Le nuove normative europee, nell’ambito della governace dei dati, impongono ai titolari del trattamento un ripensamento complessivo delle modalità con cui vengono garantiti i diritti degli interessati.
La sfida non è soltanto interpretativa, ma soprattutto organizzativa: occorre aggiornare le misure tecniche e procedurali affinché i diritti di accesso, rettifica, portabilità, cancellazione e condivisione dei dati siano esercitabili in modo effettivo, tempestivo e sicuro.
Diventa quindi necessario intervenire sulle policy interne per la gestione delle richieste degli interessati, integrare i processi impattati – in particolare quelli relativi ad accesso e portabilità – e individuare nuovi interlocutori esterni, come intermediari o fornitori di servizi di condivisione dei dati. Parallelamente, è fondamentale definire modalità tecniche standardizzate e protette per la comunicazione e la trasmissione dei dati, garantendo interoperabilità e sicurezza.
Proponiamo allora un approccio metodologico per accompagnare i titolari del trattamento in questo percorso di adeguamento, assicurando la piena tutela dei diritti e la coerenza con il nuovo quadro regolatorio europeo sui dati.
Indice degli argomenti
Le previsioni delle nuove normative Innovation, in breve
Gli ultimi anni sono stati caratterizzati da cospicua produzione normativa in ambito Innovation, soprattutto a livello europeo. Le istituzioni comunitarie sono state chiamate ad intervenire per disciplinare l’incalzante evoluzione del mercato tecnologico, per la tutela sia delle libertà economiche degli stakeholders, sia dei diritti di cittadini e soggetti coinvolti. In tale contesto i dati costituiscono (e costituiranno) linfa per le reti neurali degli algoritmi di machine learning e non a caso le nuove previsioni del legislatore europeo appaiono volte a promuovere, da un lato, la libera circolazione dei dati e il loro secondary use, garantendone, dall’altro, un utilizzo coerente, consapevole e controllato.
In tal senso, il Data Act, entrato in vigore l’11 gennaio 2024 e applicabile dal 12 settembre 2025, garantisce agli utenti di accedere ed ottenere la portabilità dei dati generati dai “dispositivi connessi”, da intendersi come quei prodotti che sono in grado di generare, ottenere o raccogliere dati sull’uso, le prestazioni o l’ambiente in cui vengono utilizzati e che possono comunicare questi dati tramite una connessione via cavo o wireless (tra questi rientrano, ad esempio, gli elettrodomestici intelligenti, i macchinari industriali, i dispositivi medici, gli smartphone e i televisori). Il riferimento della norma è ai dati di utilizzo in generale, potendosi intendere sia dati aggregati, sia dati riferibili a persone fisiche e come tali “personali”.
Mentre con il Data Act l’Unione Europea ha regolamentato un settore specifico del mercato dei dati (quello, appunto, dei prodotti connessi), con il Data Governance Act – entrato in vigore il 23 giugno 2022 e pienamente applicabile dal 24 settembre 2023 – ha perseguito l’intento di creare un mercato unico dei dati, all’interno del quale garantire il riutilizzo di categorie di dati protetti (ad esempio, dati personali e commerciali riservati) detenuti dal settore pubblico. In quest’ottica sono stati riconosciuti espressamente gli intermediari di dati: figure neutrali che facilitano, appunto, l’intermediazione tra persone fisiche e giuridiche in occasione della condivisione dei dati, garantendo la compliance normativa, al GDPR e non solo. Il loro ruolo appare fondamentale non solo con riferimento al rispetto delle regole ma anche per una supervisione di tipo etico ed efficace, dal momento che gli stessi si impegnano a promuovere l’interoperabilità ed il riutilizzo dei dati.
Ancora, il Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS), entrato in vigore il 26 marzo 2025, volto a tutelare i diritti di una categoria specifica di interessati, quella dei pazienti, ha rafforzato il diritto di accesso consentendo ai singoli di procedere alla consultazione (ma anche alla gestione e limitazione) dei propri dati sanitari in maniera assolutamente gratuita ed in tempi immediati, attraverso un portale unico condiviso a livello europeo, volto altresì alla comunicazione tra gli operatori.
Come garantire la compliance aziendale: misure tecniche e organizzative
Alla luce delle nuove normative, è necessario che i soggetti destinatari verifichino i propri processi aziendali e si adoperino per il loro aggiornamento e la loro integrazione al fine di garantire la compliance aziendale a 360 gradi.
Cosa significa? Anzitutto occorre distinguere l’ambito di applicazione oggettivo e soggettivo delle norme.
Il Data Act, infatti, si applica soprattutto alle aziende che forniscono prodotti dotati di software per produrre, raccogliere o conservare dati (anche noti come device “IoT” o “dispositivi connessi”, come ad esempio macchinari industriali, veicoli e dispositivi domestici intelligenti), ai fornitori di servizi digitali che influenzano le funzioni di un prodotto IoT, quali ad esempio piattaforme, servizi SaaS (Software as a Service) e servizi cloud, nonché ai fornitori di servizi di trattamento dati in generale. A tali aziende sarà richiesto di garantire l’accesso e la portabilità dei dati generati dai “dispositivi connessi”.
Nel caso in cui una di queste organizzazioni possa configurarsi quale intermediario di dati, ai sensi e per gli effetti del Data Governance Act, in occasione del “passaggio” di dati a questa sarebbe richiesto, in aggiunta, di garantire le condizioni di accuratezza, completezza, affidabilità, pertinenza e aggiornamento tracciate da tale normativa.
Laddove, poi, i dati in questione fossero di natura sanitaria, in applicazione dell’EHDS dovrebbe essere garantito il diritto di accesso, gestione e limitazione attraverso portale unico e condiviso a livello europeo, in maniera gratuita ed in tempistiche immediate.
Ora, a prescindere dalle sovrapposizioni tra ruoli, la messa a terra delle misure tecniche ed organizzative necessarie a garantire la compliance aziendale richiede la doverosa premessa di un assessment.
Occorre infatti anzitutto fotografare lo stato dei processi aziendali, in modo tale da individuare, se possibile, gli step da eventualmente integrare con le nuove azioni richieste dalle normative Innovation e/o i gaps da rimediare; in alternativa, il modello organizzativo potrà essere integrato da nuovi processi.
In che modo svolgere un assessment volto all’efficientamento della condivisione dei dati?
Anzitutto è necessario che l’organizzazione si sottoponga ad un “self-assessment”, ossia ad una verifica di applicabilità delle normative in questione: come detto, non a tutte le aziende si applicano le nuove previsioni, e ciò dipende dall’oggetto del business oltre che dalla tipologia di dati raccolti e trattati nell’erogazione delle prestazioni.
Sebbene in alcuni contesti l’assessment di applicabilità appaia superfluo, considerata l’attività di impresa, sarebbe opportuno svolgerlo in ogni caso, a supporto dell’accountability: in caso di contestazione, lo svolgimento dell’assessment documenta la non applicabilità e la conseguente scelta dell’azienda di non procedere ad aggiornamento procedurale.
Una volta completato il self-assessment, in caso di esito positivo, è opportuno avviare una attività di data mapping prendendo le mosse da un inventario dei data asset societari che possa agevolmente inquadrare quali categorie di dati sono raccolte dalla società ed in che modo vengono conservati e gestiti.
Il data asset inventory si può considerare lo step preliminare della mappatura: per una adeguata verifica di compliance non basta sapere dove sono i dati e a quali categorie appartengono. Occorre infatti che sia mappato tutto il ciclo vitale del dato, tenuto conto degli scopi di utilizzo: dall’origine dei dati alla loro archiviazione, passando per la modalità di raccolta e conservazione, le fasi di elaborazione, le occasioni di condivisione ed i relativi strumenti a supporto, i soggetti destinatari, le ipotesi di accesso e modifica da parte degli utenti.
A livello metodologico ciò può tradursi nella predisposizione di una checklist che elenchi gli aspetti da approfondire, individui gli owner dei processi da verificare o coinvolgere, stabilisca le tempistiche per ciascun controllo.
A livello tecnico, invece, sarebbe bene sfruttare l’opportunità della checklist per annotare, in corrispondenza a ciascuna fase del ciclo vitale del dato, le misure tecniche di sicurezza adottate ed i provider coinvolti nella loro gestione, se presenti.
È importante, infatti, che la descrizione del ciclo vitale del dato sia integrata dal relativo flusso operativo: al fine di integrare il processo con la menzione delle nuove azioni e misure richieste dalle normative europee, è importante conoscere attori e ruoli della catena di montaggio, per la loro formazione e l’aggiornamento dei relativi adempimenti.
Una volta ottenuta questa fotografia, è possibile procedere ad una valutazione di merito sull’integrazione del flusso già esistente o sull’eventuale predisposizione di nuovo flusso. Ciò si traduce nella realizzazione di un action plan, di rimedio o implementazione, che tenga conto nell’identificazione delle azioni di quei criteri stabiliti dalla normativa (si pensi alle condizioni di accuratezza, completezza, affidabilità, pertinenza e aggiornamento di cui al Data Governance Act).
Il progetto di adeguamento alle nuove normative non potrà non tenere conto delle modalità di gestione delle richieste e di riscontro avuto riguardo degli interessati: è per questo che sarebbe opportuno evitare di procedere con la predisposizione di nuove policy “stand alone” preferendo, piuttosto, l’integrazione dei flussi già presenti, con particolare riguardo alla policy di gestione delle richieste di esercizio dei diritti riconosciuti dal GDPR. Tale policy andrebbe quindi ad evolversi, sganciandosi dai singoli adempimenti della normativa a tutela dei dati personali per regolamentare anche l’esercizio di diritti diversi, riferibili a differenti categorie di dati, con un approccio di compliance non settoriale ma integrata.
Sul metodo, infine: un buon approccio metodologico non può non prevedere un ricorrente monitoraggio delle misure tecniche ed organizzative prescelte a tutela della compliance: la checklist adoperata per catturare lo stato dell’arte e facilitare le azioni di adeguamento potrebbe ben convertirsi in un piano di controllo delle azioni, per la verifica della relativa messa a terra, la raccolta delle lessons learnt, la misurazione dei KPI.
Chiaro che all’aggiornamento delle procedure dovrà fare seguito una adeguata formazione per tutta la popolazione aziendale, al fine di darne applicazione effettiva ed efficace.
Conclusioni
In sintesi, per garantire che tutti i diritti siano opportunamente tutelati e che le richieste di interessati ed utenti siano opportunamente gestite, si suggerisce:
- self-assessment di applicabilità delle nuove normative Innovation;
- in caso di esito negativo, archiviazione dell’evidenza di self-assessment ai fini di accountability;
- in caso di esito positivo, data mapping, data asset inventory, checklist di assessment per la compliance dei processi esistenti, con il coinvolgimento di tutti gli attori, interni ed esterni all’azienda;
- all’esito dell’assessment, action plan di rimedio o implementazione;
- monitoraggio a posteriori e ricorrente delle misure adottate;
- formazione per tutta la popolazione aziendale sui processi rinnovati.
Considerato che le normative citate sono già in vigore da qualche mese, lo svolgimento di tali attività dovrebbe essere programmato nel breve periodo, potendosi realisticamente attendere l’attivazione delle verifiche ispettive da parte delle autorità competenti nel giro di un semestre, con un rischio sanzionatorio fino al 4% del fatturato mondiale annuo per le aziende destinatarie, fino al 6% nel caso di violazione delle norme del Data Governance Act. A prescindere del concreto rischio sanzionatorio, in ogni caso, tale contesto può costituire una importante opportunità per la generale verifica e l’aggiornamento dei processi aziendali a tutela dei diritti dei singoli, nonché per il loro efficientamento, nella piena consapevolezza del valore dei dati stessi.
