A differenza del GDPR, che si concentra sui dati personali, l'EU Data Act si concentra principalmente sui dati non personali. Tuttavia, il consenso dell'utente rimane fondamentale, soprattutto quando i dati si sovrappongono a quelli identificativi personali.
L'EU Data Act, formalmente adottato nel 2023 ed entrato in vigore nel 2025, è una componente legislativa chiave della più ampia strategia dell'Unione Europea in materia di dati. Regolamenta l'accesso e l'utilizzo dei dati non personali generati da dispositivi connessi (IoT), servizi e prodotti all'interno dell'UE.
L'atto è concepito per impedire il cosiddetto "consumer lock-in", ovvero il controllo esclusivo dei produttori e dei fornitori di servizi sui dati generati dai dispositivi connessi. L'obiettivo è promuovere la concorrenza e un servizio migliore per i consumatori, il che implica anche la protezione dei dati dei consumatori e il loro diritto di acconsentire al loro utilizzo.
In definitiva, la legge riguarda la condivisione dei dati. Ma un altro aspetto di questo mandato di condivisione dei dati per un accesso equo è la tutela del consenso degli utenti in merito a qualsiasi dato personale. Le aziende sono tenute a implementare meccanismi per tenere informati gli utenti e ottenere il loro consenso. La conformità implica l'attuazione di misure contrattuali, tecniche e organizzative per consentire una condivisione dei dati equa, sicura e interoperabile e per documentare come questi dati e il consenso vengono gestiti.
Per garantire la conformità:
Revisione del contratto:
Esaminare tutti i contratti che prevedono la condivisione dei dati, in particolare con terze parti o tra giurisdizioni diverse
Revisione dei dati:
Valuta i tuoi metodi di raccolta dati: i dati generati dai dispositivi vengono condivisi in modo trasparente?
Valutare l'accesso e la portabilità:
Implementare meccanismi di portabilità e accesso ai dati come delineato nella legge
Controllare la governance dei dati:
Valutare le politiche interne di governance dei dati e allinearle ai requisiti di interoperabilità, sicurezza e trasparenza della legge
Monitorare lo stato del consenso:
Continue to ensure that user consent is secured and auditable
Sia le aziende UE che quelle extra-UE devono conformarsi alla legge UE sulla protezione dei dati se offrono servizi o prodotti all'interno del mercato UE.
La legge si applica a:
Produttori di prodotti connessi e servizi digitali
Utenti di prodotti connessi/IoT all'interno dell'UE
Titolari di dati (entità che controllano l'accesso ai dati)
Enti pubblici che richiedono dati in caso di emergenza o per uso di interesse pubblico
La legge UE sulla protezione dei dati conferisce ai consumatori una serie di diritti in materia di privacy dei dati, tra cui:
I consumatori possono accedere ai dati generati dai loro prodotti e servizi connessi
I consumatori possono condividere i dati con qualsiasi terza parte di loro scelta, esclusi i gatekeeper come definiti dal Digital Markets Act (DMA)
I dati dei consumatori possono essere trasferiti a nuovi fornitori
I consumatori sono tutelati dalle clausole contrattuali inique relative all'accesso ai dati, all'uso, alla responsabilità e ai rimedi
I consumatori hanno diritto alla trasparenza nell'uso e nella portabilità dei dati
I consumatori hanno diritto a standard armonizzati o specifiche comuni per evitare vincoli tecnici o contrattuali
Sebbene i cookie rientrino nella Direttiva ePrivacy e nel GDPR, il Data Act dell'UE potrebbe influire indirettamente sul loro utilizzo, soprattutto quando i dati raccolti tramite cookie vengono integrati con dati non personali provenienti da dispositivi connessi. Le aziende dovrebbero valutare in che modo i cookie e le tecnologie di tracciamento contribuiscono a ecosistemi di dati più ampi e garantire la trasparenza nel loro utilizzo, soprattutto quando si aggregano dati per analisi o miglioramenti dei servizi.
Sebbene ogni Stato membro dell'UE designi le autorità di vigilanza, le sanzioni per la non conformità possono includere:
Sanzioni amministrative
Responsabilità contrattuale
Esclusione dagli appalti pubblici
Danno alla reputazione
È possibile conformarsi al Data Act dell'UE adottando alcune misure chiave:
Esaminare le pratiche sui dati per il consenso:
Assicurati di ottenere il consenso esplicito e informato prima di archiviare o accedere a cookie non essenziali.
Fornire scelte chiare:
Consentire agli utenti di accettare o rifiutare diverse categorie di cookie senza influenzare la loro scelta e rendere trasparente la revoca del consenso.
Fornire chiarezza sulla raccolta dei dati:
Assicurarsi che gli utenti siano consapevoli dei dati raccolti e di come vengono utilizzati.
Implementare la gestione del consenso:
Piattaforme come CookieHub offrono un modo semplice per gestire il consenso dei consumatori al trattamento dei dati.
Una piattaforma completa di gestione del consenso come può aiutare a conformarsi al Data Act dell'UE fornendo strumenti trasparenti e intuitivi per gestire le autorizzazioni di accesso ai dati, tenere traccia dei registri del consenso e garantire che i dati vengano condivisi in conformità con i diritti degli utenti e i requisiti normativi.
L'EU Data Act stabilisce un quadro normativo per l'accesso equo e l'utilizzo equo dei dati non personali generati da prodotti connessi e servizi correlati in tutta l'UE. Si applica alle imprese, agli enti pubblici e agli utenti di dispositivi connessi, garantendo l'accesso e la condivisione dei dati in un ambiente sicuro, competitivo e trasparente.
Sebbene l'EU Data Act si concentri sui dati non personali, riconosce il Regolamento generale sulla protezione dei dati (GDPR) come principale quadro giuridico per i dati personali. Per dati personali si intendono tutte le informazioni che possono identificare direttamente o indirettamente una persona, come nomi, numeri di identificazione, dati sulla posizione o identificatori online.
Il Data Act dell'UE non ridefinisce i "dati sensibili", ma rispetta le leggi vigenti in materia di protezione dei dati. Ai sensi del GDPR, i dati sensibili includono informazioni quali origine razziale o etnica, opinioni politiche, convinzioni religiose, dati genetici, dati biometrici, informazioni sanitarie e dati relativi alla vita sessuale o all'orientamento sessuale di una persona.
L'applicazione del Data Act dell'UE è di competenza delle autorità nazionali designate da ciascuno Stato membro dell'UE. Tali autorità si coordineranno con la Commissione Europea e altri organismi competenti dell'UE per garantirne l'applicazione e il rispetto uniformi.
Le micro e piccole imprese (quelle con meno di 50 dipendenti e un fatturato annuo o un bilancio inferiore a 10 milioni di euro) sono generalmente esentate da alcuni obblighi previsti dalla legge sui dati, a meno che non abbiano rapporti contrattuali con aziende più grandi o facciano parte di gruppi aziendali più grandi.
Maggiori dettagli sono disponibili sul sito web ufficiale della Commissione Europea, dove sono disponibili il testo integrale del regolamento, i documenti esplicativi e gli aggiornamenti sull'attuazione. È inoltre possibile consultare le autorità nazionali per la protezione dei dati per indicazioni specifiche per ciascun Paese.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
