Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

L’Atto Delegato

DSA: regole operative per l’accesso ai dati non pubblici di Vlop e Vlose

Home Mercati digitali
Partecipa al dibattito
Indirizzo copiato

La Commissione europea definisce l’accesso ai dati DSA per ricercatori abilitati, imponendo a VLOP e VLOSE cataloghi e procedure. L’Atto Delegato introduce portale, valutazioni DSC e mediazioni, focalizzando l’analisi sui rischi sistemici e sulle misure di mitigazione

Pubblicato il 10 set 2025
Erika De Santis

associate del dipartimento Technology, Media and Communications and Commercial di Hogan Lovells

Memoria AI AI e cultura del dato Responsabilità civile AI ecosistema canadese dell'IA accesso ai dati dsa governance ai globale cern dell'AI thermodynamic computing

Dopo una lunga consultazione pubblica, la Commissione europea (CE) ha adottato l’Atto Delegato relativo alle condizioni di accesso per i ricercatori abilitati ai dati non pubblici detenuti da piattaforme online di dimensioni molto grandi (VLOP) e motori di ricerca online di dimensioni molto grandi (VLOSE), in linea con l’articolo 40 del Regolamento (UE) 2022/2065 (DSA).

Digital Services Act: guida agli obblighi per le aziende italiane

Accesso ai dati DSA: portale e novità operative

Tale strumento introduce diverse novità, tra cui la creazione del Portale di accesso ai dati DSA, indicazioni sulle tipologie di dati accessibili e una procedura per la valutazione delle richieste e per eventuali mediazioni.

Il DSA ha introdotto nuovi obblighi di trasparenza per VLOP/VLOSE, tra cui uno dei più ambiziosi è sicuramente il diritto di accesso ai dati non pubblici da parte dei ricercatori abilitati, previsto dall’articolo 40(4) e ora attuato con l’Atto Delegato – che, è importante chiarire, non riguarda l’accesso ai dati già pubblici, disciplinato dall’articolo 40(12).

La vera novità è che l’accesso dei ricercatori non dipende più dalla volontà dei fornitori: l’obiettivo del legislatore UE è promuovere studi indipendenti sui rischi sistemici legati alle attività di VLOP/VLOSE, ragione per cui si chiede ai ricercatori anche di contribuire alla valutazione dell’efficacia delle misure di mitigazione adottate dai fornitori.

Secondo la CE, l’articolo 40(4) ha quindi un duplice impatto: amplia la disponibilità di dati utili alla ricerca nell’interesse pubblico e rafforza il controllo delle autorità, che potranno così verificare il rispetto del DSA da parte dei fornitori.

In sintesi, trasparenza e responsabilità diventano elementi centrali del nuovo quadro normativo.

Accesso ai dati DSA: perimetro dei rischi sistemici

Le richieste di accesso ai dati da parte dei ricercatori devono essere mirate, potendo riguardare solo le informazioni necessarie per l’analisi dei “rischi sistemici” e l’efficacia delle misure adottate per mitigarli.

Si tratta di un concetto ampio, legato all’utilizzo di VLOP/VLOSE in modo da influenzare fortemente la sicurezza online, la definizione del dibattito e dell’opinione pubblica e il commercio online.

Le principali aree di rischio identificate dall’art. 34 e dai considerando 80-83, seppur a titolo esemplificativo, includono:

  • la diffusione di contenuti o attività illegali;
  • la compromissione dei diritti fondamentali;
  • l’impatto negativo su dibattito civico, processi democratici ed elettorali e sulla sicurezza pubblica;
  • i danni alla salute pubblica e dei minori, anche a causa di campagne di disinformazione o della progettazione delle interfacce online.

L’Atto Delegato non fornisce definizioni, fornendo unicamente alcuni esempi e confermando che il quadro di riferimento resta il DSA.

Accesso ai dati DSA: procedura e struttura del portale

L’Atto Delegato, con i suoi 16 articoli, mira a definire un quadro normativo uniforme per garantire un accesso ai dati che sia sicuro, efficiente e armonizzato in tutta l’UE, evitando frammentazioni procedurali. Dopo le disposizioni generali (artt. 1–2), vengono regolati:

  • la gestione del Portale per l’accesso ai dati (artt. 3–6);
  • la presentazione, valutazione e pubblicazione delle richieste (artt. 7–11);
  • le procedure di modifica delle richieste (art. 12) e mediazione (art. 13);
  • il ruolo degli esperti indipendenti (art. 14) e
  • gli obblighi connessi alla fornitura dei dati (art. 15).

Requisiti dei ricercatori e tutele

L’accesso è riservato a ricercatori che soddisfano criteri precisi, tra cui l’affiliazione a enti di ricerca, l’assenza di interessi commerciali e l’obbligo di pubblicazione gratuita dei risultati. Le richieste devono essere motivate, proporzionate, spiegare perché i dati non siano altrimenti disponibili e prevedere misure adeguate per proteggere i dati personali. In quest’ultimo caso, è richiesta una base giuridica conforme al GDPR e, se necessario, una DPIA.

Ruolo dei Coordinatori dei Servizi Digitali (DSC) e pubblicità degli esiti

Anche i DSC svolgono un ruolo centrale nel meccanismo previsto dall’Atto Delegato: valutano le richieste e, se approvate, inviano una richiesta motivata al fornitore. Gestiscono anche le eventuali mediazioni e pubblicano sul Portale DSA un riepilogo delle richieste accolte e delle modalità di accesso concesse.

Accesso ai dati DSA: obblighi per VLOP/VLOSE e cataloghi

Per ridurre l’asimmetria informativa, i fornitori devono pubblicare cataloghi accessibili con struttura, metadati e rilevanza dei dataset utili all’analisi dei rischi sistemici. I cataloghi vanno aggiornati regolarmente, potendo escludere i dati la cui pubblicazione comprometterebbe sicurezza, riservatezza o protezione dei dati personali. Ricevuta una richiesta motivata, il fornitore deve trasmettere i dati secondo le istruzioni del DSC o, in alternativa, chiedere una modifica ex art. 40(5), giustificando l’impossibilità di fornire i dati o i rischi connessi alla loro divulgazione.

Accesso ai dati DSA: criticità applicative e nodi aperti

L’adozione dell’Atto Delegato segna un passaggio fondamentale nell’attuazione dell’art. 40 DSA. La CE ha cercato un equilibrio tra trasparenza e tutela degli interessi in gioco, promuovendo un approccio armonizzato tra Stati membri.

Tuttavia, si entra in un ambito del tutto nuovo: per la prima volta, VLOP/VLOSE devono condividere i loro dati con soggetti esterni e la previsione di una clausola di mediazione lascia intuire che le controversie saranno inevitabili. Un primo segnale è già arrivato: in Germania, X si è opposta (senza successo, per ora) alle richieste presentate da due organizzazioni ai sensi dell’art. 40(12). Pur non rientrando tale norma nell’ambito dell’Atto Delegato, il caso evidenzia quanto le resistenze possano essere concrete.

Inoltre, nonostante siano strumenti utili, né i cataloghi né gli esempi inclusi nell’Atto Delegato chiariscono davvero cosa debba intendersi per “rischi sistemici”. L’elenco – che spazia dai dati sugli utenti ai test A/B, dai log di moderazione alle metriche pubblicitarie – è volutamente ampio e non vincolante, lasciando irrisolta la tensione tra flessibilità per i ricercatori e certezza giuridica per i fornitori. Tale ampiezza crea quindi difficoltà applicative: i fornitori temono richieste sproporzionate o vaghe, mentre i ricercatori che criteri restrittivi limitino la possibilità di indagare fenomeni emergenti o ancora poco noti.

L’Atto Delegato è quindi solo un primo passo: la vera sfida sarà la sua attuazione pratica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Erika De Santis
associate del dipartimento Technology, Media and Communications and Commercial di Hogan Lovells
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • ue privacy (1) G7 Privacy 2025 DSA e GDPR

  • nuove linee guida

    DSA-GDPR: l'Edpb indica le regole di convivenza

    15 Set 2025

    di Federica De Stefani

    Condividi
  • sanzioni dma

  • Digital Markets Act

    L'Europa sfida i monopoli digitali: il ruolo del DMA nel futuro del web

    14 Mag 2025

    di Eugenio Prosperetti e Giulio Santoni

    Condividi
  • trump e big tech

  • l'accordo usa-cina

    TikTok "americanizzato": il primo caso di sovranità forzata

    26 Set 2025

    di Tania Orrù

    Condividi