Data Act, così l’UE diventa leader nella società basata sui dati: quali obiettivi

Il 27 novembre, il Consiglio dell’Unione Europea ha approvato il Data Act. Questo atto, tra i suoi molteplici obiettivi, cerca di favorire la giusta distribuzione del valore generato dall’utilizzo dei dati nel contesto dell’economia digitale.

Allo stesso tempo, si propone di semplificare la transizione tra fornitori di servizi di elaborazione dati, implementando garanzie più robuste contro il trattamento illecito dei dati.

Inoltre, mira a migliorare gli standard di interoperabilità per agevolare lo scambio di dati tra diversi settori economici.

Il regolamento promuoverà dunque lo scambio dei dati nell’Unione Europea (UE), stabilendo norme armonizzate sull’accesso equo e sull’utilizzo dei dati, obbligando produttori e fornitori di servizi (come Amazon, Microsoft e Google) a consentire agli utenti di accedere e riutilizzare i dati generati dai loro prodotti o servizi, compresa la possibilità di condividere tali dati con terzi.

Il ministro spagnolo per la trasformazione digitale, José Luis Escrivá, ha commentato che l’adozione del regolamento sarà un catalizzatore per un’Europa pronta per l’era digitale. Il testo completo del nuovo regolamento sarà pubblicato nel bollettino ufficiale dell’UE nelle prossime settimane.

Data valorization e data monetization, il dato quale asset strategico per il business: le sfide future

Data Act: principali punti e obiettivi

Questi, in sintesi, i principali punti e obiettivi:

• Accesso e riutilizzo dei dati

1. Obbligo per produttori e fornitori di servizi di consentire agli utenti di accedere e riutilizzare i dati generati dai loro prodotti o servizi.
2. Possibilità per gli utenti di condividere tali dati con terze parti.
3. Il Data Act si estende ai produttori di prodotti e ai fornitori di servizi correlati, ai titolari di dati che mettono a disposizione i dati nell’UE insieme ai destinatari dei dati e agli enti pubblici che richiedono la disponibilità dei dati in circostanze eccezionali.

• Obiettivi della legge

1. Garantire equità nella distribuzione del valore dei dati.
2. Stimolare un mercato dei dati competitivo.
3. Aprire opportunità per l’innovazione basata sui dati.
4. Rendere i dati più accessibili a tutti.

• Portabilità e controllo dei dati

1. Si applica sia ai dati personali che non personali, in tutti i settori economici e nel settore pubblico.
2. Maggiore controllo per individui e imprese sui propri dati attraverso il diritto rafforzato di portabilità.
3. Possibilità di copiare o trasferire facilmente i dati da diversi servizi.
4. L’atto stabilisce diritti di accesso tra imprese e tra imprese e consumatori per la condivisione dei dati. Inoltre, impone un requisito generale affinché la condivisione dei dati sia equa, ragionevole e non discriminatoria, vietando clausole abusive per le piccole e medie imprese. Contempla anche il divieto di ostacoli (di natura precommerciale, commerciale, tecnica, contrattuale o organizzativa) al cambiamento di fornitore di servizi cloud.
5. Nonostante il Data Act non fornisca una dichiarazione esplicita sulla monetizzazione, esso non esclude la possibilità di monetizzare sia i dati personali che quelli non personali a vantaggio dell’utente. Al contempo, il detentore dei dati ha il diritto di ricevere un compenso monetario limitato per facilitare l’accesso ai dati da parte di un terzo autorizzato dall’utente.

• Ambito della legislazione, protezione e condivisione responsabile

1. Accesso ai dati generati da dispositivi connessi, con focus su dati IoT.
2. Il Data Act introduce una distinzione tra “dati di prodotto” e “dati di servizio correlati” e assicura un adeguato livello di protezione per i segreti commerciali e i diritti di proprietà intellettuale. Contempla anche protezioni contro comportamenti abusivi e misure per prevenire l’abuso di squilibri contrattuali nei contratti di condivisione dei dati, evitando clausole inique imposte da una parte con una posizione negoziale significativamente più forte.

• Compensazione e accesso pubblico

1. Misure per prevenire abusi negli accordi di condivisione dei dati.
2. Accesso degli enti pubblici ai dati privati in circostanze eccezionali, con compensazione.
3. Il Data Act concede agli enti pubblici, alla Commissione Ue, alla Banca centrale europea (Bce) e agli organi dell’Unione Europea strumenti per accedere e utilizzare i dati privati in possesso del settore privato in circostanze eccezionali o per compiti di interesse pubblico. Nell’ambito delle richieste di accesso ai dati business to government, il Data Act stabilisce che i dati personali siano condivisi solo in situazioni eccezionali, come disastri naturali o pandemie, e le micro e piccole imprese saranno compensate. La legislazione agevolerà il passaggio dei consumatori da un fornitore di cloud a un altro, con nuove garanzie contro trasferimenti illegali di dati e standard di interoperabilità, rendendo più efficiente l’assistenza post-vendita di alcuni dispositivi.
4. Recentemente, la Commissione ha divulgato un’analisi riguardante ciò che potrebbe essere definito una compensazione “ragionevole”. Tale valutazione include vari elementi, tra cui i costi sostenuti, gli investimenti necessari per mettere a disposizione i dati e un adeguato margine di remunerazione.

• Governance

1. Flessibilità per gli Stati membri nell’attuazione a livello nazionale.
2. Introduzione di un “coordinatore dei dati” come punto di contatto.

• Prossimi passi

1. Pubblicazione ufficiale nella Gazzetta Ufficiale dell’UE nelle prossime settimane.
2. Entrata in vigore 20 giorni dopo la pubblicazione, con applicazione a 20 mesi.
3. Articolo specifico sull’accesso semplificato ai dati per nuovi prodotti dopo 32 mesi.

• Contesto

1. Parte della strategia europea per i dati.
2. Complementare alla legge sulla governance dei dati. Mentre il Data Governance Act intende stabilire processi e strutture per promuovere la condivisione dei dati da parte di aziende, individui e settore pubblico, il Data Act mira a chiarire chi può generare valore dai dati e a quali condizioni.
3. Ritenuto fondamentale per creare un’economia basata sui dati e guidare la trasformazione digitale entro il 2030.

Il Data Act è l’ultima aggiunta a un complesso panorama normativo digitale, insieme ad altre leggi come il Digital Services Act, il Digital Markets Act e l’imminente AI Act^[1].

Mira in modo particolare a dare agli utenti il controllo dei loro dati generati da dispositivi connessi. Tuttavia, le imprese da tempo sostengono che l’UE sta sovraccaricando di regolamentazioni le aziende europee per frenare i giganti tecnologici statunitensi, generando sovrapposizioni e complicazioni.

Data Act: le preoccupazioni delle imprese

Le principali preoccupazioni riguardano il possibile impatto negativo su aziende europee e transatlantiche, con le nuove normative che influenzeranno i fornitori di servizi digitali statunitensi e le imprese europee. Gli esperti hanno già avvertito circa le sfide complesse che le organizzazioni dovranno affrontare per conformarsi ai quadri regolatori in essere Digital Markets Act, Data Act e altre leggi, con rischi di sanzioni salate in caso di violazione delle regole.

Se da una parte la Commissione europea riconosce le preoccupazioni delle imprese e sta cercando di spiegare alle aziende come sia possibile conformarsi nonostante le sovrapposizioni normative; dall’altra le imprese vedono l’attuale ondata di regolamentazioni come un ostacolo e temono che tanto possa rallentare l’innovazione e creare ulteriori complicazioni nel rispetto delle norme.

Il contesto include altre leggi come il GDPR e il Digital Operational Resilience Act, contribuendo a un ambiente normativo digitale sempre più pesante. Non stupisce quindi che le aziende continuino a ritenere urgente che l’UE debba bilanciare la regolamentazione per essere orientata ai risultati e risolvere problemi specifici, evitando duplicazioni e incoerenze. La complessità delle leggi digitali dell’UE potrebbe, inoltre, colpire anche le aziende più piccole.

Secondo uno studio finanziato dalla Computer and Communications Industry Association, un gruppo di lobby tecnologica, “l’obiettivo generale dell’UE di incoraggiare la creazione di valore dei dati non può che essere lodato. Sfortunatamente, l’accordo raggiunto sul Data Act non fa abbastanza per consentire una condivisione responsabile dei dati da parte delle aziende, né lascia gli utenti liberi di decidere come utilizzare i dati esportati”.

“Far progredire l’economia dei dati in Europa sarà possibile solo con importanti chiarimenti per le aziende su molti aspetti chiave di questa nuova legge e attraverso un’applicazione equilibrata”.

Secondo l’associazione il Data Act non solo potrebbe creare conflitti con il Regolamento generale sulla protezione dei dati (GDPR), ma manca anche di garanzie effettivamente attuabili per proteggere i segreti commerciali durante le richieste di accesso ai dati. Inoltre, le stesse restrizioni sui flussi di dati e sui servizi cloud rischiano di compromettere i trasferimenti internazionali di dati e potrebbero portare a esclusioni di mercato contro i fornitori di servizi cloud.

Tutte preoccupazioni che hanno portato la Computer and Communications Industry Association a richiedere alla commissione la necessaria redazione di linee guida su come le aziende dovrebbero avvicinarsi nel tentativo di conformarsi a più normative contemporaneamente.

“Alla fine dei conti, sarà molto, molto impegnativo implementare tutte queste leggi”, ha detto John Miller, consigliere generale dell’Information Technology Industry Council (ITI) nel corso di una conferenza a Bruxelles sul futuro della privacy, tenutasi il 14 novembre scorso. Oltre a ribadire che l’implementazione delle nuove leggi, tra cui il DMA, AI Act, DSA e la legge sui dati, sarà molto impegnativa, Miller ha evidenziato la sfida della coerenza normativa tra queste leggi e ha sollevato preoccupazioni sul possibile impatto del Data Act rispetto alla protezione dei dati. “Alcune delle nostre aziende si chiedono se le aziende debbano effettivamente raccogliere dati che normalmente non raccolgono, al fine di conformarsi ad alcune disposizioni del Data Act”, ha riferito Miller.

La questione del settore automobilistico, l’automotive e l’aftermarket in UE

Oltre a ciò rimane ancora irrisolta la questione^[2] aspra e di lunga disputa che contrappone le case automobilistiche agli assicuratori, alle società di noleggio e ai produttori di componenti (tra chi sostiene una maggiore condivisione dei dati per consentire una concorrenza aperta e leale, e chi, come l’industria automobilistica, si preoccupa della sicurezza informatica e privacy dei dati), con conseguenti pressioni affinché vengano colmate le lacune presenti nell’EU Data Act, compresa l’emissione di norme specifiche settoriali per l’industria automobilistica.

Le società di noleggio e servizi ausiliari desiderano l’accesso remoto alle informazioni diagnostiche dei veicoli, sostenendo che ciò favorirebbe i servizi di mobilità. Al contrario, le case automobilistiche affermano che tale accesso remoto potrebbe comportare rischi per la sicurezza informatica, minacciando la sicurezza fisica delle persone.

È pur vero che il Regolamento 155^[3], affronta già la sicurezza informatica delle automobili (impone ai fornitori di componenti di essere compliant agli aspetti normativi in ambito Cyber (ISO 26262, ISO 21434, R155, R156), per dimostrare la loro compliance relativamente a tutto il vehicle life-cycle, includendo in questo processo la parte di gestione fornitori), ed è applicato attraverso la Commissione economica per l’Europa delle Nazioni Unite (UNECE), tuttavia, i sostenitori di norme specifiche per il settore automobilistico temono che le case automobilistiche possano eludere le disposizioni dello stesso limitando l’accesso ai dati attraverso la porta di diagnostica di bordo. Con l’imminente scadenza del luglio 2024^[4] per il Regolamento UN 155, sottolineano, pertanto, l’urgenza di adottare nuove regole per l’industria automobilistica, sebbene ciò dovrebbe avvenire in un contesto legislativo già affollato, con elezioni parlamentari e nuove nomine in vista.

Le associazioni del settore Independent AfterMarket (IAM) e CLEPA^[5] (Associazione europea dei fornitori automotive) criticano il Data Act, definendolo una legislazione “orizzontale” che manca delle sfumature necessarie per affrontare le questioni di concorrenza specifiche di settori come l’automotive. IAM sottolinea che il Data Act si limita all’accesso ai dati, mentre molte applicazioni automobilistiche richiedono anche l’accesso alle funzioni e alle risorse dei veicoli, al di fuori del suo campo di applicazione. CLEPA, concordando, chiede un intervento normativo specifico per i veicoli connessi, poiché ritiene che il Data Act metta su un piano di parità dispositivi come un frigorifero e un veicolo connesso, con possibili impatti negativi sull’Independent Aftermarket Automotive.

Frank Schlehuber di CLEPA sottolinea che, sebbene il Data Act conceda ai consumatori il diritto di condividere dati con terze parti, l’impatto sull’uso dei dati generati dai veicoli potrebbe essere limitato a causa delle lacune concorrenziali e tecniche.

Non ultimo, aggiungendo ulteriore linfa al dibattito in corso, la Corte dell’UE ha emesso una sentenza^[6], il 5 ottobre 2023, a favore di operatori indipendenti come Carglass e la rete di riparazione tedesca ATU contro Fiat Chrysler (FCA Italy SpA) che sancisce il diritto degli operatori indipendenti di avere “accesso senza restrizioni alle informazioni necessarie” per la diagnosi di bordo (OBD), precedentemente accessibile solo ai produttori.

L’obbligo di fornire tale accesso senza restrizioni, standardizzato e non discriminatorio è già stabilito dal Regolamento 2018/858^[7]. Condizioni diverse da quelle stabilite dal regolamento, come il collegamento a un server designato o la registrazione presso il costruttore, sono considerate non ammissibili.

Nello specifico, per eseguire operazioni di scrittura, eliminare codici di anomalia, effettuare tarature e attivare componenti dei veicoli prodotti dalla FCA, sia i riparatori indipendenti, come la ATU e la Carglass, sia quelli autorizzati devono conformarsi ai requisiti stabiliti dalla FCA. Ciò implica la registrazione preventiva presso l’azienda, l’identificazione tramite dati personali su un server designato, l’acquisto di un abbonamento a pagamento per l’utilizzo di attrezzature diagnostiche generiche e il collegamento di queste ultime, via internet, al suddetto server.

Poiché la FCA impone unilateralmente tali requisiti, la ATU e la Carglass hanno portato la questione davanti al Landgericht Köln. Il tribunale, considerando la necessità di interpretare la normativa europea pertinente, ha deciso di sospendere il procedimento e di chiedere alla Corte di giustizia se l’articolo 61, paragrafi 1 e 4, del Regolamento 2018/858, insieme al punto 2.9 dell’allegato X di tale regolamento, ostacoli la pratica di subordinare l’accesso degli operatori indipendenti alle informazioni sulla riparazione e manutenzione del veicolo, comprese quelle diagnostiche di bordo, a condizioni diverse da quelle stabilite dal regolamento.

La Corte ha sottolineato che condizionare l’accesso alle informazioni di cui all’articolo 61, paragrafo 1, del Regolamento 2018/858 a condizioni non stabilite dal regolamento stesso potrebbe ridurre il numero di riparatori indipendenti con accesso a tali informazioni. Ciò potrebbe comportare una diminuzione della concorrenza nel mercato dei servizi legati alle informazioni sulla riparazione e manutenzione dei veicoli, con l’ultima conseguenza di limitare le opzioni offerte ai consumatori.

La recente decisione mira, dunque, a garantire la concorrenza sul mercato dei servizi di riparazione, evitando che i costruttori impongano condizioni che renderebbero l’accesso praticamente impossibile. Carglass, nel contesto della controversia, infatti, non mancò di sottolineare come molti servizi post-vendita, compresa la ricalibrazione dei Sistemi Avanzati di Assistenza alla Guida (ADAS), richiedessero l’accesso ai dati dell’auto, e come alcuni produttori complicassero tale accesso con difficoltà tecniche e diritti di licenza.

Data Act: le sfide “altamente complesse” per il settore sanitario

È preoccupato anche il fronte legato alle applicazioni in ambito sanitario.

MedTech Europe ha avvertito che l’applicazione dell’European Data Act all’assistenza sanitaria “comporterà sfide uniche e altamente complesse” che dovranno essere affrontate per prevenire problemi di sicurezza, privacy e protezione.

MedTech Europe e COCIR, un altro gruppo commerciale del settore medtech, hanno segnalato potenziali “implicazioni sulla sicurezza del paziente o del dispositivo” se l’obbligo di condividere i dati dovesse intaccare i requisiti imposti ai dispositivi medici da altre normative UE.

“In linea di principio, siamo favorevoli all’inclusione della possibilità per i titolari e gli utenti dei dati di concordare contrattualmente la limitazione o il divieto dell’accesso ai dati per motivi di sicurezza, in particolare se tale trattamento potrebbe comportare gravi effetti negativi”, hanno scritto i gruppi commerciali in una dichiarazione congiunta. “Poiché l’assistenza sanitaria rimane particolarmente vulnerabile alle interferenze dannose, sarà fondamentale mitigare l’aumento del rischio di attacchi informatici e altre minacce correlate”.

Entrambi hanno chiesto “la possibilità di limitare la condivisione dei dati al di fuori dei confini del quadro settoriale sicuro e regolamentato…, insieme a garanzie per proteggere i pazienti e gli ospedali dagli impatti negativi sulla sicurezza e sulla protezione dei dati altamente sensibili”. Secondo MedTech Europe, gli utenti potrebbero non essere in grado di interpretare i dati grezzi, aumentando il rischio di diagnosi e decisioni terapeutiche errate.

Un’altra sezione della dichiarazione congiunta riguarda la protezione garantita dai diritti di proprietà intellettuale e dai segreti commerciali.

I due gruppi commerciali rimangono preoccupati “che il Data Act possa ancora avere conseguenze indesiderate e potenzialmente dannose sulla capacità di un’azienda di proteggere risorse critiche di proprietà intellettuale e segreti commerciali”. Una “interpretazione piuttosto ristretta” dei dati prontamente disponibili potrebbe aiutare a mitigare le preoccupazioni.

“La portata degli obblighi di condivisione dei dati ai sensi del Data Act è ancora molto ampia, il che potrebbe mettere a rischio informazioni aziendali sensibili, data la natura dei dati e dei segreti commerciali”, sostengono congiuntamente.

MedTech Europe e COCIR sono preoccupati anche per i flussi internazionali di dati, sottolineando la necessità di evitare “qualsiasi rischio di imporre la localizzazione dei dati e possibili controreazioni di paesi terzi” e richiamando l’utilizzo degli standard sanitari esistenti come HL7 che potrebbero facilitare l’interoperabilità.

I timori del Garante Europeo della protezione dei dati personali

Tra le istituzioni UE l’umore è invece alto, ma non per tutti.

Axel Voss, un parlamentare tedesco di centrodestra che ha già avuto un ruolo determinante nell’approvazione del GDPR e ha una voce importante nelle contrattazioni sulla legge per l’AI, ha definito l’ondata di nuove normative “a kind of survival training”.

Mentre José Luis Escrivá, ministro spagnolo della trasformazione digitale ha applaudito all’adozione del Data Act ribadendo come “la nuova legge sbloccherà un enorme potenziale economico e contribuirà in modo significativo al mercato interno europeo dei dati. Lo scambio e l’uso generale dei dati verranno potenziati e si apriranno nuove opportunità di mercato a vantaggio dei nostri cittadini e delle nostre imprese in tutta Europa”.

Muovendo da un’altra prospettiva il commissario europeo per la Giustizia, Didier Reynders, ha anche dichiarato che il GDPR rimarrà la “pietra angolare” della protezione dei dati dell’UE nonostante l’implementazione di nuove leggi digitali.

Tuttavia, il Garante europeo della protezione dei dati, Wojciech Wiewiórowski, ha espresso^[8] preoccupazioni sulla necessità di bilanciare i diritti individuali di protezione dei dati codificati nel GDPR con le nuove leggi più orientate ai mercati che alla protezione dei diritti individuali. Wiewiórowski ha sottolineato la sfida di coordinare l’interpretazione e l’applicazione delle nuove leggi digitali e ha affermato che il GEPD rimarrà vigile per garantire che gli standard di protezione dei dati non siano negativamente influenzati. Il GEPD è dubbioso anche in merito all’assenza di distinzione nel Data Act tra dati personali e non personali e le possibili conseguenze negative non chiaramente considerate.

“Cercare di dare un senso a come tutti questi nuovi capitoli del nuovo regolamento digitale si integreranno. Lo confesso, non è sempre facile”, ha asserito Wiewiórowski.

Wiewiórowski ha anche aggiunto di essere “fiducioso” che se i regolatori della protezione dei dati avranno l’opportunità di “lavorare insieme”, allora sarà possibile trovare modi per garantire che gli individui possano “sia ottenere i benefici di un’economia digitale sempre più in via di sviluppo, sia un’abile protezione ottimale dei diritti fondamentali”.

Ma il GEPD ha chiarito di ritenere che il raggiungimento di tale risultato richiederà in primis dalla validità del dialogo tra le diverse autorità in materia di concorrenza, protezione dei dati e altri regolatori.

“Parlando di applicazione delle norme, una delle maggiori sfide future per il codice digitale dell’UE, come affermato qualche tempo fa dal commissario Reynders, sarà l’applicazione”, ha affermato Wiewiórowski. “Le sfide a cui mi riferisco qui non sono quelle che tutti noi affrontiamo come regolatori: cercare di avere il massimo impatto possibile con le risorse limitate a nostra disposizione. Piuttosto, una sfida molto grande sarà quella di garantire la coerenza normativa”.

Conclusioni

Il Data Act dell’UE raggiungerà i suoi obiettivi di governance dei dati specie in ambito IoT? E ancora, centrerà il fine di massimizzare il valore dei dati garantendo che una gamma più ampia di parti interessate acquisisca il controllo sui propri dati e che più dati siano disponibili per un uso innovativo? I trasferimenti di dati e l’interoperabilità sono fondamentali per tutti questi scopi.

Se è certo che il Data Act affronta problematiche rilevanti e sostiene l’adozione di un approccio centrato sull’utente, tuttavia ciò che rimane ancora incerto riguarda la concreta efficacia dello stesso. L’autonomia dei consumatori, la liberalizzazione dei dati IoT per l’innovazione e la garanzia dell’equità nella distribuzione del valore derivante dai dati, sono interrogativi pesanti che si palesano nelle citate preoccupazioni in fatto di concorrenza, sicurezza e protezione dei dati.

Un punto cruciale sembrerebbe essere il meccanismo chiave di accesso e di diritti di condivisione che potrebbe risultare troppo debole e poco efficace, in parte a causa di una protezione eccessiva del controllo esclusivo dei dati IoT da parte dei titolari dei dati e della mancata risoluzione di problematiche fondamentali nella governance dei dati IoT, come il contratto iniziale tra produttori e utenti e le questioni irrisolte nel mercato, specialmente nei contesti B2C. Lo stesso richiamo del Data Act ai contratti intelligenti (smart contracts), presenta diverse criticità, lasciando aperte questioni di kill switch, interazione e risoluzione delle controversie.

Affrontare tutte queste sfide non sarà una passeggiata e non potrà che richiedere un approccio olistico e consapevole.

NOTE

1. Nel settembre 2020, la Commissione ha proposto il Digital Operational Resilience Act, o DORA, norme sulla sicurezza informatica per il settore dei servizi finanziari regolamentati. Diversi mesi dopo, l’esecutivo dell’UE ha proposto la seconda Direttiva sulla sicurezza delle reti e dell’informazione, o NIS2, un aggiornamento delle norme del 2016 che richiedono alle industrie chiave di adottare misure di sicurezza e segnalare incidenti. Entrambi i progetti di legge sono stati approvati alla fine del 2022. Senza battere ciglio, l’anno scorso la commissione ha proposto il Cyber ​​Resilience Act, un regolamento sulla sicurezza informatica che mira a imporre standard comuni per prodotti e software. Attualmente è in fase di discussione legislativa finale. ↑

2. Il settore dell’aftermarket e i fornitori di servizi, come le società di noleggio, ritengono che le norme generali del Data Act siano carenti di specificità per i dati delle auto. Sebbene consentano agli utenti di accedere e condividere dati grezzi generati da prodotti, come le automobili, mancano di disposizioni che garantiscano agli utenti il controllo su funzioni e sistemi, come le impostazioni del software e il controllo remoto delle funzioni meccaniche. Inoltre, non stabiliscono il diritto di accesso a dati analitici sofisticati, generati da software proprietario, come stime del chilometraggio rimanente o future esigenze di manutenzione. Le società di software desiderano la possibilità per gli utenti di scegliere tra diverse offerte, mentre le società di autonoleggio cercano accesso a una vasta quantità di dati per migliorare i loro servizi. Nonostante le pressioni del settore dell’aftermarket, le case automobilistiche sostengono la valutazione dell’impatto del Data Act prima di introdurre ulteriori leggi specifiche. ↑

3. La norma UNECE R 155 stabilisce requisiti per la protezione dei veicoli da attacchi informatici. Un aspetto cruciale è l’introduzione di un Sistema di Gestione della Sicurezza Informatica (CSMS) obbligatorio per tutte le aziende che commercializzano veicoli. Questo requisito rivoluziona l’approccio dei produttori poiché ora devono monitorare costantemente i sistemi di sicurezza per l’intero ciclo di vita del veicolo, compresi gli aggiornamenti necessari, anziché limitarsi all’inizio della produzione (SOP). Il legislatore riconosce così la natura dinamica dello sviluppo e della sicurezza del software, con l’obiettivo di garantire il rispetto dei requisiti di sicurezza lungo l’intera catena di approvvigionamento, considerando che i fornitori costituiscono oltre il 70% del volume del software.

   Ad esso si aggiunge anche il Regulamento 156 destinato, sempre nel campo automotive, alla sicurezza nell’aggiornamento del software in modalità “over the air” e la sua entrata in vigore è prevista nel 2024 per le omologazioni e nel 2026 per le immatricolazioni. ↑

4. La Unece R155 è entrata in vigore a luglio 2022 per i veicoli di nuova omologazione e a Luglio 2024 per tutti gli altri veicoli immatricolati. ↑

5. Per approfondimenti: qui. ↑

6. Il caso è C-296/22 – ATU Auto-Teile-Unger e Carglass contro FCA Italia ↑

7. Il Regolamento (UE) 2018/858 è un atto legislativo dell’Unione Europea che disciplina gli standard tecnici e le procedure relative all’omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, componenti e entità tecniche associate. Questo regolamento è stato adottato nell’ambito degli sforzi per migliorare la sicurezza stradale e promuovere la riduzione delle emissioni di gas nocivi provenienti dai veicoli.

   Il regolamento stabilisce le condizioni e i requisiti che i veicoli devono soddisfare per ottenere l’omologazione, nonché le norme per la vigilanza del mercato, che riguardano il controllo continuo dei veicoli una volta immessi sul mercato per garantire che mantengano gli standard di sicurezza e prestazioni previsti. ↑

8. Simposio sulla privacy di Bruxelles 2023, Comprendere l’architettura della strategia sui dati dell’UE; Forum sul futuro della privacy; 14 novembre 2023 ↑