La Gazzetta ufficiale dell’Unione ha pubblicato l’atteso regolamento sui dati (“Data Act”).
Dopo il Data Governance Act, il Data Act è il secondo più rilevante intervento normativo di carattere orizzontale cioè, applicabile a qualsiasi settore, della Strategia UE sui dati promossa dalla Commissione per il triennio 2020/2023.
Il titolo del Data Act è “norme armonizzate sull’accesso equo ai dati e sul loro utilizzo” e indica lo scopo e l’ambito applicativo del regolamento: quello di facilitare l’accesso e l’uso di dati (personali e non-personali) derivanti dall’interazione dell’utente con dispositivi e servizi del mondo IoT, nel rispetto delle leggi applicabili e dei valori dell’Unione.
Il Data Act, quindi, riguarda i dati ottenuti, generati o raccolti da dispositivi, per mezzo dei loro componenti; dati relativi alle loro prestazioni, all’uso o all’ambiente di riferimento e che possono essere messi a disposizione.
Il regolamento stabilisce chi è legittimato ad accedere a questi dati generati da prodotti e relativi servizi, a quali condizioni e su quali basi.
Definizioni e terminologia
Il regolamento sui dati interagisce, tra l’altro, col GDPR e il DGA.
Esso lascia impregiudicato il diritto dell’Unione in materia di protezione dei dati personali – cioè, GDPR, EUDPR e la direttiva ePrivacy. A seguito di ciò, nelle premesse del Data Act si sottolinea l’importanza del rispetto del principio di minimizzazione dei dati personali e del principio della protezione by design e by default anche in questo contesto, quando i dati di riferimento sono dati personali. A tale scopo, si raccomanda di ricorrere a tecnologie che «consentono di applicare gli algoritmi ai dati e di ricavare informazioni preziose senza la trasmissione tra le parti o la copia non necessaria dei dati stessi».
In considerazione di ciò, per le espressioni “dati personali”, “interessato” e “profilazione” utilizzate nel Data Act, si rinvia a quelle del GDPR.
I “servizi di intermediazione dei dati” sono quelli definiti nel DGA.
Ambito applicativo
Diversamente da altri atti normativi sulla strategia UE sui dati in senso lato che riguardano dati detenuti dalla pubblica amministrazione – come il Regolamento sulla libera circolazione dei dati, la direttiva Open Data e il DGA – il Regolamento sui dati comprende anche i dati del settore privato.
L’ambito applicativo del Data Act racchiude nel proprio perimetro la condivisione dei dati e il relativo riutilizzo, in tutti i settori:
- da impresa a impresa, (B2B)
- dall’impresa alla pubblica amministrazione, (B2G)
- dalla pubblica amministrazione all’impresa, (G2B)
- da pubblica amministrazione a pubblica amministrazione, (G2G)
- ma anche dalla pubblica amministrazione o dall’impresa al singolo consumatore, (G2C) o (B2C).
Infatti, «[s]ebbene la nozione di «titolare dei dati» non comprenda generalmente gli enti pubblici, può includere le imprese pubbliche» (Considerando (25).
Il regolamento sui dati riguarda i dati generati da prodotti connessi a Internet e generati mediante l’interazione, diretta o indiretta, con l’utente.
Continua…