Privacy e digitale, aziende nel labirinto delle regole Ue
Ai Act, Ai Act, Dma, Dsa, Data act. È un labirinto di sigle, quello della normativa europea sul digitale. Ma l’affastellarsi di direttive e regolamenti da Bruxelles rischia di diventare anche un rompicapo per le aziende del settore, chiamate ad applicare – una dietro l’altra – le novità normative.
All’inizio fu il Gdpr, il regolamento Ue sulla privacy operativo dal 2018. Il regolamento è tuttora in vigore, tanto che le altre regole europee rimandano al Gdpr per la parte di tutela dei dati.
Da allora si sono aggiunte molte altre normative, spesso regolamenti, quindi subito applicabili in tutti gli Stati, ognuna per regolare un tassello digitale. L’Ai Act, ad esempio, si occupa dell’utilizzo di sistemi di intelligenza artificiale: è operativo già in parte, ma lo diventerà pienamente nell’agosto 2027. Il Digital market Act (Dma) e il Digital service Act (Dsa) guardano alle grandi piattaforme (i cosiddetti “gatekeeper”) e al commercio online, cercando di assicurare piena competitività, ma anche proteggere gli utenti e moderare i contenuti.
Il prossimo sarà il Data Act: il regolamento Ue sarà in vigore dal 12 settembre, regolando da allora l’accesso ai dati generati dai prodotti connessi (smartwatch, automobili o assistenti vocali intelligenti).
Sarà un altro tassello di un puzzle sempre più ricco e complesso, che sta complicando la vita alle aziende alle prese con la compliance rispetto a queste norme, non sempre coordinate tra loro, come dimostrano alcuni esempi di sovrapposizioni della scheda in questa pagina. Prendiamo ad esempio proprio la scadenza del 12 settembre relativa al Data Act: i produttori di servizi connessi da quel giorno dovranno rendere accessibili e condivisibili agli utenti i dati personali raccolti durante l’utilizzo. E informarli dei loro diritti di accesso. Già ma come? Le aziende si stanno interrogando per capire se basta aggiornare la sezione “Termini e condizioni” del contratto o serve una nota ad hoc. Non solo. Sono necessari anche interventi tecnici: finora i dati venivano raccolti a uso interno, quindi magari in modo non del tutto tracciato o in formati non leggibili, ora invece vanno resi comprensibili all’utente che ne fa richiesta. Ma il vero nodo è la sovrapposizione normativa: «Il Data act richiede accessibilità e condivisione ma occorre anche una valutazione ai fini del Gdpr per capire quali dati possono essere davvero condivisi senza violare le norme di questo regolamento» spiegano Francesca Gaudino e Filiberto Brozzetti, rispettivamente responsabile del dipartimento Tech and data privacy e of counsel di Baker Mc Kenzie che hanno curato la scheda in pagina.
Fonte: Il Sole 24 Ore
