Nel corso di quest’anno, i CIO hanno dovuto impiegare parte del loro tempo nello studio del quadro normativo europeo sul digitale, un insieme di leggi che si presentano complementari e, allo stesso tempo, unite dall’intento di favorire l’innovazione delle imprese europee e aprire nuovi mercati. È il caso del Data Act, entrato in vigore a gennaio e applicabile da settembre 2025, che definisce chi può accedere a e utilizzare i dati generati nell’UE in tutti i settori economici. Il provvedimento mira a garantire l’equità nella distribuzione del valore dei dati tra gli attori dell’ambiente digitale, stimolare un mercato dei dati competitivo, aprire opportunità per l’innovazione basata sui dati e rendere i dati più accessibili a tutti. In pratica, è il quadro di regole da cui dovrebbe spiccare il volo la data-driven company.
È, infatti, una legge nata nell’era dei big data, una mole crescente di dati di ogni genere, inclusi quelli personali e di valore commerciale, che ha il potenziale di portare competitività nell’UE, purché sia gestito in modo da tutelare i diritti delle imprese e delle persone. Per questo il Data Act dà a tutti un maggiore controllo sui propri dati. Ciò, per esempio, permetterà alle imprese di migrare più facilmente da un fornitore all’altro i servizi di elaborazione dei dati. Il Data Act attua anche misure di salvaguardia contro il trasferimento illegale di dati da parte dei cloud provider e prevede lo sviluppo di standard di interoperabilità per il riutilizzo dei dati tra i vari settori.
“L’opportunità offerta è enorme”, sottolinea Maria Roberta Perugini, Avvocato – Data Protection e Data Governance – Member of EDPB’s Support Pool of Experts. “Il Data Act punta all’apertura del mercato dei dati definendo regole certe per far circolare e valorizzare i dati in sicurezza. Per le imprese sorregge il business model del futuro basato sui dati. Il CIO ha un ruolo chiave soprattutto nell’avvio di questo processo e dovrà mostrare ampio spirito creativo nell’implementazione dei processi legati ai dati, perché – all’interno di questa apertura del mercato delle informazioni – dovrà trovare i modi con cui creare valore per la sua azienda”.
Anche Giacomo Degasperi, esperto legale e fondatore della piattaforma divulgativa Legal4Tech, sottolinea gli impatti positivi della legge. “L’obiettivo del Data Act è facilitare l’accesso delle imprese ai dati dei dispositivi connessi come mezzo per generare ritorni e facilitare l’innovazione basata sui dati”, afferma. “La legge offre grandi opportunità al CIO di incentivare l’innovazione, perché rende più facile per le imprese, soprattutto le PMI, accedere ai dati per creare nuovi modelli di business. Oggi tanti dati non sono sfruttati perché non è facile accedervi, ma la legge assicura accesso e interoperabilità. Questo però comporta da parte delle imprese una maggiore consapevolezza e maturità nell’uso dei dati”.
Che cosa prevede il Data Act dell’UE
“Il Data Act parte da una constatazione da parte del legislatore europeo: sui prodotti connessi e i servizi digitali correlati mancava un quadro normativo armonizzato e in grado di riordinare e specificare chi ha il diritto di usare i dati, su quali basi e a quali condizioni”, afferma l’Avv. Perugini.
Attualmente i dati generati dai dispositivi connessi sono principalmente controllati dai fornitori dei dispositivi stessi, limitando l’accesso degli utenti e la possibilità di condividerli con terze parti. Con l’introduzione del Data Act, gli utenti otterranno il diritto di accedere ai propri dati e di condividerli liberamente con altri, spiega la Commissione Europea [in inglese]. A questo scopo, a partire dal 12 settembre 2026, i produttori dovranno proporre sul mercato dispositivi e applicazioni conformi al principio di accessibilità ai dati “by design”, ovvero in cui sono accessibili agli utenti in modo sicuro e diretto, con la possibilità di condividerli con terze parti. Si aprono così nuove opportunità per servizi innovativi e modelli di business basati sulla condivisione e l’utilizzo dei dati.
La legge sui dati protegge anche le imprese europee da condizioni abusive nei contratti di condivisione dei dati che una parte contraente impone unilateralmente all’altra. Ciò consentirà, soprattutto alle piccole e medie imprese, di partecipare più attivamente al mercato dei dati. Inoltre, il Data Act consentirà ai clienti di passare senza soluzione di continuità e a costi ridotti tra diversi fornitori di cloud o di combinare servizi di dati di diversi cloud provider.
Nonostante l’attenzione alla condivisione dei dati, il rispetto delle normative sulla privacy rimane centrale anche nel Data Act. Le aziende devono garantire che ogni utilizzo dei dati sia spiegato chiaramente agli utenti (ovvero i proprietari dei dati), offrendo loro la possibilità di dare o revocare il consenso in modo semplice per ciascuna attività. Per questo il Data Act promuove lo sviluppo di smart contracts, accordi automatizzati che eseguono transazioni in base a condizioni predefinite. Questi strumenti non solo garantiscono la trasparenza negli accordi di condivisione dei dati, ma decentralizzano il controllo all’interno dell’economia digitale.
“Gestire le informazioni dà grande competitività alle imprese, incluse le PMI, e questa legge rappresenta un’occasione. Ma bisogna agire con determinazione, nella consapevolezza che, senza dati, le imprese spariscono”, evidenzia l’Avv. Perugini.
Come stanno lavorando i CIO sul Data Act
Un caso concreto è il lavoro che sta conducendo Massimo Anselmo, Direttore Sistemi Informativi di Karol Strutture Sanitarie. Come previsto dalle attuali norme per la sanità privata, Karol raccoglie i dati dei pazienti nelle loro cartelle cliniche, permettendo loro l’eventuale fruizione anche post ricovero. I dati vengono infatti “registrati” dagli apparecchi medicali, restano nei log e sono condivisi con i fornitori o produttori di questi apparecchi.
“Il Data Act impatta sulla condivisione del dato”, dichiara Anselmo. “Un aspetto importante è, per esempio, la nostra possibilità di usare i dati dei pazienti per fini di ricerca (ovviamente dopo averli anonimizzati), in linea con quanto prevede il GDPR. Il Data Act ci aiuta perché definisce in modo più chiaro come usare questi dati ed al momento stiamo cercando di capire se, rispetto al passato, ci siano più dati che possiamo mettere a disposizione dei pazienti: per esempio, non solo quelli degli esiti di un esame diagnostico, ma anche quelli sulle specifiche del macchinario impiegato. Relativamente ai macchinari medici, la maggior parte sono di nostra proprietà, ma con il Data Act avremo sempre un rapporto col produttore per analizzare i log e verificarne il corretto funzionamento o programmarne la manutenzione. Prevedo anche un intervento sui contratti con i fornitori, insieme all’ufficio legale, e soprattutto sulle macchine a noleggio, per controllare quali dati siano condivisi e per quanto tempo”.
L’impatto sulla data governance di Karol non sarà comunque uno stravolgimento, prosegue Anselmo. “Dovrò lavorare soprattutto sul monitoraggio del traffico dati e sulla protezione delle comunicazioni, con isolamento di alcuni dati e regolazione degli accessi”, evidenzia il Direttore IT di Karol. “Ma da questo punto di vista la NIS2 ci impatta di più, sia come costi che come organizzazione interna e attività da svolgere anche insieme ai fornitori, visto che tutta la supply chain deve rafforzare gli strumenti per la cybersicurezza”.
Dal cloud alla privacy: i punti salienti della legge
Ci sono alcuni articoli del Data Act in particolare che il CIO può approfondire. Quelli dal 4 al 6 stabiliscono che le imprese adottino strumenti e processi per garantire l’accesso ai dati degli utenti, direttamente o tramite terze parti autorizzate, e supportino le loro richieste di accesso. Questi obblighi riguardano i produttori di dispositivi connessi, ma anche i fornitori di servizi come quelli cloud o di analisi dei dati. Per i CIO l’implicazione è chiara: saranno facilitati nel passaggio da un provider all’altro. Infatti un altro tema rilevante nel Data Act è l’obbligo di interoperabilità (art. 28 e 30), ovvero la capacità di applicazioni e sistemi di scambiare dati in modo sicuro e automatico al di là dei confini geografici e politici. I fornitori di servizi cloud ed edge computing devono, di conseguenza, assicurare l’interoperabilità dei dati e tale interoperabilità si estende alle API, che devono essere aperte e standardizzate.
“Il CIO potrà verificare che i suoi fornitori tecnologici rispettino questi standard di interoperabilità e la possibilità di migrare tra provider o di usare più provider”, evidenzia Degasperi. “Questo è particolarmente rilevante nei confronti dei fornitori del cloud: il CIO dovrà assicurarsi di rivolgersi a piattaforme compliant che rendono più semplice e meno costoso migrare verso un’altra piattaforma”.
Ancora, l’art. 3 del Data Act è importante per i riferimenti al GDPR: l’accesso ai dati dei dispositivi connessi non deve violare il regolamento generale dell’UE sui dati personali.
“Se le aziende condividono dati tra di loro devono tutelare la privacy e la cybersicurezza e questo è un altro compito per il CIO”, osserva Degasperi. “C’è anche la parte relativa ai contratti, negli articoli 14 e 15 del Data Act”, prosegue l’esperto. “Non riguarda solo il CIO ma il suo coordinamento con il team legale, perché le imprese devono assicurarsi che le clausole contrattuali con i fornitori rispettino le disposizioni del Data Act in merito a quali dati possono essere raccolti, chi può accedere ai dati, per quanto tempo possono essere conservati, e così via”.
Per Perugini un punto estremamente rilevante è l’onere di “accessibilità by design”. Se, infatti, i dispositivi connessi devono essere progettati per rendere l’accesso ai dati dell’utente sempre possibile in modo diretto, il CIO dovrà occuparsi delle soluzioni tecniche legate all’autorizzazione all’accesso in base alle credenziali dell’utente e alla sicurezza della loro trasmissione ad altri. Questo può riguardare il CIO indipendentemente dal fatto che la sua azienda operi come produttore, venditore, fornitore o utilizzatore di un dispositivo connesso.
“Il CIO deve essere parte attiva della creazione delle regole e delle soluzioni per questi accessi, deve conoscere bene il prodotto connesso e il Data Act e provare a ideare delle azioni sia tecniche che organizzative per la compliance”, afferma Perugini. “Deve prevenire il rischio di violazione da parte di hacker sia di utenti non autorizzati”.
Un altro tema di interesse per il CIO, prosegue Perugini, è quello della retention dei dati. Il CIO deve stabilire, insieme alle altre funzioni aziendali, i tempi di conservazione, che vanno programmati in funzione dell’uso effettivo dei dati raccolti dai dispositivi connessi. “Naturalmente può verificarsi una sovrapposizione col GDPR che, comunque, sui dati personali, resta la legge principale di riferimento”, sottolinea l’avvocato.
Data Act, quali compiti spettano al CIO
Numerosi i compiti che spettano al CIO di fronte alle disposizioni del Data Act. Intanto, come spiega l’Avv. Perugini, i CIO devono svolgere una due diligence sui dati che le loro aziende raccolgono dai dispositivi connessi e capire da che parte della catena del valore si trovano, ovvero se sono i titolari, gli utenti o i destinatari.
“Se l’azienda produce un macchinario industriale connesso e lo dà a un cliente e poi fa manutenzione del macchinario, si trova a raccogliere i dati come titolare. Se l’azienda è cliente del macchinario è utente e co-genera i dati. Se, invece, è un’azienda che acquisisce i dati del macchinario, è un destinatario, perché l’utente o il produttore hanno concesso di metterli a sua disposizione oppure partecipa a un marketplace di dati”, spiega Perugini. “I CIO possono anche vedere se ci sono sul mercato dati generati da altri che possono servire per analisi interne e procurarseli. Qualunque uso o scambio di dati deve essere regolato da un accordo tra le parti interessate con dei contratti”.
Per Degasperi un compito importante del CIO è mappare i dispositivi connessi usati in azienda e i dati che generano, creando una sorta di inventario in modo da sapere sempre quali dati vengono raccolti, come vengono conservati, per quanto tempo e chi vi può accedere. Questa mappa dei flussi di dati deve includere anche fornitori e partner.
Il CIO dovrà anche valutare i contratti con i fornitori e assicurarsi che i termini siano compliant, dovrà negoziare con i fornitori per accedere ai dati in modo diretto e interoperabile e valutare se l’infrastruttura IT dell’azienda è adatta a garantire l’interoperabilità e la sicurezza cyber dei dati come da GDPR. Il CIO dovrà anche mantenere aggiornati i suoi team sullo sviluppo normativo e collaborare con i colleghi del team Legal o con consulenti legali. Non basta, infatti, l’azione dell’IT: nella conformità con il Data Act sono importanti anche gli aspetti organizzativi e di governancee il CIO dovrà collaborare con le altre funzioni.
Queste attività, l’acquisizione di competenze sul Data Act e l’eventuale ricorso a consulenti potrebbero far salire i costi della compliance, soprattutto per le PMI, ma, secondo Degasperi, “resta la grande opportunità di creare un ecosistema digitale più aperto e collaborativo ed evitare i monopoli sui dati. Certo, le imprese devono adottare un approccio consapevole e strategico e il CIO dovrà ripensare la governance dei dati. La chiave sarà trovare un equilibrio tra adempimento degli obblighi normativi e sfruttamento delle opportunità”.
Perugini consiglia alle imprese di “uscire da una reazione conservativa” per poter sfruttare la legge europea e trasformarsi in data-driven company. Occorrerà studiare le disposizioni e capire come applicarle alle proprie operazioni. Questo sarà, in parte, un compito per il CIO: un CIO che l’avvocata definisce “creativo”, perché, a partire dagli strumenti offerti dal Data Act, dovrà scoprire come usarli, nel concreto, nella propria realtà per creare innovazione.
Read More from This Article: Il Data Act e la data-driven company: quali compiti per il CIO
Source: News