Il Data Act, Regolamento (EU) 2023/2854, rappresenta una delle principali iniziative legislative dell’Unione Europea per regolamentare l’accesso, il trasferimento e la gestione dei dati non personali. Questa normativa si pone in un contesto globale complesso, caratterizzato dalla crescente interconnessione dei servizi cloud e dalle implicazioni legali del CLOUD Act statunitense. In questo articolo esploreremo quindi, le caratteristiche principali del Data Act, le sue implicazioni per il mercato europeo e il dibattito in corso sul conflitto tra le normative europee e statunitensi.

Caratteristiche e peculiarità del Data Act

1. Regole per l’accesso e il trasferimento dei dati

Il Data Act pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 22 dicembre 2023, applicabile a partire dal 12 settembre 2025, (efficacia differita) introduce un quadro normativo chiaro per garantire un accesso equo e trasparente ai dati generati da dispositivi connessi e applicazioni. L’obiettivo principale è favorire lo sviluppo di un mercato dei dati competitivo, incentivando una maggiore accessibilità, disponibilità e fruibilità dei dati come motore di innovazione tecnologica. I punti chiave includono: Accesso ai dati per terze parti e Protezione della privacy,

In questo contesto, le aziende saranno obbligate a condividere dati rilevanti con altre organizzazioni in caso di necessità, rispettando regole specifiche per evitare abusi, mentre viene promosso un utilizzo responsabile dei dati in armonia con il GDPR.

2. Framework per il cloud switching

Una delle novità più significative riguarda la facilitazione del cloud switching, ovvero il passaggio o la migrazione da un fornitore di servizi cloud a un altro.

Questo aspetto è cruciale per ridurre il fenomeno del lock-in tecnologico, garantire una maggiore libertà di scelta per le aziende europee e incentivare la concorrenza tra i provider. Il lock-in tecnologico si verifica quando un’azienda diventa fortemente dipendente da un singolo fornitore di servizi, rendendo difficile o costoso migrare verso un altro.

Questo può accadere per diverse ragioni, come la compatibilità limitata nel trasferire soluzioni integrate con tecnologie proprietarie, i costi nascosti che alcuni fornitori potrebbero applicare attraverso politiche di spese elevate o clausole restrittive per l’uscita dal contratto, e l’utilizzo di tecnologie proprietarie non interoperabili.

Il Data Act mira a ridurre questi ostacoli, incentivando l’interoperabilità tra i fornitori cloud e aumentando la flessibilità tecnologica delle imprese, con particolare attenzione alle PMI, spesso più vulnerabili a queste dinamiche. La possibilità per le aziende di migrare facilmente tra i vari provider di servizi cloud stimola la concorrenza, traducendosi in offerte più competitive e spingendo i fornitori a migliorare la qualità dei loro servizi in termini di sicurezza, affidabilità e velocità.

3. Gestione dei dati non personali

Il Data Act si focalizza prevalentemente sulla regolamentazione dei dati non personali, come quelli industriali, logistici o provenienti da IoT (Internet of Things) che non riguardano direttamente la sfera privata delle persone. Ad esempio, dati riguardanti la temperatura, la velocità o il rendimento di una macchina possono essere utilizzati per ottimizzare la produzione o prevedere guasti, migliorando così l’efficienza.

Ancora per esempio in ambito logistico, i dati non personali sono fondamentali per ottimizzare le catene di approvvigionamento, migliorare la gestione dei trasporti e ridurre i costi operativi. Questi dati possono comprendere informazioni sul movimento delle merci, le condizioni dei veicoli, i tempi di transito e le necessità di stoccaggio.

Dunque, il Data Act consente agli utenti di prodotti connessi (ad es. auto connesse, dispositivi medici e fitness, macchinari industriali o agricoli) e relativi servizi di accedere ai dati che co-creano utilizzando i prodotti connessi/servizi correlati. Questo approccio consente quindi di promuovere lo sviluppo di un mercato digitale più dinamico e innovativo.

4. Interazione con e NIS2

Pur non sovrapponendosi al GDPR, il Data Act si integra con esso per garantire una gestione coerente dei dati personali e non personali. Inoltre, l’interazione con la direttiva NIS2 (Network and Information Systems Directive) rafforza le misure di sicurezza informatica, soprattutto per i servizi cloud critici.

La direttiva NIS2 (Network and Information Systems Directive) è un altro strumento normativo dell’UE che si concentra sulla sicurezza informatica e sull’integrazione di misure di protezione nei sistemi che gestiscono dati critici e infrastrutture digitali. Data Act e la NIS2 si intersecano per quanto riguarda i servizi cloud che trattano dati non personali. Molti dei servizi cloud che consentono la gestione e la condivisione dei dati industriali o IoT sono considerati servizi critici.

La NIS2 impone infatti agli operatori di questi servizi, di adottare misure di sicurezza robuste per prevenire incidenti informatici e per garantire che i dati siano protetti da attacchi e vulnerabilità. Ad esempio, se un’azienda decide di trasferire i suoi dati non personali da un fornitore di cloud a un altro, il Data Act facilita questa operazione, ma la NIS2 assicura che il trasferimento avvenga in modo sicuro, senza compromettere l’integrità dei dati.

Impatto del CLOUD Act americano sulle operazioni EU: dibattito e interrogativi

Il CLOUD Act (Clarifying Lawful Overseas Use of Data Act) è una legge statunitense che consente alle autorità americane di richiedere l’accesso ai dati archiviati presso fornitori cloud statunitensi, anche se questi dati si trovano in territorio europeo.

È stato introdotto principalmente per facilitare l’accesso delle forze dell’ordine statunitensi ai dati archiviati all’estero durante le indagini criminali.

Questo accesso diretto ai dati archiviati all’estero riguarda soprattutto le agenzie governative statunitensi come l’FBI, e può avvenire indipendentemente dalla giurisdizione del paese in cui i dati sono fisicamente localizzati. Inoltre, la legge favorisce la cooperazione internazionale, consentendo la creazione di accordi bilaterali tra gli Stati Uniti e altri paesi per regolare l’accesso ai dati, stabilendo regole precise per il trattamento delle informazioni e garantendo la cooperazione tra le forze dell’ordine, pur rispettando, almeno teoricamente, le normative locali sulla privacy.

Una delle questioni principali sollevate dal CLOUD Act riguarda la sovranità digitale, ossia la capacità di un paese di controllare i dati che si trovano sul proprio territorio. L’Europa, infatti, vede questo accesso alle informazioni come una minaccia alla propria sovranità, poiché le autorità statunitensi potrebbero accedere a dati sensibili archiviati in Europa senza il rispetto delle normative locali, come il GDPR.

Quest’ultimo impone che i dati personali dei cittadini europei siano trasferiti solo in paesi che garantiscono un livello di protezione adeguato, ma l’accesso ai dati da parte delle autorità statunitensi potrebbe violare questa disposizione. Le aziende che operano in Europa e utilizzano servizi cloud statunitensi potrebbero trovarsi in difficoltà: da un lato, devono conformarsi al GDPR per proteggere i dati personali, dall’altro potrebbero essere costrette a fornire i dati alle autorità americane, creando un conflitto tra le due normative.

Inoltre, il CLOUD Act ha generato numerose controversie legali, sia in Europa che negli Stati Uniti. Un esempio emblematico è il caso di Microsoft contro il governo degli Stati Uniti, in cui le autorità statunitensi avevano chiesto l’accesso a dati archiviati su un server situato in Irlanda. La Corte statunitense aveva inizialmente deciso che Microsoft dovesse consegnare i dati, ma l’azienda si è opposta, sostenendo che il governo degli Stati Uniti non potesse agire oltre i propri confini. Questo ha portato alla modifica della legge, con l’introduzione del CLOUD Act che consente espressamente alle autorità americane di accedere ai dati archiviati all’estero.

Questo scenario crea incertezze legali riguardo ai diritti degli utenti e alla sicurezza dei dati.

Il successo del diritto alla portabilità introdotto dal Data Act dipenderà allora, dalla capacità di conciliare l’aspetto commerciale della condivisione dei dati, finalizzato all’innovazione, con la protezione dei diritti fondamentali dei cittadini garantita dal GDPR. Inoltre, la Commissione europea mira a sensibilizzare gli utenti sul valore dei loro dati e sui vantaggi che potrebbero ottenere, come servizi migliori e/o più economici, attraverso la loro condivisione.

Per cercare di risolvere queste problematiche, potrebbe essere necessario sviluppare soluzioni diplomatiche e giuridiche tra Stati Uniti e Unione Europea, come la creazione di accordi bilaterali che stabiliscano regole chiare per la gestione dei dati quando sono soggetti sia al GDPR che al CLOUD Act.

Sfide e obiettivi trasversali

La gestione della cybersecurity e l’adeguamento delle infrastrutture pubbliche rappresentano considerazioni cruciali in un contesto in cui il Data Act e la protezione dei dati sono sempre più centrali. È essenziale sviluppare framework di certificazione armonizzati che stabiliscano standard comuni per la sicurezza dei dati, mentre le aziende dovranno investire nella formazione di competenze specialistiche in cybersecurity, per prepararsi a difendere i dati contro minacce sempre più sofisticate. Inoltre, garantirne la sicurezza lungo la supply chain digitale diventa fondamentale, così come integrare controlli di sicurezza nativi direttamente nelle piattaforme cloud, per proteggere le informazioni in ogni fase del processo.

Per le istituzioni pubbliche, sarà necessario un significativo adeguamento delle infrastrutture IT, con un focus sulla formazione di personale specializzato nella gestione dei dati. Le autorità pubbliche dovranno affrontare la sfida di rispettare una compliance multilivello, che implica l’adozione di regolamenti sia a livello nazionale che europeo, e promuovere una cooperazione efficace tra le autorità nazionali ed europee per implementare e monitorare il Data Act in modo efficiente. L’introduzione di sistemi di monitoraggio evoluti sarà necessaria per gestire la crescente quantità e complessità dei dati.

Le sfide future richiederanno quindi un continuo aggiornamento delle normative per stare al passo con l’evoluzione tecnologica, affrontando allo stesso tempo minacce emergenti che potrebbero mettere a rischio la sicurezza dei dati. Inoltre, l’UE dovrà puntare sullo sviluppo di capacità autonome per ridurre la dipendenza da attori esterni, equilibrando la necessità di innovazione con quella di sicurezza. La cooperazione internazionale diventerà sempre più determinante per gestire le sfide legate ai dati, garantendo un approccio globale nella difesa e nella regolamentazione del cyberspazio.

Conclusioni

Il Data Act è da ritenersi un potente propulsore per l’innovazione, creerà sicuramente nuove opportunità nel campo della Data economy, grazie alla rimozione delle barriere e all’introduzione di norme per garantire l’interoperabilità dei dati tra diversi settori economici. Tuttavia, comporterà anche l’introduzione di nuovi obblighi e maggiori rischi per gli operatori economici.

L’obiettivo principale per il futuro digitale dell’Europa consisterà allora, nel bilanciare la sovranità digitale con la necessità di interoperabilità globale, garantendo al contempo sicurezza e innovazione. Le aziende, le istituzioni e gli operatori del settore dovranno quindi collaborare attivamente per affrontare le sfide emergenti e cogliere le opportunità offerte dal nuovo quadro normativo.

https://www.ictsecuritymagazine.com/articoli/data-act-e-cloud-act/