Viviamo, sempre più, in una società digitale. Più precisamente, siamo nel vivo di una trasformazione tecnologica che promette di essere epocale. Sul piano globale, è da anni che assistiamo alla contesa tra Stati Uniti e Cina per il primato tecnologico. Ma ora anche l’UE, decisa a far ricordare questi anni ’20 come il nostro Digital Decade, sembra avere intrapreso il percorso verso una sovranità digitale europea.
La promessa è quella di diventare un faro per l’innovazione etica nella gestione dei dati, della tecnologia e delle infrastrutture del digitale, definire norme coerenti coi valori e i principi dell’UE, e promuovere attraverso esse libertà, solidarietà, inclusività e partecipazione democratica nella moderna società digitale.
Sul piano giuridico, le iniziative già approvate e le proposte in corso di valutazione sono numerose. Può non essere semplice stare al passo con i rapidi cambiamenti. Tuttavia, è importante non trascurare i nuovi adempimenti e le nuove responsabilità che ne conseguiranno. Ma prima di addentrarci nelle varie novità attraverso i prossimi approfondimenti del nostro Studio, vogliamo proporvi fin da subito una panoramica e un assaggio delle prossime tendenze del mondo digitale.
Ecco quindi la presentazione di 11 norme fondamentali sul digitale, già approvate o attualmente discusse tra i banchi degli organismi dell’UE. Per aiutarvi a individuare quelle di maggior interesse per la propria organizzazione, in ogni scheda troverete il focus centrale, lo spirito, l’obiettivo della norma, e i suoi ambiti di applicazione. Insieme a tutti i link utili per avere a portata di mano l’accesso immediato ai testi completi.
Indice
DIGITAL MARKETS ACT (DMA)
Regolamento Europeo 2022/1925 – Applicabile da MAGGIO 2023
Destinatari e ambito di applicazione: gatekeeper che offrono ad utenti nell’UE servizi di intermediazione online, motori di ricerca online, social network, piattaforme per la condivisione di video, servizi di comunicazione interpersonale, sistemi operativi, browser web, assistenti virtuali, servizi di cloud computing, servizi pubblicitari online.
Il DMA definisce una serie di norme per i soggetti in posizioni dominanti nel mercato digitale, i cosiddetti “gatekeeper”. Motori di ricerca, Social network, gestori di app store, hanno infatti un ruolo privilegiato nel controllare i nodi di accesso al commercio online. Il DMA imporrà precisi obblighi e divieti su tali soggetti per impedire pratiche commerciali sleali. L’obiettivo è garantire equità, apertura, e una sana concorrenza per tutte le imprese nel mercato digitale.
Vedi anche Qual è il futuro del “mercato dei dati” europeo?.
DATA GOVERNANCE ACT (DGA)
Regolamento Europeo 2022/868 – Applicabile da SETTEMBRE 2023
Maggiori informazioni: ved. scheda Data Governance Act Explained.
Il DGA mira a promuovere la condivisione e il riutilizzo di dati nell’UE, in ambiti strategici quali salute, ambiente, energia, mobilità, finanza, ecc. La facilitazione per l’accesso ai dati, da parte di soggetti pubblici e privati, dovrà essere a vantaggio dei cittadini e delle imprese europee. Alcune possibili applicazioni? L’addestramento di sistemi di intelligenza artificiale, il potenziamento della ricerca in sanità, lo sviluppo di migliori politiche di gestione dei servizi pubblici.
DIGITAL SERVICES ACT (DSA)
Regolamento Europeo 2022/2065 – Applicabile da FEBBRAIO 2024
Destinatari e ambito di applicazione: servizi intermediari offerti a destinatari nell’UE
Il DSA stabilisce delle condizioni di responsabilità per i gestori dei servizi digitali. Lo scopo è garantire un ambiente online sicuro e affidabile per gli utenti dell’UE e tutelare i diritti fondamentali di imprese e consumatori. In particolare, sono previste azioni di contrasto ai contenuti illegali, al commercio di merce contraffatta, alla disinformazione. Abbiamo già esplorato i contenuti essenziali qui: Digital Services Act: un primo sguardo al nuovo Regolamento.
NETWORK AND INFORMATION SECURITY (NIS2)
Direttiva Europea 2022/2555 – Recepita dalla normativa nazionale entro OTTOBRE 2024
Destinatari e ambito di applicazione: imprese nell’UE, pubbliche e private, dei settori dell’energia, trasporti, bancario e finanziario, sanità, acqua potabile, acque reflue, infrastrutture digitali, servizi informatici B2B, PA, servizi spaziali, servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, alimentare, fabbricazione, ricerca, comunicazione elettronica
Figlia della NIS di maggio 2018 (vedi anche CYBERSECURITY: i contenuti della direttiva NIS), la NIS2 stabilisce nuove regole di cybersecurity. In continuità con la precedente Direttiva, mira a rafforzare la sicurezza informatica nell’UE e favorire lo sviluppo di un ecosistema moderno e affidabile. Ma vengono ora stabiliti nuovi criteri per l’identificazione degli operatori pubblici e privati da ritenersi “soggetti essenziali” o “soggetti importanti”. Cioè coloro per cui è prioritario prevenire e contrastare il rischio di interruzione del servizio, in quanto potenzialmente impattante sull’andamento dell’economia o sulla società. È stato ampliato il ventaglio dei settori ed esteso il campo di applicabilità, per coinvolgere tutta la catena di fornitura.
DIGITAL OPERATION RESILIENCE ACT (DORA)
Regolamento Europeo 2022/2554 – Applicabile da GENNAIO 2025
Destinatari e ambiti di applicazione: entità finanziarie, compresi i più recenti operatori di servizi connessi a crypto-asset e moneta digitale; fornitori di servizi hardware e software per il settore finanziario.
Il DORA stabilisce i requisiti di cybersecurity per gli operatori della finanza. Nello specifico, aggiorna e consolida le norme sul rischio esistenti in ambito finanziario, integrando inoltre la componente della resilienza e della continuità operativa. Il focus è sulla capacità di gestione dei rischi informatici, di rendicontazione, test e monitoraggio del rischio di terzi.
E-PRIVACY (ePR)
PROPOSTA di Regolamento Europeo – IN ESAME
Destinatari e ambiti di applicazione: trattamenti di dati per le comunicazioni elettroniche; fornitori e fruitori di servizi (anche gratuiti) di comunicazione elettronica in UE; trattamenti di informazioni connesse alle apparecchiature terminali di utenti finali ubicati in UE
Il Regolamento E-Privacy è stato proposto in sostituzione della precedente Direttiva del 2002 sulla privacy e le comunicazioni elettroniche. Ne conferma gli obiettivi e i principi fondamentali, ma tenta di allinearsi agli sviluppi tecnologici, economici e giuridici sopraggiunti dal suo ultimo aggiornamento. Integrerà il GDPR nel contesto specifico delle comunicazioni elettroniche, del marketing diretto, dell’Internet-of-Things, dei sistemi di tracciamento online, e analizzando in maggiore dettaglio le tecnologie specifiche del web, in virtù della loro aumentata diffusione.
DATA ACT (DA)
PROPOSTA di Regolamento Europeo – IN ESAME
Destinatari e ambiti di applicazione: fabbricanti, fornitori e utenti di prodotti e servizi immessi nell’UE; titolari dei dati messi a disposizione dei destinatari nell’UE; destinatari dei dati nell’UE; enti pubblici che richiedono l’accesso ai dati di società private; fornitori di servizi di trattamento dati con clienti nell’UE.
Il DA si pone l’obiettivo di estendere e disciplinare l’accesso, il riutilizzo e l’interoperabilità dei dati generati dalle attività umane all’interno dell’UE, a beneficio di imprese, cittadini e pubbliche amministrazioni. In determinate situazioni di necessità, sarà ammesso l’accesso da parte di enti pubblici ai dati detenuti dalle imprese. Sarà facilitata la condivisione di dati interna e trasversale a più settori economici, anche attraverso l’utilizzo di “smart-contract”, programmi informatici che possono fornire specifiche garanzie del rispetto delle condizioni accordate dalle parti in fase di condivisione di dati. Sono previste misure di contrasto all’esportazione illecita di dati. Nel complesso, l’accesso ai dati dovrà essere consentito tutelando al contempo alti livelli di privacy, sicurezza, e norme etiche.
CYBER RESILIENCE ACT (CRA)
PROPOSTA di Regolamento Europeo – IN ESAME
Destinatari e ambiti di applicazione: prodotti con elementi digitali il cui uso includa una connessione dati a un dispositivo o a una rete. Fanno eccezione i Dispositivi Medici, i Dispositivi Medico-Diagnostici in Vitro, i veicoli a motore, i prodotti per l’aviazione certificati e i prodotti ad uso militare.
La CRA intende rafforzare le norme di sicurezza informatica per creare le condizioni idonee a favorire la produzione, lo sviluppo e l’immissione nel mercato di prodotti digitali, hardware e software, più sicuri, meno vulnerabili, e capaci di prevenire e contrastare le conseguenze e i costi della criminalità informatica. Il Regolamento prevede specifici obblighi per i produttori. Inoltre, intende favorire la trasparenza delle caratteristiche di sicurezza informatica nel commercio di prodotti digitali.
Vedi anche la scheda online dedicata.
ARTIFICIAL INTELLIGENCE ACT (AI ACT)
PROPOSTA di Regolamento Europeo – IN ESAME
Destinatari e ambiti di applicazione: sistemi di Intelligenza Artificiale venduti o utilizzati nell’UE, o che producano risultati utilizzati nell’UE, ad eccezione degli utilizzi esclusivamente a scopo militare.
Stabilisce delle regole armonizzate per lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di Intelligenza Artificiale nell’Unione Europea. Ha il principale obiettivo di garantire il bilanciamento tra l’adozione di tecnologia AI e il rispetto delle libertà e dei diritti fondamentali. Per raggiungerlo, definisce i requisiti di sicurezza per i sistemi AI e per la creazione di un mercato unico di applicazioni di AI sicure. L’approccio punta a essere proporzionato e basato sul rischio. In particolare, saranno imposti alcuni divieti per l’impiego dell’AI in pratiche ritenute in contrasto con i valori dell’UE, e stabilite specifiche restrizioni per altri utilizzi considerati a rischio.
INTEROPERABLE EUROPE ACT (IEA)
PROPOSTA di Regolamento Europeo – IN ESAME
Destinatari e ambiti di applicazione: enti pubblici, istituzioni, organismi e agenzie dell’Unione che forniscono o gestiscono sistemi informatici e di rete che consentono di prestare o gestire elettronicamente servizi pubblici.
Con l’IEA, viene proposto un quadro di cooperazione strutturato per le pubbliche amministrazioni dell’UE, che garantisca uno scambio di dati più semplice, efficace e sicuro. Sono previsti interventi sotto i profili giuridici, organizzativi e tecnici, al fine di raggiungere un livello elevato di “interoperabilità transfrontaliera”. L’obiettivo è quindi aumentare la capacità dei sistemi informatici delle PA dei diversi Stati europei di interagire tra loro, condividendo dati mediante comunicazione elettronica.
IDENTIFICATION, AUTHENTICATION AND TRUST SERVICES (eIDAS2)
PROPOSTA di Regolamento Europeo – IN ESAME
Destinatari e ambiti di applicazione: servizi di creazione, verifica e convalida di firme, sigilli, validazioni elettroniche; di certificati di autenticazione di siti web; servizi di conservazione di firme, sigilli o certificati elettronici; servizi di archiviazione elettronica di documenti elettronici; gestori di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza; registri elettronici.
Basata sull’attuale Regolamento eIDAS, l’eIDAS2 propone un aggiornamento del quadro giuridico per le soluzioni di identità e autenticazione elettronica. Gli obiettivi, garantirne maggiori sicurezza, affidabilità, e accessibilità all’uso in ambito pubblico, privato e transfrontaliero. Le novità proposte fanno fronte alle nuove richieste del mercato. In particolare, l’iniziativa del c.d. Portafoglio Europeo di Identità Digitale aprirebbe all’utilizzo di “attributi”, una modalità di identificazione digitale più flessibile, adattabile a diversi contesti e idonea a limitare la condivisione non necessaria di dati personali.