Il Regolamento (UE) 2023/2854 – Data Act – Internet of the Things (IoT) e gestione dei dati generati dai dispositivi IoT

Studio Legale Grompe Redaelli e Associati                          

Avv. Davide Cinelli

In data 22 dicembre 2023 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione europea il Regolamento (UE) 2023/2854 riguardante le norme armonizzate sull’accesso ai dati e sul loro utilizzo.

L’adozione di tale normativa si è resa necessaria con il crescente sviluppo ed utilizzo di dispositivi IoT, vale a dire quei dispositivi (per esempio, orologi, termostati, videocamere) che sono in grado di ottenere, generare o raccogliere dati relativi al loro utilizzo o al loro ambiente e di far circolare tali dati tramite servizi di connessione e trasmissione dati (internet).

L’utilizzo sempre più frequente di dispositivi IoT ha comportato, infatti, un aumento del volume di dati generati e quindi, di pari passo, un aumento del valore di tali dati che possono essere condivisi, anche a pagamento, per svariate finalità.

L’Unione europea ha pertanto deciso di regolare la gestione dei dati generati con la normativa in esame.

Il Regolamento (UE) 2023/2854 mira a disciplinare, tra l’altro, le seguenti attività: (I) la messa a disposizione dei dati del dispositivo e di un eventuale servizio correlato a chi è proprietario del dispositivo o a chi lo ha noleggiato; (II) la messa a disposizione dei dati da parte dei fabbricanti dei dispositivi, anche a favore di enti pubblici o organismi dell’Unione europea; (III) la facilitazione del passaggio da un servizio di trattamento dei dati all’altro; IV) l’introduzione di garanzie contro l’accesso illecito di terzi ai dati.

La normativa riguarda sia i dati personali che i dati non personali.

Tuttavia, il Regolamento (UE) 2023/2854 stesso chiarisce che le norme in esso contenute non si sostituiscono alla normativa per la protezione dei dati personali (GDPR) e dunque i dati personali continueranno ad essere regolati dalla specifica normativa già esistente.

Inoltre, in caso di conflitto tra il Regolamento (UE) 2023/2854 e il GDPR, preverranno le norme del GDPR.

Tra le disposizioni più rilevanti della normativa in esame si possono menzionare le seguenti:

Il “titolare dei dati” (sostanzialmente il fabbricante del dispositivo) deve mettere a disposizione dell’ “utente” (chi è proprietario del dispositivo o lo ha noleggiato), su semplice richiesta dell’utente, tutti i dati generati in tempi brevi e in modo facile e sicuro, gratuitamente e, se possibile, in modo continuo e in tempo reale.

L’ utente ha il diritto di chiedere al titolare dei dati di mettere i dati a disposizione di terzi e tale terzo però non deve, per esempio, utilizzare i dati che riceve per sviluppare un dispositivo in concorrenza con quello da cui provengono i dati condivisi.

Il titolare dei dati può chiedere un compenso (non discriminatorio, ragionevole e che può includere un margine) al terzo che riceve i dati su richiesta dell’utente.

Nel contratto tra il titolare dei dati e il terzo che riceve i dati una clausola contrattuale riguardante l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che è stata imposta unilateralmente da un’impresa a un’altra impresa non è vincolante per quest’ultima impresa se tale clausola è “abusiva”.

Una clausola è ritenuta abusiva se è di natura tale che il suo utilizzo si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, in contrasto con il principio di buona fede e correttezza.

Esempi di clausole abusive: prevedere la limitazione della responsabilità della parte che ha imposto unilateralmente la clausola in caso di negligenza grave o conferire alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di interpretare una qualsiasi clausola del contratto.

La normativa prevede anche dei casi in cui si presume la sussistenza dell’abusività.

In circostanze eccezionali, il titolare dei dati deve mettere a disposizione di enti pubblici e/o organismi dell’Unione europea i dati.

Tali circostanze eccezionali si verificano, per esempio, quando l’accesso ai dati è necessario per rispondere ad un’emergenza pubblica e l’ente di riferimento non è in grado di ottenere i dati con mezzi alternativi e in modo tempestivo ed efficace.

La messa a disposizione dei dati a enti pubblici e/o organismi dell’Unione europea è essenzialmente gratuita.

Il Regolamento (UE) 2023/2854 è entrato in vigore in data 11 gennaio 2024 e la sua applicazione decorrerà dal 12 settembre 2025.