Dal 12 Settembre scorso, nell’Unione Europea è entrato in piena applicazione il Data Act, la normativa che amplia il diritto di portabilità e acceso ai dati generati da dispositivi e servizi digitali.

L’obiettivo della normativa, è contrastare il fenomeno del vendor lock-in, ossia la difficoltà per i consumatori di cambiare marchio o fornitore senza perdere dati preziosi.

 Cosa prevede il regolamento

Il Data Act si applicherà a quasi tutti i dati creati o raccolti da dispositivi connessi: dati sull’uso, metadati, dati grezzi come il funzionamento d’uso del prodotto.

Non saranno inclusi i dati coperti da proprietà intellettuale, né quelli derivati da elaborazioni (come modelli algoritmici, inferenze, contenuti protetti) che rappresentano un valore aggiunto creato dal produttore.

 Diritti e tutele per gli utenti

Gli utenti avranno il diritto di chiedere che i loro dati vengano trasferiti da un produttore a un altro, senza essere penalizzati nel mantenere continuità nell’esperienza d’uso.

In caso di dati personali e non personali mescolati in modo inseparabile, continueranno a valere le protezioni del GDPR.

Anche l’utente che vende un dispositivo usato deve informare il compratore su come esercitare i diritti legati ai dati, incluse credenziali, strumenti o modalità necessari.

 Obblighi per le imprese

I produttori devono garantire che ogni utente, anche in caso di prodotti condivisi o multi-utente, abbia accesso ai propri dati.

Le richieste di accesso possono essere dirette o indirette, a seconda che i produttori offrano direttamente l’accesso o lo gestiscano tramite piattaforme dedicate.

Alcune imprese già si stanno muovendo: per esempio Google ha annunciato una funzione denominata Data Transfer Essentials per facilitare lo spostamento dei dati tra cloud diversi, senza al momento costi aggiuntivi.

Implicazioni e sfide

Il Data Act completa il quadro normativo europeo sul digitale iniziato con il GDPR, andando oltre al solo trattamento dei dati personali, e ampliando il controllo da parte dei cittadini anche sui dati non personali.

Le imprese dovranno ripensare l’architettura dei propri servizi, la interoperabilità e garantire trasparenza sulle modalità di accesso e trasferimento dei dati.