Dall’UE un Regolamento sull’accesso equo ai dati da prodotti e servizi IoT (Reg. 2023/2854)

In Gazzetta europea arriva il REGOLAMENTO (UE) 2023/2854 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 dicembre 2023: contiene norme armonizzate sull’accesso equo ai dati di un “prodotto” inteso come un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente, e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica .

Il Regolamento si inserisce nel regolamento (UE) 2017/2394 (sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa che tutela i consumatori) e nell’allegato della direttiva (UE) 2020/1828 (regolamento sui dati) ed è applicativo a decorrere dal 12 settembre 2025 per gli Stati Nazionali senza necessità di ulteriori requisiti supplementari.

Di cosa tratta esattamente il Regolamento e come si lega alla normativa europea sui dati preesistente?

Dati connessi ad un prodotto o servizio: cosa prevede il Regolamento 2023/2854

Il Regolamento 2023/2854 risponde alla necessità di garantire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base.

Pertanto, il regolamento garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell’Unione possano:

• accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato
• utilizzare i dati, anche condividendoli con terzi di loro scelta.

Correlativamente, il Regolamento impone ai titolari dei dati l’obbligo di mettere a disposizione:

• i dati degli utenti e dei terzi scelti dagli utenti in determinate circostanze e a condizioni eque, ragionevoli, non discriminatori e in modo trasparente.
• i dati degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento di un compito specifico nell’interesse pubblico.

Inoltre, il Regolamento consente agli utenti di prodotti connessi di beneficiare di servizi post-vendita, ausiliari e di altro tipo sulla base dei dati raccolti dai sensori incorporati in tali prodotti, in quanto la raccolta di tali dati è potenzialmente utile per il miglioramento delle prestazioni dei prodotti connessi.

Il Regolamento 2023/2854: cosa prevede, a chi si applica e articolazione

Il regolamento riguarda i dati personali e non personali, compresi i seguenti tipi di dati nei contesti seguenti:

• relativi alle prestazioni, all’uso e all’ambiente dei prodotti connessi e dei servizi correlati – capo II si applica ai dati, ad eccezione del contenuto,
• propri del settore privato e soggetti a obblighi di condivisione dei dati previsti dalla legge –  capo III;
• del settore privato il cui accesso e utilizzo si basano su contratti tra imprese – capo IV
• del settore privato, incentrandosi sui dati non personali – capo V
• trattati dai fornitori di servizi di trattamento dei dati –  capo VI;
• dati non personali detenuti nell’Unione da fornitori di servizi di trattamento dei dati – capo VII.

Campo di applicazione del Regolamento

Il Regolamento si applica a “prodotti”  che ottengono, generano o raccolgono, mediante i loro componenti o sistemi operativi, dati relativi alle loro prestazioni, al loro uso o al loro ambiente e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, spesso denominati «internet delle cose».

Si fa riferimento, in particolare, alle reti telefoniche terrestri, alle reti televisive via cavo, alle reti satellitari e alle reti di comunicazione in prossimità (NFC). Questi prodotti sono presenti in tutti gli aspetti dell’economia e della società, tra cui infrastrutture private, civili o commerciali, veicoli, attrezzature sanitarie e legate allo stile di vita, navi, aeromobili, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari o macchine agricole e industriali.

Destinatari del Regolamento 2023/2854

Il Regolamento si applica e riguarda direttamente a:

• fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento di tali fabbricanti e fornitori;
• utenti nell’Unione di prodotti connessi o servizi correlati di cui alla lettera a);
• titolari dei dati, indipendentemente dal loro luogo di stabilimento, che mettono dati a disposizione dei destinatari dei dati nell’Unione;
• destinatari dei dati nell’Unione a disposizione dei quali sono messi i dati;
• enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi dell’Unione che chiedono ai titolari dei dati di mettere i dati a disposizione nel caso tali dati siano necessari a fronte di una necessità eccezionale per l’esecuzione di un compito specifico svolto nell’interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta;
• fornitori di servizi di trattamento dei dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione;
• partecipanti agli spazi di dati, ai venditori di applicazioni che utilizzano contratti intelligenti e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo.

Regolamento 2023/2854 e normative di privacy europee

In ogni caso, il Regolamento si inserisce nel quadro europeo di tutela dei dati e

• non conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati generati dall’uso di un prodotto connesso o di un servizio correlato.
• integra e lascia impregiudicato il diritto dell’Unione in materia di protezione dei dati personali e della vita privata, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE.
• non costituisce una base giuridica per la raccolta o la generazione di dati personali da parte del titolare dei dati
• non pregiudica il diritto contrattuale nazionale, comprese le norme sulla formazione, la validità o l’efficacia dei contratti, o le conseguenze della risoluzione di un contratto.
• lascia impregiudicati gli atti giuridici dell’Unione e nazionali che prevedono la condivisione, l’accesso e l’utilizzo dei dati a fini di prevenzione, indagine, accertamento o perseguimento di reati o allo scopo di eseguire sanzioni penali, o a fini doganali e fiscali.

Internet e Sicurezza dei dati: informazione e formazione per il professionista della privacy e della security

Manuale di diritto di INTERNET

Corona Fabrizio, Iaselli Michele

Libro – Edizione: febbraio 2021

L’opera, che vede la collaborazione di diversi studiosi e professionisti specializzati nel settore, approfondisce la complessa tematica del rapporto fra diritto e nuove tecnologie, privilegiando un approccio di carattere operativo anche se non viene risparmiato spazio ad importanti riferimenti di carattere dottrinario

Violazioni della privacy e sanzioni amministrative pecuniarie

Biasiotti Adalberto, Caiazza Antonio
Libro – Edizione: novembre 2020

Il GDPR o in Italia RGDP, regolamento generale europeo, innova in maniera profonda le modalità di determinazione delle sanzioni, a fronte di violazioni della privacy. Questa traccia può essere utile anche per l’impostazione di possibili controdeduzioni, da parte dei soggetti sanzionati.