La gestione dei mixed dataset – ossia insiemi composti da dati personali e non personali – è una sfida complessa per le organizzazioni che operano con prodotti connessi: richiede infatti un approccio integrato tra normativa sull’accesso ai dati e tutela della privacy.
Tale complessità trova le sue radici nel quadro normativo introdotto dalla recente regolamentazione europea in materia di dati.
Indice degli argomenti
Obiettivi e contesto del Data Act europeo
Il Regolamento (UE) 2023/2854 (“Data Act“) si colloca all’interno della strategia europea volta a costruire un ecosistema dei dati equo, interoperabile e competitivo. Il suo obiettivo è riequilibrare la distribuzione del valore generato dai dati tra gli attori coinvolti, favorire condizioni di mercato concorrenziali, promuovere soluzioni innovative basate sui dati e, soprattutto, rendere maggiormente accessibili i dati generati dall’uso di prodotti connessi.
Il regolamento interviene definendo regole vincolanti sull’accesso ai dati generati dall’uso di dispositivi connessi (“IoT“) e sulla loro successiva condivisione con terzi, garantendo agli utenti – consumatori e imprese – un controllo più effettivo sui dati che contribuiscono a generare.
Mixed dataset tra Data Act e GDPR: il quadro normativo
Nel contesto tecnico dei prodotti connessi, i dataset prodotti sono spesso costituiti da informazioni eterogenee. I “mixed dataset“, ossia insiemi composti da dati personali e non personali, rappresentano la regola e non l’eccezione.
La loro gestione richiede un’attenta coordinazione tra il Data Act ed il Regolamento (UE) 679/2016 (“GDPR“), al fine di evitare interferenze tra i rispettivi regimi giuridici, garantendo, in particolare, che l’obbligo di rendere accessibili all’utente i dati (sancito dall’articolo 3 del Data Act) avvenga in conformità alle garanzie poste dal GDPR.
Coordinamento normativo e limiti alla condivisione dei dati
Il rapporto tra Data Act e GDPR è chiarito da varie disposizioni (artt. 1(5), 4(12), 5(13), 6(1) e relativi considerando; il Data Act non introduce una base giuridica autonoma e non modifica gli obblighi del titolare quando un dataset contiene dati personali.
L’art. 4(12) e il considerando 34, inoltre, confermano che i dataset generati dai prodotti connessi possono riferirsi a più persone fisiche e chiariscono che, se l’utente non coincide con l’interessato, la comunicazione dei dati deve poggiare su una valida base giuridica ai sensi degli artt. 6 e, se necessario, 9 GDPR. In mancanza, il titolare può adempiere alla richiesta solo fornendo dati anonimizzati o estratti selettivamente per isolare quelli riferibili all’utente.
La distinzione tra dati personali e non personali rimane spesso complessa, poiché anche elementi tecnici possono assumere natura personale se collegabili a comportamento o localizzazione dell’utente; ciò impone valutazioni preliminari e strumenti adeguati a gestire dataset ibridi.
Criticità applicative nella gestione dei dati personali
Le principali difficoltà applicative emergono in due ambiti:
- individuazione dei dati personali all’interno del dataset: molti prodotti connessi generano dati tecnici che, se combinati con altri elementi, possono essere qualificabili come dati personali. La valutazione deve quindi essere condotta ex ante, considerando anche possibili processi di re-identificazione.
- verifica di una valida base giuridica per la comunicazione dei dati personali: quando l’utente chiede dati che includono informazioni appartenenti a terzi, il titolare non può fondarsi sugli articoli 3 – 5 del Data Act per giustificare la comunicazione. Occorre verificare la sussistenza di una valida base giuridica ai sensi del GDPR, pena l’impossibilità di adempiere alla richiesta in forma non anonima.
Governance e classificazione per la compliance operativa
La gestione dei mixed datasets richiede un approccio coordinato che combini misure organizzative, tecniche e contrattuali. In particolare, tre profili risultano decisivi.
Governance e classificazione dei dati
Una corretta compliance parte da una mappatura delle tipologie di dati generate dal dispositivo e dalla loro qualificazione giuridica. Dal punto di vista operativo, è utile predisporre procedure interne che consentano:
(i) di individuare rapidamente quali dati rientrano nel perimetro del GDPR e quali nel Data Act;
(ii) di applicare un flusso decisionale standardizzato per valutare se la comunicazione può avvenire in forma non anonima;
(iii) di assegnare responsabilità chiare tra funzioni tecniche, legali e business per gestire le richieste degli utenti.
Check-list dedicate e schede di classificazione dei dataset possono velocizzare la valutazione ex ante riducendo errori e tempi di intervento.
Soluzioni tecniche by design per dataset ibridi
Le misure tecniche sono essenziali per garantire una gestione conforme dei mixed dataset. È opportuno integrare funzionalità che permettano la selezione puntuale dei dati da fornire all’utente o al terzo designato, evitando che dati personali eccedenti vengano trasferite. Strumenti di minimizzazione automatica, filtri preimpostati basati sulle categorie di dati e moduli di pseudonimizzazione consentono di ridurre l’intervento manuale e assicurare coerenza nella gestione delle richieste. In pratica, può essere utile predisporre dataset pre-filtrati per scenari ricorrenti, nonché prevedere sistemi che blocchino automaticamente la condivisione quando nel dataset sono presenti dati personali non riferibili all’utente.
Contrattualistica e trasparenza nei rapporti con terzi
La dimensione contrattuale completa il quadro della compliance. È opportuno informare in modo trasparente l’utente sulle tipologie di dati generate e sui limiti derivanti dal GDPR.
Nei rapporti con terzi, i contratti dovrebbero definire in maniera operativa:
(i) finalità consentite;
(ii) misure di sicurezza;
(iii) divieti d’uso secondario;
(iv) procedure per la gestione delle richieste ai sensi del Data Act;
(v) responsabilità e rimedi in caso di trattamento non autorizzato di dati personali.
L’adozione di template contrattuali uniformi e clausole standardizzate consente di ridurre tempi di negoziazione e rischi di non conformità.
Verso un approccio integrato: compliance come vantaggio competitivo
Il Data Act introduce un sistema articolato di diritti e obblighi volto a rendere più accessibili i dati generati dai prodotti connessi.
La gestione dei mixed dataset rappresenta l’aspetto di maggiore complessità, poiché richiede un’applicazione integrata delle disposizioni del Data Act e del GDPR. Investire in una governance strutturata, in strumenti tecnici in grado di filtrare i dati in modo selettivo e in contratti che riflettano chiaramente i vincoli della normativa privacy consente alle organizzazioni non solo di garantire la conformità, ma anche di sfruttare in sicurezza il valore dei dati generati.
Un approccio operativo ben definito rappresenta quindi l’elemento decisivo per trasformare gli obblighi regolatori in un vantaggio competitivo.
