EU Data Act
I dati sono una base centrale delle imprese moderne. Nascono nei servizi digitali, nei software, nei documenti, nei processi, nei sistemi di comunicazione e nelle applicazioni di IA. Affinché le imprese possano utilizzare questi dati in modo sensato, servono regole chiare: chi può utilizzare quali dati? Come possono essere messi a disposizione i dati? Come vengono protetti? E come può essere organizzato in modo equo il passaggio tra servizi digitali?
È proprio qui che entra in gioco il Data Act dell’UE.
La denominazione esatta è:
Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, relativo a norme armonizzate sull’accesso equo ai dati e sul loro utilizzo equo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (normativa sui dati).
Il regolamento si applica in linea di principio dal 12 settembre 2025, sebbene singole disposizioni possano avere date di applicazione diverse.
Che cos’è il Data Act dell’UE?
Il Data Act dell’UE è un regolamento europeo per un trattamento dei dati più equo, trasparente e meglio disciplinato. Mira a facilitare l’accesso a determinati dati, creare condizioni eque per l’utilizzo dei dati e impedire che le imprese diventino inutilmente dipendenti da singoli fornitori o sistemi.
Non si tratta di una divulgazione incontrollata dei dati. Il Data Act tiene espressamente conto degli interessi di tutela, ad esempio della protezione dei dati, dei segreti commerciali, dei requisiti di sicurezza e dei diritti di terzi. I dati personali restano protetti dal GDPR.
La Commissione europea descrive il Data Act come un insieme di regole per l’accesso e l’utilizzo dei dati, volto a promuovere la disponibilità dei dati, l’innovazione e l’equità nell’economia dei dati.
A cosa serve il Data Act dell’UE?
Il Data Act dell’UE intende offrire a imprese, utenti e autorità pubbliche maggiore chiarezza nella gestione dei dati. Particolarmente importanti sono:
- accesso equo a determinati dati,
- regole trasparenti per l’utilizzo dei dati,
- migliori possibilità di passaggio tra servizi digitali,
- protezione da condizioni contrattuali inadeguate,
- promozione della concorrenza e dell’innovazione,
- protezione dei dati non personali da accessi illeciti,
- migliore portabilità e interoperabilità dei dati.
Ciò è particolarmente rilevante per i servizi cloud, software e di elaborazione dei dati. I fornitori non dovrebbero rendere inutilmente difficile il cambio di servizio e il trasferimento dei dati. La Commissione europea afferma espressamente che i clienti dovrebbero poter passare da un servizio di elaborazione dei dati a un altro senza perdere dati o funzioni essenziali; i dati dovrebbero poter essere esportati almeno in un formato comune e leggibile da macchina.
Perché è importante per l’IA?
I sistemi di IA lavorano con i dati. Tra questi rientrano, ad esempio, documenti, input, basi di conoscenza, cronologie delle chat, informazioni di progetto, configurazioni, risultati di analisi o output generati.
Per le imprese è quindi fondamentale che l’IA non comporti una perdita di controllo sui propri dati. Un buon sistema di IA deve essere comprensibile, controllabile e sicuro. Le imprese devono poter utilizzare meglio le proprie conoscenze senza perdere il controllo sulle proprie informazioni.
Il principio di Vimmera è quindi:
L’IA deve rendere utilizzabile la conoscenza aziendale, non sottrarla.
In che modo Vimmera tiene conto del Data Act dell’UE?
Vimmera sviluppa e gestisce soluzioni di IA per le imprese. A seconda della soluzione per il cliente, possono essere trattati dati diversi, ad esempio documenti, informazioni di processo, contenuti di conversazioni, basi di conoscenza, file di progetto, informazioni sugli utenti, impostazioni tecniche oppure input e output dei sistemi di IA.
L’applicazione concreta del Data Act dell’UE dipende sempre dal rispettivo sistema, dalla finalità d’uso, dal contratto e dal patrimonio di dati. Vimmera tiene quindi conto dei requisiti del Data Act nell’ambito della rispettiva soluzione per il cliente, delle possibilità tecniche e della liceità giuridica.
Trasparenza sui dati e sui sistemi
Vimmera attribuisce grande importanza al fatto che i clienti possano comprendere come è strutturata una soluzione di IA, quali dati vengono utilizzati e per quale finalità avviene il trattamento.
I sistemi di IA non sono intesi come una black box incontrollata, ma come strumenti chiaramente definiti all’interno di un processo aziendale concreto. Ciò include ruoli, autorizzazioni, fonti di dati, funzioni e confini del sistema chiari.
Trattamento per finalità determinate
I dati non vengono utilizzati da Vimmera in modo arbitrario. Il trattamento avviene nell’ambito della finalità concordata e della rispettiva soluzione per il cliente.
Un sistema viene quindi configurato per un compito concreto, ad esempio per la ricerca interna di informazioni, funzioni di assistenza, analisi di documenti, redazione di verbali, supporto, traduzione o supporto ai processi.
L’utilizzo dei dati dei clienti per altre finalità non avviene senza un’adeguata base giuridica.
Protezione della conoscenza aziendale
La conoscenza aziendale è particolarmente degna di tutela. Vi rientrano documenti interni, processi, contenuti di conversazioni, informazioni tecniche, documentazione di progetto, contratti, basi di conoscenza e know-how organizzativo.
Vimmera protegge tali informazioni mediante misure tecniche e organizzative come restrizioni di accesso, concetti di autorizzazione, aree dati separate, crittografia, registrazione dei log e accessi controllati ai sistemi.
Il principio è:
accesso solo laddove sia necessario per la rispettiva finalità.
Consegna, esportazione e possibilità di cambio
I dati dei clienti appartengono ai clienti. Vimmera non costituirà un ostacolo affinché i clienti possano ricevere, mettere in sicurezza o trasferire in altri sistemi i propri dati.
In base ai rispettivi accordi contrattuali, alle possibilità tecniche e alla liceità giuridica, Vimmera mette a disposizione dei propri clienti, su richiesta, in particolare in caso di cessazione del contratto o di una legittima richiesta di consegna, i dati ricevuti, forniti o caricati autonomamente dal rispettivo cliente in un formato tecnicamente gestibile e adeguato.
Possono rientrarvi in particolare:
- documenti e file forniti dal cliente,
- contenuti di Vimmera Cortex,
- dati provenienti da cartelle di progetto, strumenti o agenti,
- dati strutturati dei clienti e basi di conoscenza,
- elenchi di account utente,
- regole di ruolo e di accesso,
- impostazioni e configurazioni rilevanti,
- documentazioni sulle funzionalità del software fornite nell’ambito degli accordi contrattuali.
L’obiettivo è la massima trasparenza e correttezza nella gestione dei dati dei clienti. I clienti devono poter comprendere quali dati sono stati inseriti e quali informazioni sono necessarie per un’ulteriore elaborazione interna o per un passaggio ordinato.
In tale contesto si tengono conto dei requisiti di protezione dei dati, dei diritti di terzi, dei segreti commerciali, dei requisiti di sicurezza e delle misure di protezione tecniche.
Sono esclusi dalla consegna i diritti di protezione propri, le componenti interne del sistema e la proprietà intellettuale di Vimmera. Vi rientrano in particolare i system prompt, le logiche interne di memoria e di elaborazione, gli embedding, le configurazioni proprietarie, i metodi interni, le decisioni sull’architettura tecnica, il codice sorgente, le logiche operative nonché ogni altro know-how di Vimmera.
In breve:
I dati dei clienti restano dati dei clienti. I dati e il know-how di Vimmera restano di proprietà di Vimmera.
Regole contrattuali chiare
Vimmera opera sulla base di fondamenti contrattuali trasparenti. A seconda del progetto, questi includono descrizioni delle prestazioni, disposizioni in materia di protezione dei dati, accordi sul trattamento dei dati, misure tecniche e organizzative, clausole di riservatezza nonché regole su accesso, esportazione, cancellazione e utilizzo dei dati.
In questo modo viene disciplinato in modo comprensibile quali dati vengono trattati, a quale scopo e quali diritti e obblighi sussistono.
Pensare insieme protezione dei dati e Data Act
Il Data Act dell’UE non sostituisce il GDPR. Ogni volta che vengono trattati dati personali, i requisiti del GDPR continuano ad applicarsi integralmente.
Vimmera considera quindi i requisiti del Data Act insieme alla protezione dei dati, alla sicurezza IT, alla riservatezza, ai concetti di ruoli e autorizzazioni nonché ad altri requisiti per un’IA responsabile.
La nostra comprensione
Il Data Act dell’UE è coerente con la nostra idea di IA responsabile.
L’IA non deve rendere le imprese dipendenti, ma più capaci di agire. Le imprese devono poter utilizzare meglio le proprie conoscenze senza perdere il controllo sui propri dati.
Per questo Vimmera sviluppa soluzioni di IA con finalità chiare, strutture sicure e regole comprensibili.
Il nostro obiettivo non è utilizzare i dati nel modo più esteso possibile. Il nostro obiettivo è renderli utili in modo sensato, sicuro e controllato laddove creino un reale valore aggiunto.
EU Data Act
I dati sono una base centrale delle imprese moderne. Nascono nei servizi digitali, nei software, nei documenti, nei processi, nei sistemi di comunicazione e nelle applicazioni di IA. Affinché le imprese possano utilizzare questi dati in modo sensato, servono regole chiare: chi può utilizzare quali dati? Come possono essere messi a disposizione i dati? Come […]
US CLOUD Act
I dati aziendali non sono semplicemente informazioni tecniche. Contengono conoscenze, processi, informazioni sui clienti, contratti, procedure interne, stati di progetto, contenuti di conversazioni, decisioni e spesso anche segreti commerciali. Proprio nell’uso dell’IA è quindi fondamentale dove vengono elaborati i dati, chi può avervi accesso tecnicamente e a quale ordinamento giuridico è soggetto il fornitore impiegato. […]
Legge federale sulla protezione dei dati (BDSG)
Il quadro giuridico nazionale per la protezione dei dati in Germania La legge federale sulla protezione dei dati, in breve BDSG, integra il Regolamento generale sulla protezione dei dati in Germania. Mentre il GDPR definisce il quadro uniforme a livello europeo per la protezione dei dati personali, il BDSG disciplina alcune particolarità nazionali e specificazioni. […]
NIS2
Il nuovo quadro giuridico per la cybersicurezza in Europa La direttiva NIS2 è il nuovo quadro giuridico europeo per la cybersicurezza. Con essa, l’Unione europea stabilisce requisiti vincolanti su come le imprese e gli enti pubblici devono proteggere i propri sistemi IT, reti, dati e processi digitali da attacchi informatici, guasti e incidenti di sicurezza. […]
Il Regolamento generale sulla protezione dei dati (GDPR)
Vimmera AI sviluppa i propri sistemi di IA fin dall’inizio in conformità al GDPR. La nostra architettura con flussi di dati controllati, ruoli chiari, crittografia, registrazione e la possibilità di gestire i sistemi completamente in locale o in ambienti isolati è progettata esattamente per questo. Per i nostri clienti questo significa: possono utilizzare l’IA senza […]
NDA presso Vimmera AI
La riservatezza è per Vimmera AI altrettanto naturale quanto la protezione dei dati e la sicurezza dei dati. Ogni volta che vengono scambiate informazioni sensibili, critiche per l’attività o personali, deve essere chiaramente regolato come tali dati debbano essere trattati. Per questo lavoriamo sempre sulla base di accordi di riservatezza vincolanti, i cosiddetti NDA (Non-Disclosure […]
L’AI Act dell’UE
Il nuovo quadro giuridico per l’impiego dell’IA in Europa L’EU AI Act è la prima normativa completa al mondo sull’intelligenza artificiale. Con essa, l’Unione Europea crea un quadro giuridico vincolante che stabilisce come i sistemi di IA possano essere sviluppati, messi a disposizione e utilizzati. L’obiettivo è consentire l’innovazione, ma allo stesso tempo proteggere persone, […]