clausola non è abusiva.
Capo V: Condivisione dei dati tra imprese e amministrazioni pubbliche
Perché?
I dati detenuti da soggetti privati possono essere essenziali affinché un ente pubblico possa svolgere un compito di interesse pubblico. Il capo V della legge sui dati consente agli enti pubblici di accedere a tali dati, a determinate condizioni, qualora vi sia una necessità eccezionale. Quest'ultimo si riferisce a una situazione imprevedibile e limitata nel tempo, in cui i dati detenuti da un soggetto privato sono necessari per l'esecuzione del compito di interesse pubblico, in particolare per migliorare il processo decisionale basato su elementi concreti. Le situazioni di necessità eccezionale comprendono sia le emergenze pubbliche (quali gravi catastrofi naturali o indotte dall'uomo, pandemie e incidenti di cibersicurezza) sia le situazioni non di emergenza (ad esempio, i dati aggregati e anonimizzati dei sistemi GPS dei conducenti potrebbero essere utilizzati per contribuire a ottimizzare i flussi di traffico).
La legge sui dati garantirà che le autorità pubbliche abbiano accesso a tali dati in modo tempestivo e affidabile, senza imporre un onere amministrativo indebito alle imprese.
Tipi di dati che rientrano nell'ambito di applicazione
Ai sensi del capo V, tutti i dati rientrano nell'ambito di applicazione, con particolare attenzione ai dati non personali.
Il capo V della legge sui dati sulla condivisione dei dati tra imprese e amministrazioni pubbliche distingue tra due scenari:
-
Per rispondere a un'emergenza pubblica, un ente pubblico dovrebbe richiedere dati non personali. Tuttavia, se questo non è sufficiente per rispondere alla situazione, i dati personali possono essere richiesti. Ove possibile, tali dati dovrebbero essere resi anonimi dal titolare dei dati.
-
In situazioni non di emergenza, gli enti pubblici possono richiedere solo dati non personali.
Principali portatori di interessi
Tra i soggetti autorizzati a richiedere dati figurano gli enti pubblici degli Stati membri e alcune istituzioni, organi e agenzie dell'UE. Tali soggetti possono anche condividere i dati con organizzazioni che svolgono attività di ricerca e finanziano, a determinate condizioni.
Nel contesto delle richieste tra imprese e amministrazioni pubbliche, i titolari dei dati sono in genere soggetti privati, ma possono includere anche imprese pubbliche.
In pratica
Un ente pubblico può, a determinate condizioni, obbligare un titolare dei dati a mettere a disposizione determinati dati senza indebito ritardo per rispondere a un'emergenza pubblica. La legge sui dati definisce un'emergenza pubblica; ma la sua esistenza è determinata in base a procedure o leggi nazionali o dell'UE.
Per esigenze eccezionali non connesse a un'emergenza pubblica, un ente pubblico può richiedere dati non personali per svolgere un compito specifico di interesse pubblico che è stato previsto dalla legge, se l'ente pubblico può dimostrare di non essere stato in grado di accedere ai dati con altri mezzi.
In entrambi i casi (emergenza e non emergenza), le richieste devono rispettare una serie di principi e condizioni rigorosi. Ad esempio, le richieste devono essere specifiche, trasparenti e proporzionate, i segreti commerciali devono essere protetti e i dati devono essere cancellati una volta che non sono più necessari.
La tabella seguente riassume ciò che le imprese possono richiedere per fornire dati a un ente pubblico in questo contesto.
Compensazione per la messa a disposizione dei dati a norma del capo V della legge sui dati
| Le imprese diverse dalle microimprese e dalle piccole imprese possono chiedere: | Le micro e piccole imprese possono chiedere: | |
| Emergenza pubblica | Le imprese possono chiedere che il loro contributo ai dati sia riconosciuto e pubblicamente riconosciuto dall'ente pubblico ricevente. | Remunerazione ragionevole non superiore ai costi tecnici e organizzativi sostenuti + riconoscimento pubblico, su richiesta |
| Situazione non di emergenza | Retribuzione ragionevole non superiore ai costi tecnici e organizzativi sostenuti (ad eccezione della produzione di statistiche ufficiali) | N/A (esente dall'obbligo di fornire i dati) |
Per ridurre al minimo l'onere per le imprese, gli stessi dati non possono essere richiesti più di una volta ("principio una tantum") da più di un ente pubblico. Per questo motivo, tutte le richieste devono essere rese pubbliche dal coordinatore dei dati (a meno che non vi sia un problema di sicurezza).
Capo VI: Passaggio da un servizio di elaborazione dati all'altro
Perché?
Al fine di garantire un mercato competitivo nell'UE, i clienti dei servizi di trattamento dei dati (compresi i servizi cloud ed edge) dovrebbero poter passare senza soluzione di continuità da un fornitore all'altro. Tuttavia, i clienti si trovano attualmente di fronte a una serie di ostacoli, tra cui oneri elevati associati, ad esempio, all'uscita dei dati, a procedure lunghe e alla mancanza di interoperabilità tra i fornitori che possono comportare una perdita di dati e applicazioni.
Il Data Act renderà il passaggio libero, veloce e fluido. Ciò andrà a vantaggio dei clienti, che possono scegliere liberamente i servizi che meglio soddisfano le loro esigenze, nonché dei fornitori, che beneficeranno di un pool più ampio di clienti.
Ambito di applicazione
Il capo VI della legge sui dati si applica ai fornitori di servizi di trattamento dei dati (ossia servizi digitali che consentono l'accesso onnipresente e a richiesta alla rete, quali reti, server o altre infrastrutture e software virtuali o fisici). I dati fondamentali per il passaggio comprendono i dati di input e output, compresi i metadati, generati dall'uso del servizio da parte del cliente, esclusi i dati protetti da diritti di proprietà intellettuale o che costituiscono un segreto commerciale del prestatore di servizi.
In pratica
Per superare lo squilibrio di potere tra fornitori e clienti nel mercato del cloud, la legge sui dati stabilisce requisiti minimi per il contenuto dei contratti di cloud. In particolare, i clienti del settore pubblico e privato beneficeranno di una trasparenza contrattuale molto maggiore.
La legge sui dati prevede misure volte a garantire che i clienti possano passare da un fornitore di servizi di trattamento dei dati ("fornitore di fonti") a un altro fornitore ("destinazione") in modo rapido e agevole, senza perdere alcun dato o la funzionalità delle applicazioni. Ad esempio, i fornitori di Platform and Software as a Service devono rendere disponibili interfacce aperte e, come minimo, esportare i dati in un formato di uso comune e leggibile meccanicamente. I fornitori di infrastrutture come servizio devono adottare misure per facilitare che, quando un cliente passa a un servizio dello stesso tipo, il cliente ottenga risultati materialmente comparabili in risposta allo stesso input per caratteristiche che entrambi i servizi condividono ("equivalenza funzionale"). Come esempio di tale misura, il fornitore di origine potrebbe dover utilizzare strumenti per spostare i carichi di lavoro di calcolo da una tecnologia di virtualizzazione all'altra.
Tutti i fornitori sono tenuti a rimuovere gli ostacoli che i loro clienti potrebbero incontrare quando desiderano passare a un altro fornitore o utilizzare più servizi contemporaneamente.
A decorrere dal 12 gennaio 2027 la legge sui dati eliminerà del tutto anche le spese di trasferimento, comprese le spese per l'uscita dei dati (ossia le spese per il transito dei dati). Ciò significa che i fornitori non saranno in grado di addebitare ai loro clienti le operazioni necessarie per facilitare il passaggio o l'uscita dei dati. Tuttavia, come misura transitoria durante i primi tre anni successivi all'entrata in vigore della legge sui dati (dall'11 gennaio 2024 al 12 gennaio 2027), i fornitori possono ancora addebitare ai loro clienti i costi sostenuti in relazione al passaggio e all'uscita dei dati.
Capo VII: Accesso illegale delle amministrazioni di paesi terzi
Perché?
Talvolta, una decisione o una sentenza emessa da un paese al di fuori dell'UE ("paese terzo") mira a consentire al governo l'accesso ai dati non personali trattati e conservati all'interno dell'UE e il loro trasferimento. Tuttavia, in alcuni casi, concedere l'accesso o il trasferimento di tali dati può essere effettivamente illecito, in particolare quando la richiesta è in contrasto con il diritto dell'UE e con le garanzie in materia di tutela dei diritti fondamentali delle persone, degli interessi di sicurezza nazionale o dei dati sensibili sotto il profilo commerciale.
La legge sui dati segue la legge sulla governance dei dati per quanto riguarda le disposizioni volte a prevenire l'accesso e il trasferimento illeciti da parte di governi di paesi terzi di dati non personali detenuti nell'UE. Tali disposizioni non hanno alcun impatto sulla normale condivisione dei dati tra imprese. Aumentano la trasparenza e la certezza del diritto per quanto riguarda il processo e le condizioni in base ai quali i dati non personali possono essere consultati o trasferiti a organismi governativi di paesi terzi.
Tipi di dati che rientrano nell'ambito di applicazione
Qualsiasi dato non personale detenuto nell'UE da un fornitore di un servizio di trattamento dei dati.
In pratica
La legge sui dati non vieta i flussi transfrontalieri di dati, ma garantisce che la protezione offerta ai dati nell'UE viaggi con i dati trasferiti al di fuori dell'UE.
In tale contesto, la legge sui dati stabilisce norme e garanzie per le richieste di accesso da parte di un ente pubblico straniero ai dati non personali detenuti nell'Unione. Tali disposizioni lasciano impregiudicata la cooperazione internazionale legittima in materia di applicazione della legge.
Se non esiste un accordo internazionale che disciplini l'accesso da parte di un governo di un paese terzo a dati non personali situati all'interno dell'UE, i dati possono essere trasferiti o consultati solo a condizioni specifiche. Tali condizioni si riferiscono a determinate garanzie a tutela dei diritti europei che devono essere soddisfatte dall'ordinamento giuridico del paese terzo, tra cui l'obbligo di motivare la decisione e di valutarne la proporzionalità. Il fornitore di servizi di trattamento dei dati oggetto di tale decisione può contattare l'organismo nazionale competente per valutare se le condizioni stabilite nella legge sui dati sono soddisfatte. Per contribuire a valutare se tali condizioni sono state soddisfatte, la Commissione europea elaborerà orientamenti insieme al comitato europeo per l'innovazione in materia di dati (un gruppo di esperti istituito a norma dell'atto sulla governance dei dati per facilitare la condivisione delle migliori pratiche e dare priorità alle norme di interoperabilità intersettoriale).
I fornitori di servizi di trattamento dei dati dovrebbero adottare tutte le misure ragionevoli (ad esempio cifratura, audit, aderenza ai sistemi di certificazione) per impedire l'accesso ai sistemi in cui memorizzano dati non personali. Tali misure dovrebbero essere pubblicate sui loro siti web. Inoltre, ove possibile, dovrebbero informare i loro clienti prima di dare accesso ai loro dati.
Capo VIII: Interoperabilità
Perché?
Le norme e l'interoperabilità sono fondamentali per garantire che i dati provenienti da fonti diverse possano essere utilizzati all'interno degli spazi comuni europei di dati e tra di essi per promuovere la ricerca e sviluppare nuovi prodotti o servizi. A tal fine, la legge sui dati stabilisce alcuni requisiti essenziali che i partecipanti agli spazi di dati devono rispettare e che possono essere ulteriormente specificati dalla Commissione europea mediante atti delegati.
Essa mira inoltre a garantire l'interoperabilità tra i servizi di trattamento dei dati; ciò è essenziale affinché i clienti possano beneficiare di un passaggio più agevole.
Principali portatori di interessi
Il presente capitolo si rivolge ai partecipanti agli spazi di dati che offrono dati o servizi basati su dati ad altri partecipanti e che facilitano o partecipano alla condivisione dei dati all'interno degli spazi di dati.
Si rivolge anche ai fornitori di contratti intelligenti e ai fornitori di servizi di elaborazione dati.
In pratica
I partecipanti allo spazio di dati dovrebbero rispettare diversi requisiti essenziali per consentire il flusso dei dati all'interno degli spazi di dati e tra di essi. Ad esempio, una descrizione delle strutture di dati, dei formati di dati e dei vocabolari, ove disponibili, dovrebbe essere accessibile al pubblico. Dovrebbero inoltre essere garantiti i mezzi per garantire l'interoperabilità degli accordi di condivisione dei dati, come i contratti intelligenti.
La legge sui dati prepara inoltre il terreno per aumentare l'interoperabilità dei servizi di trattamento dei dati attraverso norme armonizzate e specifiche di interoperabilità aperte.
Inoltre, stabilisce requisiti per i venditori di contratti intelligenti per l'esecuzione automatizzata di accordi di condivisione dei dati, ad esempio per garantire che essi attuino correttamente le disposizioni dell'accordo di condivisione dei dati e resistano alla manipolazione da parte di terzi.
La Commissione valuterà gli ostacoli all'interoperabilità e darà priorità alle esigenze di normazione, sulla base delle quali potrà chiedere alle organizzazioni europee di normazione di elaborare norme armonizzate conformi ai suddetti requisiti.
Se la richiesta non porta a una norma armonizzata o se la norma non è sufficiente a garantire la conformità alla normativa sui dati, la Commissione può adottare specifiche comuni come soluzione alternativa. Questi dovrebbero essere sviluppati in modo aperto e inclusivo, tenendo conto dei riscontri del comitato europeo per l'innovazione in materia di dati.
Capo IX: Applicazione e disposizioni generali
Gli Stati membri designeranno una o più autorità competenti (nuove o esistenti) per garantire l'attuazione efficiente della normativa sui dati. Ovunque vi siano più autorità competenti, gli Stati membri devono designare una di esse come "coordinatore dei dati". Il coordinatore dei dati fungerà da "sportello unico" per tutte le questioni relative all'attuazione della legge sui dati a livello nazionale, facilitando l'applicazione sia per le imprese che per le autorità pubbliche. Ad esempio, se un'impresa chiede un risarcimento per la violazione dei propri diritti ai sensi della legge sui dati, il coordinatore dei dati dovrebbe (su richiesta) fornire tutte le informazioni necessarie per aiutarla a presentare il reclamo all'autorità competente. Il coordinatore dei dati faciliterà inoltre la collaborazione in situazioni transfrontaliere, ad esempio quando un'autorità competente di un determinato Stato membro non sa a quale autorità dovrebbe rivolgersi nello Stato membro del coordinatore dei dati.
La Commissione terrà un registro pubblico delle autorità competenti e dei coordinatori dei dati.
Il comitato europeo per l'innovazione in materia di dati faciliterà le discussioni tra le autorità competenti, ad esempio per coordinare e adottare raccomandazioni sulla fissazione di sanzioni in caso di violazione della legge sui dati. Le sanzioni sono stabilite dalle autorità competenti e, ai sensi della legge sui dati, dovrebbero essere previste sanzioni effettive, proporzionate e dissuasive.
Gli Stati membri possono, se lo desiderano, istituire organismi certificati di risoluzione delle controversie per assistere le parti che non riescono a concordare condizioni eque, ragionevoli e non discriminatorie per la messa a disposizione dei dati. Le parti sono libere di rivolgersi a qualsiasi organismo di risoluzione delle controversie, nello Stato membro in cui sono stabilite o in un altro.
I meccanismi certificati di risoluzione delle controversie e le autorità competenti specializzate renderanno più facile per le imprese, in particolare le piccole imprese, far valere i loro diritti ai sensi della legge sui dati, in quanto offrono una soluzione semplice, rapida e a basso costo alle parti coinvolte.
Sostenere l'attuazione della normativa sui dati
La legge sui dati si applica dal 12 settembre 2025. Per aiutare le imprese a orientarsi in queste nuove norme, la Commissione ha pubblicato:
- Domande frequenti (FAQ) sulla legge sui dati
- Progetto di raccomandazione sulle clausole contrattuali tipo non vincolanti per l'accesso e l'uso dei dati (MCT) e sulle clausole contrattuali tipo non vincolanti per i contratti di cloud computing (SCC)
- Orientamenti sui dati dei veicoli, che accompagnano la normativa sui dati
In futuro la Commissione pubblicherà orientamenti su un compenso ragionevole per la condivisione obbligatoria dei dati tra imprese nel contesto del capo III della legge sui dati.
Basandosi sui materiali di orientamento già pubblicati, l'helpdesk giuridico sulla legge sui dati lanciato offre alle parti interessate orientamenti concreti sulle questioni giuridiche relative alla legge sui dati.
Nell'omnibus digitale la Commissione propone modifiche specifiche alla legge sui dati per fornire un aiuto immediato alle imprese, alle pubbliche amministrazioni e ai cittadini e per stimolare la competitività.
Entro tre anni dalla sua entrata in vigore, la Commissione effettuerà una valutazione dell'impatto della legge sui dati. Su tale base, se necessario, la Commissione può proporre una modifica della legge.
Avviso legale
Il presente documento non dovrebbe essere considerato rappresentativo della posizione ufficiale della Commissione europea.