DATA ACT, I CHIARIMENTI DELLA COMMISSIONE EUROPEA

Nel complesso quadro normativo che attiene alla protezione, alla governance e all’utilizzo dei dati, il Data act va a regolare l’uso commerciale dei dati per garantire un loro impiego corretto senza limitare le opportunità per il mercato. Esso si integra con le altre norme, anche di settore, a partire dal Gdpr

DATA ACT, I CHIARIMENTI DELLA COMMISSIONE EUROPEA
Uno dei pilastri fondamentali su cui si basa il mondo delle assicurazioni è rappresentato dall’uso e gestione dei dati dei clienti, siano essi individui o entità giuridiche, come le società. I dati sono una risorsa preziosa e la loro tutela, nonché il loro utilizzo corretto, è diventata una priorità crescente per il legislatore europeo, in particolare in un’era in cui la digitalizzazione e l’automazione sono in continua espansione. 

Un esempio chiaro di questa attenzione normativa è il Gdpr (General data protection regulation). Entrato in vigore nel 2016 e applicabile a partire da maggio 2018, il Gdpr ha rappresentato una svolta epocale nella gestione della privacy e dei dati personali, diventando un punto di riferimento a livello globale. 
Tuttavia, nonostante la sua importanza, il Gdpr non è sufficiente da solo a coprire tutti gli aspetti legati all’utilizzo e alla condivisione dei dati in un ecosistema digitale così complesso e in continua evoluzione; il legislatore europeo ha riconosciuto che il mondo dei dati richiede un approccio più ampio e integrato. È necessaria una visione olistica, che prenda in considerazione sia la protezione dei dati personali, sia il loro utilizzo in un contesto commerciale, promuovendo una sinergia tra le varie normative per evitare contraddizioni o lacune.
Un esempio di questa necessità di armonizzazione normativa è stato il mancato allineamento iniziale tra la direttiva Psd2 (che regola i servizi di pagamento nel mercato digitale) e il Gdpr. Questo disallineamento ha creato incertezze, richiedendo l’intervento dell’Edpb (European data protection board) attraverso la pubblicazione di linee guida sull’interazione tra le due normative. 
In questo quadro di evoluzione normativa si inseriscono, ad esempio, le Faq pubblicate dalla Commissione Europea il 6 settembre scorso, in previsione della piena applicazione del Data act, prevista per il 12 settembre 2025. 

L’integrazione con il Data governance act

Ricordiamo al proposito che il Data act, formalmente conosciuto come Regolamento Ue2023/2854, si inserisce nell’ambito della più ampia strategia europea sui dati, l’European data strategy, che si basa su due pilastri principali: il primo è il Data governance act (Regolamento Ue 2022/868), entrato in vigore il 23 giugno 2022 e applicabile dal settembre 2023; il secondo è, appunto, il Data act. 
In particolare, il Data governance act si propone di rafforzare la condivisione dei dati all’interno dello spazio comune europeo, migliorando i meccanismi di data sharing e superando le barriere tecniche presenti in settori strategici come la salute, l’ambiente, l’energia, l’agricoltura, la mobilità, la finanza, la produzione e la pubblica amministrazione. 
Il Data act, invece, si concentra più specificamente sull’aspetto commerciale del mondo dei dati, mirando a regolarne l’accesso e l’utilizzo da parte delle aziende e degli individui in un’ampia gamma di prodotti e servizi, inclusi dispositivi connessi come l’Internet delle cose (IoT), dispositivi medici e assistenti virtuali. In tal modo, si cerca di garantire che i dati prodotti e raccolti dai dispositivi connessi possano essere utilizzati in modo equo e trasparente, aprendo nuove opportunità di mercato e favorendo la concorrenza.
Ciò detto, tornando alle Faq della Commissione Europea, le stesse contengono molti spunti per gli operatori chiamati a rispettare la normativa, tra i quali le risposte sull’ambito di applicazione, sul ruolo dei soggetti coinvolti, sui diritti degli utenti dei dispositivi connessi, sulla definizione di dispositivo connesso, sulle misure per riequilibrare il potere negoziale per le Pmi e naturalmente i sui rapporti con il Gdpr.
A tal proposito, alla domanda “Come il Data act interagisce con il Gdpr”, la Commissione ha risposto fornendo una serie di interessanti spunti, che riportiamo qui di seguito:

  • il Regolamento sulla protezione dei dati personali (Gdpr) è pienamente applicabile a tutte le attività di trattamento di dati personali (data processing) ai sensi del Data act; 
  • il Data act non regolamenta in quanto tale la protezione dei dati personali, ma migliora la condivisione dei dati e consente un’equa distribuzione del valore dei dati stessi, stabilendo regole chiare sull’accesso e il loro utilizzo in ambito Ue;
  • in alcuni casi, il Data act specifica e integra il Gdpr (si pensi, per esempio, alla portabilità in tempo reale dei dati provenienti da oggetti dell’Internet delle cose (loT); in altri casi, il Data act limita il riutilizzo dei dati da parte di terzi;
  • in caso di conflitto tra il Gdpr e il Data act, prevalgono le norme del Gdpr sulla protezione dei dati personali.

Un confronto attivo con le specifiche norme settoriali 

Ma non solo: le Faq contengono anche una risposta relativa al quesito di come il Data act interagisce con le leggi europee esistenti sugli obblighi di condivisione dei dati.
In questo contesto, sintetizzando, la Commissione richiama l’articolo 44 del Regolamento, che si concentra su due aspetti principali nell’interazione con altre leggi Ue in materia:

  • Il momento dell’entrata in vigore (articolo 44, par. 1):
    gli obblighi di condivisione dei dati in vigore entro l’11 gennaio 2024 rimangono validi. Nel caso di introduzione di nuove norme tra l’11 gennaio 2024 e il 12 settembre 2025, si dovrebbe cercare (best effort) un allineamento con il Data act, ma ciò non rappresenta un obbligo.
  • Le specificità settoriali (articolo 44-2):
    La norma permette che il Data act sia integrato da legislazioni specifiche di settore, quando necessario, includendo modalità pratiche e tecniche (ad esempio sicurezza, standardizzazione) e limiti specifici sui diritti o le azioni dei detentori di dati. Lo sviluppo di queste regole settoriali dovrebbe essere, però, affrontato con cautela e in modo coerente con i principi stabiliti nel Data act, per evitare complessità inutili. 

In conclusione, l’introduzione del Data act ha segnato un passo decisivo verso una gestione dei dati più equa e trasparente nell’ecosistema digitale europeo. Gli operatori, specialmente nel settore assicurativo, devono prepararsi alla sua applicazione nel 2025 comprendendone le implicazioni. Le Faq della Commissione Europea chiariscono, tra l’altro, come il Data act interagisce con il Gdpr e altre normative esistenti. L’armonizzazione legislativa e una vigilanza costante, infine, sono essenziali per garantire una concorrenza leale e proteggere i diritti di tutti gli attori coinvolti. 

© RIPRODUZIONE RISERVATA

Articoli correlati

I più visti