Data Act e cybersecurity, la sicurezza informatica per le aziende

Data Act: cos’è e cosa prevede il regolamento UE

Il Data Act è stato pubblicato il 22 dicembre 2023 ed entrerà in vigore il 12 settembre 2025. Rappresenta parte della più ampia strategia digitale dell’UE, integrando altre normative fondamentali come il Regolamento generale sulla protezione dei dati (GDPR), il Data Governance Act (DGA) e il Digital Markets Act (DMA).

Di fatto, il Data Act:

• stabilisce nuovi diritti per le imprese e per i consumatori in termini di accesso ai dati generati dai “dispositivi connessi“, limitando il controllo esclusivo esercitato da molti titolari di dati come produttori e fornitori di servizi cloud;
• promuove la condivisione e l’innovazione dei dati, oltre a prevenire vincoli contrattuali e tecnici che impediscano agli utenti di cambiare fornitore di servizi. La legge si applica ai produttori di dispositivi connessi, ai fornitori di servizi cloud e a qualsiasi azienda che raccoglie o utilizza i dati generati dai prodotti di Internet delle cose (IoT);
• stabilisce che i fornitori di servizi dati e le aziende che progettano, producono o implementano prodotti abilitati all’IoT dovranno rivedere i contratti e le strategie di governance dei dati per conformarsi ai requisiti della normativa;
• prevede nuove regole per facilitare il passaggio tra fornitori di servizi di elaborazione dati. Ciò potrebbe richiedere ai titolari dei dati di modificare i loro prodotti per raggiungere l’obiettivo di “accesso fin dalla progettazione” previsto dalla normativa in modo che i dati possano essere facilmente trasferiti;
• stabilisce meccanismi per l’accesso ai dati da parte delle autorità pubbliche in caso di emergenze, oltre a fornire garanzie contro accessi non autorizzati da parte di governi stranieri;
• promuove l’interoperabilità tra settori, Stati membri e fornitori di servizi, facilitando la creazione degli Spazi comuni europei dei dati.

Applicazione del Data Act e multe

Il mancato rispetto della legge sui dati può comportare sanzioni significative. L’applicazione sarà gestita a livello nazionale, con multe ed altre misure determinate da ciascuno Stato membro dell’UE.

Se una violazione riguarda i dati personali, le autorità per la protezione dei dati possono imporre multe a livello di GDPR, ovvero, fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale sia il più alto.

Gli Stati membri devono designare una o più autorità per l’applicazione della normativa sui dati. Sebbene le designazioni siano ancora in corso, sembra probabile un approccio frammentato.

Tuttavia, nei casi che coinvolgono dati personali, le autorità di protezione dei dati manterranno la giurisdizione.

L’autorità a cui assegnare l’applicazione del Data Act

È possibile che alcuni Paesi assegnino l’applicazione della legge sui dati e della legge sull’intelligenza artificiale alla stessa autorità.

Ciò sarebbe vantaggioso per le aziende, contribuendo a ridurre la complessità normativa, soprattutto perché il Data Act può essere utilizzato per ottenere l’accesso ai dati a fini di addestramento dell’IA.

Si ritiene che un punto di contatto unico per la sovrapposizione di obblighi potrebbe alleggerire gli oneri di conformità e garantire orientamenti più chiari.

Inoltre, gli Stati membri devono notificare alla Commissione europea i rispettivi quadri nazionali di applicazione e le sanzioni entro il 12 settembre 2025, sebbene non esista un termine fisso per la designazione delle autorità di vigilanza.

Data Act: come prepararsi

Le organizzazioni che operano nella Ue, come primo passo verso la conformità al Data Act dovrebbero condurre un’analisi approfondita delle proprie attività per verificare se rientrano nell’ambito di applicazione della normativa.

Successivamente, esse dovranno intraprendere azioni mirate, verificando cosa cambia per loro in termini di sicurezza e assicurare l’allineamento con i requisiti previsti dalla legge sui dati, tra cui:

• mappare i dati nell’ambito e i casi d’uso;
• esaminare la governance dei dati e i diritti di accesso;
• riconfigurare i sistemi per la condivisione interoperabile dei dati;
• definire e documentare le politiche interne di condivisione dei dati;
• allinearsi al GDPR e ad altre leggi applicabili;
• stabilire il coordinamento tra le varie funzioni;
• garantire la conformità alle restrizioni internazionali sul trasferimento dei dati;
• monitorare le evoluzioni normative;
• assegnare ruoli, definire responsabilità e formare il personale.

Mappa dei dati e casi d’uso del Data Act

Si tratta di: identificare tutti i dati generati dai prodotti connessi e dai servizi correlati, sia personali sia non personali; classificare i dati per tipologia, per scopo e per punti di accesso al fine di determinare cosa rientra nel Data Act e in che modo può essere soggetto a obblighi di condivisione.

Data Act: governance dei dati e diritti di accesso

Qui è necessario analizzare chi controlla l’accesso ai dati e chi valuta gli accordi di condivisione dei dati esistenti, in particolare in contesti B2B, oltre a chiarire i diritti contrattuali, le responsabilità e le eventuali limitazioni relative all’utilizzo e al riutilizzo dei dati.

Condivisione interoperabile dei dati nel Data Act

Si deve garantire che i sistemi siano in grado di fornire dati in formati standardizzati, strutturati e leggibili, oltre a sviluppare o migliorare le API e i meccanismi di condivisione dei dati per soddisfare i requisiti tecnici della normativa sui dati in materia di accessibilità, portabilità e interoperabilità.

Data Act e conformità nel trasferimento dati

In questo ambito è doveroso ricordare che le aziende che operano a livello globale, devono rivedere le politiche per la gestione delle richieste di accesso ai dati provenienti da autorità non UE.

Pertanto, sarà necessario implementare protocolli per valutare la legalità, per informare gli utenti – ove necessario – e valutare i trasferimenti di dati non personali.

Politiche interne di condivisione dei dati

Per definire e documentare le politiche interne di condivisione dei dati, è necessario stabilire politiche chiare che siano in linea con i principi di trasparenza e di correttezza previsti dal Data Act, oltre a stabilire quali dati vengono condivisi, in quali termini, con chi e per quali scopi. E ciò deve essere comunicato con chiarezza agli utenti e a terzi.

Allineamento al GDPR

L’interazione tra la legge sui dati e i quadri giuridici esistenti – in particolare il GDPR – è giuridicamente incerta.

Tuttavia, le aziende dovrebbero valutare e documentare il modo in cui hanno affrontato questo compromesso, oltre a garantire che tutti i processi di condivisione dei dati – che coinvolgono i dati personali – abbiano una base giuridica valida e si riflettano nelle politiche sulla privacy, nei flussi di consenso e nei registri delle attività di trattamento.

Coordinamento tra le varie funzioni nel Data Act

Occorre creare team interfunzionali che coinvolgono le unità legali, privacy, IT, di prodotto e aziendali, oltre a promuovere la collaborazione per gestire la sovrapposizione di obblighi legali, per mitigare i rischi di conformità e per garantire la prontezza tecnica in tutta l’organizzazione.

Monitoraggio delle evoluzioni normative

Risulta necessario aggiornarsi sull’evoluzione degli standard della Ue riferiti all’interoperabilità, agli smart contract e ai meccanismi di compensazione e, ove necessario, integrarli nei processi di appalto, negli accordi di condivisione dei dati e nei sistemi automatizzati.

Ruoli, responsabilità e formazione del personale nel Data Act

Infine è fondamentale definire i ruoli e le relative responsabilità per il recepimento del Data Act, oltre a garantire un’adeguata formazione al personale in termini di gestione delle richieste di accesso ai dati, dell’interoperabilità tecnica e d’interazione con le autorità di regolamentazione o con terze parti.

Data Act e implicazioni per la strategia di sicurezza dei dati

Il Data Act, di fatto, rafforza l’importanza della sicurezza dei dati, imponendo rigorose misure di protezione per le informazioni sensibili. Pertanto, le organizzazioni devono adottare protocolli di protezione efficaci e conformarsi a un insieme integrato di misure tecniche, legali e organizzative per prevenire accessi non autorizzati e violazioni dei dati.

Un approccio proattivo per recepire i requisiti del Data Act

In particolare, è fondamentale intraprendere un approccio proattivo atto a recepire i requisiti del Data Act e adeguare, di conseguenza, le proprie strategie di tutela delle informazioni attraverso:

• identificazione e classificazione dei dati: si tratta di eseguire l’identificazione e la classificazione di tutte le risorse di dati di competenza dell’organizzazione.
• valutazione del rischio: è necessario valutare i rischi associati alle attività di elaborazione dei dati e implementare controlli di sicurezza adeguati.
• definizione delle responsabilità contrattuali: i contratti tra tutte le parti interessate (per esempio, produttori, fornitori di servizi, distributori, rivenditori e utenti finali) dovrebbero: stabilire chiaramente le misure in atto per garantire l’accesso e la condivisione dei dati; assegnare le responsabilità per l’implementazione e il monitoraggio di tali misure; stabilire i diritti e gli obblighi di ciascuna parte.
• interoperabilità tecnica e standardizzazione: le organizzazioni devono valutare se la loro infrastruttura esistente supporta la conformità ai requisiti del Data Act. Per esempio, dovrebbero determinare se gli utenti possono accedere efficacemente a tutti i dati generati dal dispositivo o se è necessario introdurre nuove misure per consentirlo.
• monitoraggio della conformità: si devono implementare meccanismi per monitorare la conformità alle disposizioni del Data Act e garantire il rispetto continuo degli standard di protezione dei dati.

Data Act vs. AI Act: punti di incontro

Le norme che disciplinano l’accesso e l’utilizzo dei dati sono particolarmente rilevanti nel contesto dei sistemi di intelligenza artificiale, che sono in genere composti da set di dati complessi, modelli, componenti software e hardware.

Inoltre, le organizzazioni – laddove i sistemi di intelligenza artificiale siano integrati in prodotti connessi o servizi correlati (per esempio, assistenti vocali intelligenti, sistemi di automazione industriale basati sull’apprendimento automatico od altre applicazioni integrate nell’IoT) – dovranno valutare il modo in cui l’AI Act e Data Act interagiscono, oltre a garantire che siano in atto misure di salvaguardia sia tecniche sia contrattuali per soddisfare tutti gli obblighi applicabili.

Per esempio, il requisito del Data Act secondo cui i prodotti connessi devono consentire agli utenti di accedere, utilizzare e condividere in modo semplice e sicuro i dati che generano si sposa con l’attenzione dell’AI Act alla trasparenza e all’accessibilità, rendendo essenziale per le organizzazioni implementare misure che soddisfino i requisiti di entrambe le normative.

Di fatto, il Data Act mira alla protezione dei dati sensibili, riconoscendo la sicurezza come elemento fondamentale nell’attuale contesto digitale. Pertanto, impone misure rigorose di tutela delle informazioni ed obbliga le organizzazioni ad adottare solidi protocolli di sicurezza per proteggere dati commercialmente sensibili, segreti industriali e informazioni coperte da diritti di proprietà intellettuale o da obblighi di riservatezza previsti dal diritto europeo.

La conformità del Data Act al quadro normativo

Inoltre, il Data Act sottolinea l’importanza della conformità al quadro normativo europeo, richiedendo ai fornitori di servizi di trattamento dei dati l’adozione di garanzie tecniche, legali e organizzative complete per prevenire accessi non autorizzati, violazioni dei dati e conflitti con le leggi dell’UE o dei singoli Stati membri.

Infine, la normativa, promuovendo la protezione delle informazioni sensibili, mira a rafforzare la fiducia, stimolare l’innovazione e tutelare i diritti alla privacy, riaffermando così l’impegno dell’Unione a difendere i diritti fondamentali dei cittadini nell’era digitale.

Azioni concrete per raggiungere una conformità completa

Il Data Act introduce requisiti su cui le organizzazioni dovranno concentrarsi nei prossimi mesi per garantire una conformità tempestiva ed efficace.

A tal proposito la Commissione europea svilupperà clausole contrattuali modello per supportare le aziende nella redazione di accordi equi ed equilibrati per la condivisione dei dati.

Inoltre, le organizzazioni dovranno acquisire una chiara comprensione del Data Act e delle sue intersezioni con le altre leggi vigenti, in particolare con l’AI Act in modo da individuare le azioni concrete necessarie per raggiungere una conformità completa ed efficace, insieme a una tempistica di attuazione realistica che tenga conto sia delle misure tecniche – anche in termini di cyber security – sia dei necessari adeguamenti contrattuali e informativi.