report

Il Data Act: la rivoluzione dell’IoT nel diritto europeo

Pubblicato in Quadri Normativi da

AA

Introduzione all’Internet of Things

L’introduzione della tecnologia Internet of Things (IoT) sta portando una trasformazione radicale nella società moderna, rendendo ogni aspetto della vita sempre più connesso. Questa tecnologia permette l’interconnessione di dispositivi di varia natura, da semplici sensori a complessi dispositivi industriali, creando un ecosistema digitale che attraversa ogni settore dell’industria e della vita quotidiana. Oltre a nuove applicazioni, la proliferazione di questi dispositivi IoT genera un volume massivo di dati che trasforma il modo in cui le aziende, i governi e gli individui operano e prendono decisioni.

Le applicazioni sono molteplici, per esempio:

  • Termostati Intelligenti: dispositivi IoT che consentono ai proprietari di regolare la temperatura all’interno delle loro case tramite smartphone o computer. Questi termostati imparano le preferenze degli utenti e possono essere programmati per ottimizzare l’efficienza energetica, risparmiando sui costi di riscaldamento e raffreddamento.
  • Monitoraggio Fitness: Dispositivi indossabili che monitorano l’attività fisica e la salute degli utenti. Raccolgono dati come il battito cardiaco, i passi percorsi, le calorie bruciate e il sonno. Questi dati possono essere visualizzati tramite app per il monitoraggio della salute e il raggiungimento degli obiettivi fitness.
  • Smart Home Security: Sistemi di sicurezza domestica intelligente, come le telecamere di sorveglianza e i sensori di movimento, che consentono agli utenti di monitorare e proteggere le proprie case da remoto. Questi dispositivi possono inviare notifiche agli smartphone degli utenti quando vengono rilevate attività sospette e consentono il controllo delle serrature delle porte, delle luci e degli allarmi da dispositivi mobili.

Questi sono solo alcuni esempi di dispositivi IoT, ma il campo è in continua espansione: sempre più oggetti e apparecchiature vengono connessi al mondo digitale. Un aspetto saliente dei dispositivi IoT è la loro capacità di raccogliere dati in tempo reale da una vasta gamma di fonti. Questo flusso costante di dati ha portato a una crescita esponenziale dei volumi di informazioni disponibili.

Non sorprendentemente questo sviluppo tecnologico ha anche creato delle preoccupazioni. In particolare, ci si interroga su come questi dispositivi, quasi ubiquitari nella nostra società, possano rappresentare anche un rischio per la privacy e i diritti fondamentali degli individui. Allo stesso tempo, queste comprensibili apprensioni possono alimentare la sfiducia dei consumatori nei confronti della sicurezza dell’ecosistema digitale e creare incertezza su chi, e quando, può legittimamente sfruttare questi dispositivi. Il legislatore europeo non è rimasto insensibile a questa sfida. Anzi, è ormai molto vicino a approvare una legge proprio sul tema, il Data Act.

Il Data Act: una legge per l’IoT

Introdotto dalla Commissione Europea il 23 febbraio 2022, il Data Act è un regolamento con l’obiettivo primario di stabilire “regole comuni sulla condivisione dei dati generati dall’uso di prodotti connessi o servizi correlati”. Aspetto particolarmente interessante del testo è la sua attenzione verso i dispositivi IoT. Questo regolamento rappresenta un passo fondamentale per allineare le pratiche relative ai dati ai principi e ai regolamenti dell’UE. Nel testo viene chiarito chi può trarre valore dai dati e sulle condizioni specifiche in cui ciò può avvenire. Questi fattori hanno una notevole importanza per il mercato interno comunitario, come commentato da Thierry Breton:

«È un passo importante per sbloccare una grande quantità di dati industriali in Europa, a beneficio di imprese, consumatori, servizi pubblici e della società nel suo complesso. Finora viene utilizzata solo una piccola parte dei dati industriali e il potenziale di crescita e innovazione è enorme. La Legge sui dati garantirà che i dati industriali siano condivisi, archiviati ed elaborati nel pieno rispetto delle norme europee. Costituirà la pietra angolare di un’economia digitale europea forte, innovativa e sovrana».

Effettivamente la stessa Commissione ha stimato che “l’80% dei dati industriali non viene mai utilizzato”. Diviene quindi comprensibile perché l’utilizzo in sicurezza di questi dati sia così importante per il futuro dell’Unione. Nel Data Act questo viene garantito attraverso l’attuazione di una serie di misure che mirano a rendere più accessibili i dati a vantaggio reciproco di imprese, cittadini e istituzioni pubbliche. Queste misure comprendono:

  • il rafforzamento della certezza del diritto per le aziende e i consumatori che generano dati;
  • la specificazione degli usi consentiti di tali dati;
  • la definizione di condizioni per una condivisione equa dei dati;
  • prevenzione dello sfruttamento di squilibri di forza nei contratti, che ostacolano un’equa condivisione dei dati.

Va sottolineato che il Data Act non è un regime a sé stante, poiché è legato a doppio filo con altre importanti leggi europee. In particolare, nel testo si rinvengono diverse disposizioni connesse alla protezione dei dati personali. Per esempio, nell’Articolo 1 viene fatta salva l’applicazione del General Data Protection Regulation (GDPR) in caso di contrasto fra le due normative.  Ma il legame è evidente anche nel dizionario contenuto nell’Articolo 2 del Data Act, che fornisce le definizioni di “personal data”, “consent” e “data subject” facendo precisi riferimenti al GDPR.

Quindi si può dire che quando il Data Act si occupa di dati personali assume un ruolo integrativo nei confronti del GDPR. Negli altri casi il Data Act va oltre il GDPR, regolando l’estrazione dei dati da parte dell’IoT anche quando non sono di carattere personale. Per questo diviene molto importante la definizione che il testo fornisce di “user”: termine più ampio di quello di “data subject” previsto dal GDPR. Più precisamente:

Per “user” si intende una persona fisica o giuridica, compreso il “data subject”, che possiede, noleggia o prende in leasing un prodotto o riceve servizi correlati.

Fra le disposizioni più interessanti, il Data Act stabilisce che i dati generati dall’IoT (e non solo) debbano essere accessibili allo “user”, come in verità già stabilito dal GDPR in caso di dati personali. Ciò comporta profonde ripercussioni non solo per la conformità, ma anche per la progettazione e la creazione di sistemi basati sull’IoT. Secondo l’art. 3(1):

I prodotti devono essere progettati e fabbricati, e i relativi servizi devono essere progettati e forniti, in modo tale che i dati generati dal loro utilizzo che sono accessibili prontamente al titolare dei dati, nonché i metadati necessari per interpretare e utilizzare tali dati, siano, per impostazione predefinita e gratuitamente, facilmente, in modo sicuro e, se pertinente e appropriato, direttamente accessibili all’utente, in un formato strutturato, comunemente utilizzato e leggibile da una macchina.

Conclusione

In conclusione, si può affermare che il Data Act conferma le tutele previste dal GDPR, ma va anche oltre. Comprende garanzie aggiuntive anche per i dati generati tramite IoT che NON sono dati personali, dando precise prescrizioni di design tecnico e organizzativo. Come recita l’Articolo 4: “Qualora l’utente non possa accedere direttamente ai dati dal prodotto, il titolare dei dati mette a disposizione dell’utente i dati generati dall’uso di un prodotto o di un servizio correlato senza indebito ritardo, gratuitamente e, se del caso, in modo continuo e in tempo reale. Ciò avverrà sulla base di una semplice richiesta per via elettronica, ove tecnicamente fattibile”.

L’obiettivo è ambizioso, ma in sede legislativa europea sono stati già raggiunti notevoli risultati. Dopo i triloghi, il testo finale ha raggiunto un consenso tra Parlamento Europeo e Consiglio nel giugno 2023. Una volta ottenuta l’approvazione finale, il Data Act entrerà in vigore 20 giorni dopo la pubblicazione della Gazzetta ufficiale, per poi diventare applicabile dopo 20 mesi.

Servizi coinvolti