Data Act al via: ecco le tre sfide chiave per le aziende

La formazione come prerequisito per la conformità

Il primo impatto del Data Act riguarda la necessità di sviluppare competenze diffuse in materia di dati all’interno delle organizzazioni; quella che il regolamento definisce come “alfabetizzazione in materia di dati”. Seppur non sia previsto un articolo dedicato, come invece accade nell’AI Act, anche il Data Act pone l’accento sull’importanza della formazione in materia di dati. In questo senso, i diversi attori dovranno adoperarsi per acquisire e sviluppare delle competenze idonee a comprendere i diversi aspetti del Regolamento.

Sul punto, il considerando 19 definisce l’alfabetizzazione in materia di dati come le competenze, le conoscenze e la comprensione che consentono agli utenti, ai consumatori e alle imprese di acquisire consapevolezza in merito al valore potenziale dei dati da essi generati, prodotti e condivisi e ai quali sono motivate a offrire e fornire accesso conformemente alle pertinenti norme giuridiche.

In quest’opera di “alfabetizzazione” però il Data Act non lascia gli attori soli poiché stabilisce espressamente che siano attribuiti alle autorità competenti “la promozione dell’alfabetizzazione in materia di dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del Data Act in merito ai diritti e agli obblighi a norma dello stesso regolamento” (cfr. art. 37, paragrafo 5, lett. a), del Data Act).

Per i soggetti che si troveranno a rivestire il ruolo di titolari dei dati, l’alfabetizzazione del proprio personale rivestirà un ruolo importante non solo in ottica di conformità normativa ma anche in prospettiva di cogliere le opportunità offerte dal Regolamento.

Definizione e perimetro dei dati applicabili

Il secondo impatto riguarda la necessità di comprendere se i dati relativi al prodotto o al servizio, rispetto ai quali si potrebbe ricoprire il ruolo di titolare dei dati, rientrano nell’ambito di applicazione del Data Act.

Il considerando 15 del Data Act aiuta a comprendere e ad individuare i dati a cui si applica il regolamento stesso. In particolare, specifica che “con il termine «dati del prodotto» si fa riferimento ai dati generati dall’uso di un prodotto connesso e progettati dal fabbricante in modo tale che un utente, il titolare dei dati o terzi, compreso se del caso il fabbricante, possano reperirli dal prodotto connesso. Con il termine «dati del servizio correlato» si fa riferimento ai dati che rappresentano altresì la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto connesso e che sono generati durante la fornitura di un servizio correlato da parte del fornitore.

I dati generati dall’uso di un prodotto connesso o di un servizio correlato dovrebbero essere intesi come dati registrati intenzionalmente o dati che derivano indirettamente dall’azione dell’utente (ad esempio, i dati relativi all’ambiente o alle interazioni del prodotto connesso). Tra gli esempi che si trovano nel considerando citato si richiamano i dati sull’uso di un prodotto connesso generati da un’interfaccia utente o tramite un servizio correlato e non dovrebbe limitarsi all’informazione relativa al fatto che tale uso è avvenuto; dovrebbero infatti rientravi, ad esempio, i dati generati automaticamente da sensori e i dati registrati da applicazioni incorporate, incluse le applicazioni indicanti lo stato dell’hardware e i malfunzionamenti, oltre ai dati generati durante i periodi di inattività dell’utente (quando il dispositivo è in modalità stand-by o spento).

Il considerando chiarisce che rientrano nell’ambito di applicazione i dati in forma grezza (che non sono modificati in modo sostanziale) e i dati che sono stati pretrattati al fine di renderli comprensibili e utilizzabili prima di ulteriori operazioni di trattamento e analisi, come, ad esempio, i dati raccolti da un unico sensore o da un gruppo connesso di sensori al fine di rendere i dati raccolti comprensibili per casi d’uso più ampi, determinando una quantità o una qualità fisica o la modifica di una quantità fisica, quale la temperatura, la pressione, la portata, l’audio, il valore del pH, il livello del liquido, la posizione, l’accelerazione o la velocità. Oltre a queste tipologie di dati, il legislatore ha incluso anche i pertinenti metadati, inclusi il contesto di base e la marca temporale.

Non rientrano invece nell’ambito di applicazione le informazioni dedotte o ricavate dai dati di cui sopra, che sono il risultato di ulteriori investimenti nell’attribuzione di valori o informazioni derivanti dai dati, in particolare mediante algoritmi proprietari complessi, come, ad esempio, le informazioni ricavate dall’integrazione dei sensori, che consente di dedurre o ricavare i dati da più sensori, raccolti nel prodotto connesso, utilizzando algoritmi proprietari complessi, e che potrebbero essere soggetti (altresì) a diritti di proprietà intellettuale.

Mappatura interna per la compliance normativa

Compreso il perimetro dei dati, un primo intervento in ottica di compliance alla normativa potrebbe essere quello di svolgere una mappatura interna dei dati relativi ai prodotti connessi o ai servizi correlati per comprendere se sono presenti dei dati che rispettano le caratteristiche indicate dal Data Act e che devono, pertanto, seguire quanto indicato dal regolamento stesso.

Oltre agli aspetti relativi all’alfabetizzazione in materia di dati e all’individuazione dei dati nel perimetro di applicazione del regolamento, è necessario considerare anche gli aspetti “tecnici” relativi all’accesso ai dati e il loro uso che i titolari dei dati devono affrontare (o hanno già affrontato) per rispettare gli obblighi e mettere a disposizione i dati nelle modalità richieste dal regolamento.

Sfide tecnologiche e soluzioni implementative

Sul punto, il Data Act evidenzia, nel considerando 2, alcuni “ostacoli” tra cui, ad esempio, i costi per l’implementazione di interfacce tecniche, l’elevato livello di frammentazione delle informazioni in silos di dati, la cattiva gestione dei metadati, l’assenza di norme per l’interoperabilità semantica e tecnica, le strozzature che impediscono l’accesso ai dati, la mancanza di prassi comuni di condivisione dei dati.

Alla luce di ciò, al fine di rispettare gli obblighi del Data Act, i titolari saranno impattati nella misura in cui devono dotarsi dal punto di vista tecnico (attraverso lo sviluppo interno o l’acquisto) di soluzioni per mettere a disposizione i dati “con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale” (cfr. art. 4, paragrafo 1, Data Act). Inoltre, dovranno essere implementate delle soluzioni anche per mettere i dati a disposizione dei terzi, ove previsto dal regolamento.

Quanto sopra può comportare non solo un impatto “tecnico” ma anche economico.

Strategia integrata per l’adeguamento normativo

L’applicabilità del Data Act impone alle organizzazioni una sfida che abbraccia competenze umane, mappatura dei dati e infrastrutture tecniche. In primo luogo, l’alfabetizzazione in materia di dati emerge come prerequisito fondamentale per sviluppare una maggiore consapevolezza all’interno della propria organizzazione. La mappatura e comprensione delle diverse tipologie di dati è rilevante per comprendere i limiti degli obblighi in capo ai titolari dei dati. Infine, gli aspetti tecnici richiedono investimenti in soluzioni volte a garantire l’accesso sicuro, continuo e interoperabile ai dati.

Quelli analizzati sono solo alcuni degli impatti che le organizzazioni devono tenere in considerazione ma che sono importanti per organizzarsi, laddove non sia stato già fatto, per affrontare al meglio i nuovi obblighi e le opportunità che offre la normativa.