La Commissione europea ha rilasciato in data 6 settembre 2024 un documento contenente una raccolta di domande frequenti riguardanti il Data Act (Regolamento (UE) 2023/2584), che stabilisce regole armonizzate per garantire l’equità nella distribuzione del valore generato dai dati tra gli attori del mercato, salvaguardando gli interessi di coloro che investono in tecnologie di generazione dei dati.
Pubblicato circa un anno prima dell’applicazione del Data Act (12 settembre 2025), il corposo documento – 71 domande e risposte – è il risultato di interazioni con gli stakeholder ed è destinato a essere un “documento vivo” che verrà aggiornato quando necessario; quello qui esaminato è la versione 1.1. Presentiamo una sintesi e delle considerazioni sulla prima parte, rimandando il completamento dell’analisi a un momento successivo.
Data Act e GDPR
Si era anticipato nel primo Editoriale che il Data Act interagisce con GDPR e DGA e che lascia impregiudicata l’intera disciplina sui dati personali. Al riguardo, le richiamate FAQ indirizzano le seguenti questioni:
- Come interagisce il Data Act con il GDPR? Il GDPR si applica a tutte le attività di trattamento dei dati personali sotto il Data Act, ad esempio: il diritto di accesso ai dati IoT qualora questi siano “personali” e l’utente non sia l’interessato; nel caso di messa a disposizione a terze parti, dei dati IoT che siano “personali” e l’utente non sia l’interessato; nell’ipotesi di utilizzo concordato dei dati IoT “personali” da parte del titolare dei dati. Il Data Act non regola la protezione dei dati personali, ma ne facilita la condivisione e l’uso equo.
- Come influisce la relazione tra il Data Act e il GDPR sull’applicazione e protezione dei dati personali? Le autorità di protezione dei dati (DPAs) mantengono la competenza per far rispettare le regole sulla protezione dei dati personali.
- Come il Data Act integra i diritti di portabilità dei dati del GDPR? Il Data Act crea un diritto di portabilità migliorato specificamente per il contesto IoT, consentendo agli utenti di accedere e trasferire qualsiasi dato (personale o non personale) generato dall’uso di un prodotto connesso o servizio correlato, indipendentemente dalla base legale e, ove applicabile, in tempo reale.
Continua…