Data Act: la regolamentazione non riguarda solo i dispositivi IoT

Alcune normative sembrano nascere con il preciso intento di confondere chi le deve rispettare, in merito al proprio ambito di applicazione. Il Data Act è una di queste e lo fa con una delle sue più importanti definizioni, quella di «prodotto connesso».

Questa definizione dovrebbe portare a supporre che ci si riferisca ad un oggetto che sia collegato a qualcosa, probabilmente a Internet. Per questo motivo, spesso il Data Act si associa alla regolamentazione dei dispositivi IoT.

Data Act, la definizione di «prodotto connesso»

La definizione di «prodotto connesso», riportata nel testo di legge, si avvale delle specifiche FAQ emesse con riguardo a questa normativa.

L’articolo 2 Definizioni del Data Act riporta la seguente definizione di «prodotto connesso»: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’utente.

Quindi un prodotto connesso è un bene che:

• ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente;
• è in grado di comunicare dati del prodotto tramite: un servizio di comunicazione elettronica; una connessione fisica; l’accesso su dispositivo;
• la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’utente.

Invece, secondo le FAQ:

• i prodotti connessi sono oggetti in grado di generare, ottenere o raccogliere dati sul loro utilizzo, sulle prestazioni o sull’ambiente;
• e in grado di comunicare questi dati: tramite una connessione via cavo o wireless;
• i prodotti che svolgono principalmente la funzione di memorizzare, elaborare o trasmettere dati (per esempio, server e router) non rientrano nell’ambito di applicazione degli obblighi di condivisione dei dati ai sensi del capitolo II della legge sui dati , a meno che non siano di proprietà, in affitto o in leasing da parte dell’utente.

Come non deve essere un dispositivo connesso

Un aspetto importante che si desume da quanto sopra è che un dispositivo per definirsi connesso non deve essere connesso:

• necessariamente a internet;
• in modo permanente. Ciò include la comunicazione di dati al di fuori del prodotto su base ad hoc (per esempio, durante le operazioni di manutenzione);
• il tipo di connessione comprende cavi (di qualunque tipo) o altre forme di connessione, anche wireless.

La definizione in base alla normativa

In base alla definizione della normativa, non riportato nelle Faq, in realtà un dispositivo è da considerarsi connesso anche se non ha alcuna connessione, purché ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente che possono essere recuperati con un accesso diretto al dispositivo stesso.

Del resto i prodotti connessi possono essere progettati in modo da rendere alcuni dati direttamente accessibili da un archivio dati sul dispositivo e quindi, virtualmente, anche collegando direttamente una chiavetta USB al dispositivo.

Questo caso comprende anche la possibilità di consultare i dati direttamente dal dispositivo stesso, per esempio perché ha un display, come alcuni prodotti domestici e industriali.

Server e router

Come si desume dal testo riportato, ilteriore aspetto importante è che rientrano nella definizione di prodotto connesso anche server e router, se questi effettuano una operazione sui dati per conto dell’utente e cioè, secondo la definizione del Data Act, della persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato.

Perimetro di applicazione: superare il binomio Data act e IoT

Al riguardo basta considerare che ogni PC produce dati sul proprio funzionamento e, molto spesso tali dispositivi sono utilizzati per svolgere la loro attività per conto dell’utente, sia esso persona fisica o giuridica, e non per conto di terzi.

Fra gli altri un PC dispone di un display, e quindi permette la diretta consultazione dei dati relativi al suo funzionamento o, se dispone di qualche sensore, sull’ambiente circostante.

Quindi il reale perimetro di applicazione è estremamente vasto e, probabilmente, qualunque dispositivo che generi dei dati relativi al proprio funzionamento o sull’ambiente circostante può rientrare nella definizione che ne da il Data Act.

Tuttavia, è importante capire qual è il reale perimetro di questa parte del Data Act.

Infatti, milioni di soggetti, che vanno dagli utenti ai creatori dei prodotti connessi, devono essere coscienti dell’inclusione di un determinato prodotto nell’ambito di applicazione del Data Act e mettere in atto tutti i presidi previsti dalla normativa, superando il binomio Data Act e IoT.