Cybersecurity

Dall’UE un Regolamento sull’accesso equo ai dati da prodotti e servizi IoT (Reg. 2023/2854)

1528 0

In Gazzetta europea arriva il REGOLAMENTO (UE) 2023/2854 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 dicembre 2023: contiene norme armonizzate sull’accesso equo ai dati di un “prodotto” inteso come un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente, e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica .

Il Regolamento si inserisce nel regolamento (UE) 2017/2394 (sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa che tutela i consumatori) e nell’allegato della direttiva (UE) 2020/1828 (regolamento sui dati) ed è applicativo a decorrere dal 12 settembre 2025 per gli Stati Nazionali senza necessità di ulteriori requisiti supplementari.

Di cosa tratta esattamente il Regolamento e come si lega alla normativa europea sui dati preesistente?

Dati connessi ad un prodotto o servizio: cosa prevede il Regolamento 2023/2854

Il Regolamento 2023/2854 risponde alla necessità di garantire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base.

Pertanto, il regolamento garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell’Unione possano:

  • accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato
  • utilizzare i dati, anche condividendoli con terzi di loro scelta.

Correlativamente, il Regolamento impone ai titolari dei dati l’obbligo di mettere a disposizione:

  • i dati degli utenti e dei terzi scelti dagli utenti in determinate circostanze e a condizioni eque, ragionevoli, non discriminatori e in modo trasparente.
  • i dati degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento di un compito specifico nell’interesse pubblico.

Inoltre, il Regolamento consente agli utenti di prodotti connessi di beneficiare di servizi post-vendita, ausiliari e di altro tipo sulla base dei dati raccolti dai sensori incorporati in tali prodotti, in quanto la raccolta di tali dati è potenzialmente utile per il miglioramento delle prestazioni dei prodotti connessi.

Il Regolamento 2023/2854: cosa prevede, a chi si applica e articolazione

Il regolamento riguarda i dati personali e non personali, compresi i seguenti tipi di dati nei contesti seguenti:

  • relativi alle prestazioni, all’uso e all’ambiente dei prodotti connessi e dei servizi correlati – capo II si applica ai dati, ad eccezione del contenuto,
  • propri del settore privato e soggetti a obblighi di condivisione dei dati previsti dalla legge –  capo III;
  • del settore privato il cui accesso e utilizzo si basano su contratti tra imprese – capo IV
  • del settore privato, incentrandosi sui dati non personali – capo V
  • trattati dai fornitori di servizi di trattamento dei dati –  capo VI;
  • dati non personali detenuti nell’Unione da fornitori di servizi di trattamento dei dati – capo VII.

Campo di applicazione del Regolamento

Il Regolamento si applica a “prodotti”  che ottengono, generano o raccolgono, mediante i loro componenti o sistemi operativi, dati relativi alle loro prestazioni, al loro uso o al loro ambiente e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, spesso denominati «internet delle cose».

Si fa riferimento, in particolare, alle reti telefoniche terrestri, alle reti televisive via cavo, alle reti satellitari e alle reti di comunicazione in prossimità (NFC). Questi prodotti sono presenti in tutti gli aspetti dell’economia e della società, tra cui infrastrutture private, civili o commerciali, veicoli, attrezzature sanitarie e legate allo stile di vita, navi, aeromobili, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari o macchine agricole e industriali.

Destinatari del Regolamento 2023/2854

Il Regolamento si applica e riguarda direttamente a:

  • fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento di tali fabbricanti e fornitori;
  • utenti nell’Unione di prodotti connessi o servizi correlati di cui alla lettera a);
  • titolari dei dati, indipendentemente dal loro luogo di stabilimento, che mettono dati a disposizione dei destinatari dei dati nell’Unione;
  • destinatari dei dati nell’Unione a disposizione dei quali sono messi i dati;
  • enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi dell’Unione che chiedono ai titolari dei dati di mettere i dati a disposizione nel caso tali dati siano necessari a fronte di una necessità eccezionale per l’esecuzione di un compito specifico svolto nell’interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta;
  • fornitori di servizi di trattamento dei dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione;
  • partecipanti agli spazi di dati, ai venditori di applicazioni che utilizzano contratti intelligenti e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo.

Regolamento 2023/2854 e normative di privacy europee

In ogni caso, il Regolamento si inserisce nel quadro europeo di tutela dei dati e

  • non conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati generati dall’uso di un prodotto connesso o di un servizio correlato.
  • integra e lascia impregiudicato il diritto dell’Unione in materia di protezione dei dati personali e della vita privata, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE.
  • non costituisce una base giuridica per la raccolta o la generazione di dati personali da parte del titolare dei dati
  • non pregiudica il diritto contrattuale nazionale, comprese le norme sulla formazione, la validità o l’efficacia dei contratti, o le conseguenze della risoluzione di un contratto.
  • lascia impregiudicati gli atti giuridici dell’Unione e nazionali che prevedono la condivisione, l’accesso e l’utilizzo dei dati a fini di prevenzione, indagine, accertamento o perseguimento di reati o allo scopo di eseguire sanzioni penali, o a fini doganali e fiscali.

Internet e Sicurezza dei dati: informazione e formazione per il professionista della privacy e della security

Manuale di diritto di INTERNET

Corona Fabrizio, Iaselli Michele

Libro – Edizione: febbraio 2021

L’opera, che vede la collaborazione di diversi studiosi e professionisti specializzati nel settore, approfondisce la complessa tematica del rapporto fra diritto e nuove tecnologie, privilegiando un approccio di carattere operativo anche se non viene risparmiato spazio ad importanti riferimenti di carattere dottrinario

Violazioni della privacy e sanzioni amministrative pecuniarie

Biasiotti Adalberto, Caiazza Antonio
Libro – Edizione: novembre 2020

Il GDPR o in Italia RGDP, regolamento generale europeo, innova in maniera profonda le modalità di determinazione delle sanzioni, a fronte di violazioni della privacy. Questa traccia può essere utile anche per l’impostazione di possibili controdeduzioni, da parte dei soggetti sanzionati.

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore